サイバーセキュリティと情報セキュリティ

セキュリティに少しでも関わったことがある人なら、サイバー セキュリティや情報セキュリティを利用している人々に出くわしたことがあるでしょう。 交換可能、および他の人は（大声で情熱的に）それらが完全に異なると主張しています.典型的なスタイルでは、私はそれらが両方とも間違っているという事実を考慮します.

セキュリティの誤解によって人々が危険にさらされるという、非常に重要な分野を扱っていることを考えると、違いは何ですか?

ここにはさまざまな視点があるので、あなたの好きな視点を踏みにじったとしても、それは個人的なものではないことを覚えておいてください.これらのことは本当に重要なので、マーケティングよりも明確でアカデミックな定義に傾倒します.

分野とドメイン

最初にカバーする必要があるのは、分野とドメインの違いです。これは複雑になる可能性があるため、不要な詳細をすべて削除します。さまざまな定義が存在しますが、これらは私たちが話していることに最も役立ちます。

規律:アプローチ、さまざまな環境に適用して理解および対話できる一連の知識とスキル。分野の例としては、生物学、物理学、または医学が挙げられます。

ドメイン: 環境またはエリア。軍事的な定義に従うと、これらは別個の作戦劇場です。より学術的なドメインの例は海洋である可能性がありますが、軍事地上とサイバーは一般的に認識されているドメインの2つです.

セキュリティ自体は、脅威を特定し、資産への影響を軽減するために設計および学習される一連のスキルとアプローチであり、規律です。最終的に、私たちが話しているセキュリティの種類に関係なく、脅威は常に人であり、資産はより多くの人です.途中でいくつかのツールやテクノロジーが介在する場合がありますが、セキュリティは人に関するものです。環境への脅威が懸念される場合、代わりにそれを安全と呼びます。

セキュリティを規律として捉えると、サイバー セキュリティはサイバー ドメインに適用される規律であることを意味します。情報セキュリティは、情報ドメインに適用されるのと同じ規律です。便利な比喩が必要な場合は、規律、セキュリティの知識とスキルを標準のツールキットと比較できます。比喩に固執している場合 (そしてそれを限界点まで引き延ばしている場合) は、ドメインが電気工事と配管工事の違いになる可能性があります。

配管工と電気技師には明らかに違いがありますが、どちらのタイプの作業も熟練したアマチュアが行うことができます (もちろん、安全性や成功の保証はありません)。そして、両方のツールは 90% 重複しており、わずかな専門ツールだけが違いを補っています。

情報ドメインとは

情報領域は大きい。

本当に大きい。

そして古い。

正確には、知られている情報セキュリティの最古の例は、4,000 年以上前にさかのぼります。情報の完全性を維持するために、書かれたシュメール語の契約書が粘土の封筒 (別の契約書のコピーが書かれている) に同封されていました。

数百年後、士師記の第 12 章には、パスワードを使用して人を識別する最初の (既知の) 事例があり、今日でも shibboleth という用語が使われています。

もう 1 つの例は、ほんの数世紀前、鎖でつながれた中世の図書館でした。これは、ご想像のとおり、機密性を保護するために設計されたものではありませんでしたが、入手可能性 - 本は泥棒にとって魅力的な標的でした。 .

テクノロジーが普及している現在、情報セキュリティはテクノロジーの側面と混同されることがよくありますが、情報セキュリティを適切に考えるのであれば、コンピューターに保存されている情報だけでなく、すべての情報に適用されることを認識することが重要です。

人々が情報セキュリティを見るときの標準的なレンズは CIA の 3 つ組です。これには確かに欠点がありますが、広く認識され、十分に確立されているので、私はこれを使い続けます。この場合の CIA は、情報セキュリティが保護するように設計された 3 つの属性の標準です。

• 機密性:情報へのアクセスを許可された人のみが情報を利用できるようにする必要があります
• 整合性:情報は権限のない第三者によって改ざんされるべきではありません
• 可用性:必要なときに情報を入手できる必要があります

他のモデルも存在しますが、情報セキュリティの仕事をしたことがある人なら誰でも CIA のトライアドを暗記しているでしょう。この時点で、それは事実上、繰り返しによって私たちの脳に刺青されています。

サイバードメインとは？

情報は得られましたが、サイバー側はどうでしょうか?

素晴らしく、きれいで、アカデミックな定義は、「1 つまたは複数の情報技術インフラストラクチャを含む電子情報処理ドメイン」について語っています。ここで鍵となるのはテクノロジーの部分なので、サイバー ドメインはテクノロジー (シュメールの粘土板ではなく、電子ベースのテクノロジーを想定します) 処理情報について語っています。

これは主に、サイバーセキュリティが情報セキュリティのサブセットであることを意味しますが、同じテクノロジーが機能する可能性があるため、周辺では少しあいまいになります.簡単に言えば、サイバードメインは、情報ドメインにリンクする他のテクノロジーに接続できるテクノロジーに関するものであると言えます。

問題は、この世界を見るためのレンズとして、CIA のトライアド以上の何かが必要だということです。機密性、完全性、および可用性は、テクノロジー レベルで話している場合、必要以上に遠いものです。テクノロジーの世界に入ると、情報領域を扱うときよりも、より詳細で具体的なアイデアを扱う必要があります。

これまでのところ、実際に開発された適切なレンズはありません。についての議論がありますパーカーリアンヘキサッドこれは、所有/制御、使いやすさ、信頼性の要素をトライアドに追加しますが、それらは依然として情報の概念レベルと密接に結びついています。その代わりに、サイバー セキュリティは同時に、ドメイン内のセキュリティ規律のより具体的な実装であると同時に、膨大な数の可動部分と関連する複雑さのために定義するのが難しくなっています。

最終的には、この用語を同じ意味で使用しても問題ないでしょう。ほとんどの人がそうしているためです。ただし、理論を掘り下げたい場合は、サイバーセキュリティと情報セキュリティの間に大きな重複があることを認識することが重要ですが、それらは同じものではありません.

代わりに、サイバー セキュリティは技術システム内での情報セキュリティの技術的実装に大きく傾いていますが、情報セキュリティはより概念的な実装です。

サイバーセキュリティと情報セキュリティの違いは重要ですか?

多くの人は、その違いは無関係だと言いますが、それは完全に間違っているわけではありません。ただし、セキュリティは非常に重要であるため、認識して認める価値があります。地域によっては、死活問題といっても過言ではありません。

サイバー セキュリティだけ、純粋に情報セキュリティ、または物理的なセキュリティのような別のドメインで作業している場合は、それで問題ありませんが、他のドメインの存在と、それらが自分のドメインとどのように相互作用するかを認識することは絶対に不可欠です。セキュリティで本当に重要なことは、資産 (人) を脅威 (人、時には同じもの) から保護することです。

自分の領域をマスターし、他のドメインのマスターを必要とするギャップがある場所を認識します。サイバー側は、より複雑になり、より多くのドメインとやり取りするだけです。 将来.