Cybersecurity、サイバーセキュリティ、情報セキュリティ
はじめに
先日、とある非公開文書で、「(俺様に言わせると)情報セキュリティの教科書では、サイバーセキュリティと情報セキュリティとが区別できておらず、大学教員にはサイバーセキュリティが分かっている人間はいない」と喝破してる記述を見て以来、(自分自身もその批判される立場であるので)ムっとしてました。(最近は、イライラが多いと反省しきりです。)
しかしながら、そもそも「サイバーセキュリティ」の定義ってなんぞというあまりにも基本的なことについて調べていなかったことに恥ずかしく思い、現状を簡単にですがまとめてみました。
今回は、「サイバーセキュリティの概念- 国際標準化の動向を背景に -(2018)」という資料も参考にしていますが、解釈等は別のものとの認識です。
情報セキュリティとは
まず、サイバーセキュリティの定義に入る前に、情報セキュリティの定義を確認してみます。
こちらは、ITに関わる多くの方がすでにご承知のように、JIS Q 27000にて、情報セキュリティは「情報の機密性、完全性、及び可用性を維持すること」とされており、自然言語レベルでは厳密な定義があると言えます。
また、JIS Q 27000での定義は、国際規格 ISO/IEC 27000 の Information security の定義の日本語訳となりますので、「情報セキュリティ = Information security」と言えます。
Cybersecurity、サイバーセキュリティの定義
それでは次に、Cybersecurity、及び、サイバーセキュリティの定義を確認してみましょう。
まず、NISTの用語集のcybersecurityの項目を見てみます。
すると、標準化が大好きな組織にも関わらず、意外なことに、米国の公文書においても、Cybersecurityの定義が4種存在し、用語の定義が揺れています。
定義1:
Prevention of damage to, protection of, and restoration of computers, electronic communications systems, electronic communications services, wire communication, and electronic communication, including information contained therein, to ensure its availability, integrity, authentication, confidentiality, and nonrepudiation.
(著者抄訳)
コンピュータ、電子通信システム、電気通信サービス、有線通信、電子通信、それらに含まれる情報を含め、可用性、完全性、真正性(authenticity)、機密性、および否認防止を確保するための、コンピュータ、電子通信システム、電気通信サービス、有線通信、電子通信、それらに含まれる情報の毀損の防止、保護および復旧すること。
英文もかなり難しい故、翻訳の日本語も少し難しいですが、おおよそ、情報セキュリティの定義に準じたもののように見えます。
定義2:
The ability to protect or defend the use of cyberspace from cyber attacks.
(著者抄訳)
サイバー攻撃からサイバー空間の利用を保護または防御する能力。
ここでのサイバー攻撃、サイバー空間は、それら自体がまた定義が揺れそうな概念ではあります。
定義3:
The process of protecting information by preventing, detecting, and responding to attacks.
(著者抄訳)
攻撃を防ぎ、検知し、対応することで情報を保護する方法論(プロセス)。
定義2の「サイバー攻撃」が、ここでの情報への「攻撃」と区別しているのは不明です。
定義4:
the prevention of damage to, unauthorized use of, exploitation of, and — if needed — the restoration of electronic information and communications systems, and the information they contain, in order to strengthen the confidentiality, integrity and availability of these systems.
(著者抄訳)
電子情報通信システム及びそこで扱う情報の機密性、完全性、可用性を強固なものとするために、電子情報通信システム及びそこで扱う情報の毀損、不正使用、悪用を防止し、必要に応じてその復旧すること。
定義1に似ていますが、「不正使用」や「悪用」というような、より積極的な意味での人為的な行為の概念が追加されている点が、特徴です。
次に、我が国のサイバーセキュリティ基本法における定義を確認します。
定義5:
この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。
(日本語で書かれている「サイバーセキュリティ」が、一番分かりにくいですね。)
ポイントを抜き出すと、以下の3点に集約できそうです。
- 情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置
- 情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置
- その状態が適切に維持管理されていること
1は、従来の情報セキュリティと同義と解釈できそうです。
2の解釈が難しそうです。2は敢えて、1の部分と併記しているわけですので、1のものとは別のものであると解釈できます。「電磁的方式」という用語を定義している割に、情報システムとは区別して、情報通信ネットワークという用語をさらりと使っていることは気になりますが、、
ここでの「安全性」とは、文脈から、前段の1に、従来の情報セキュリティがあると仮定すると、ここでの安全性は、いわゆる「セキュリティ」ではなく、「セーフティ」(「受容できないリスクがないこと」)を言っていると解釈できそうです。
すると、「信頼性」は、JISでの「意図する行動と結果とが一貫しているという特性」という定義から推察するに、ここでは対象をシステムアーキテクチャなどの技術論の枠を超えて、L. Lessigの言うサイバー空間の定義で言うところの「規範」の側面を包摂しようとしているのでしょうか。
定義5までで昨日公開したところ、ISO/IEC 27032:2012の定義の存在の指摘を受けました。迂闊でした。ISO/IEC 27032:2012の定義を、定義6として追加します。
定義6:
preservation of confidentiality, integrity and availability of information in the Cyberspace
(著者抄訳)
サイバー空間における情報の機密性、完全性、可用性の維持
情報セキュリティの定義を集合論的には部分集合として定義しているようです。
ところで、サイバー空間とはなんぞとなりますので、同じくISO/IEC 27032:2012における定義をみると、以下のようにありました。
complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form
(著者抄訳)
技術装置とそれに接続されるネットワークを介したインターネット上での人々、ソフトウェア及びサービスの相互作用により形成される、物理的な形では存在しない複雑な環境のこと
「サイバーセキュリティの概念- 国際標準化の動向を背景に -(2018)」のP.13を真似て、定義1〜6を比較してみます。(2020/08/11:定義6追加)
いずれの定義も重なり合う部分ばかりではなく、「サイバーセキュリティ」とはなんぞの一義的な解釈を見出すのは難しい印象です。
冒頭に紹介した「俺様」殿は、どの定義に基づき、サイバーセキュリティを語っていたのでしょうか。
「サイバーセキュリティの概念- 国際標準化の動向を背景に -(2018)」によると、ISO/IEC TS 27100 — Information technology — Security techniques — Cybersecurity — Overview and concepts [DRAFT]として、2018年に検討中とのことでしたが、2020年8月の現在も未だ検討中のご様子です。
さいごに
数学では、物の集まりを定める時、外延的定義という手法、もしくは、内包的定義という手法を用います。
たとえば、サイバーセキュリティとはなんぞ?と質すときには、その性質を記述して定める内包的定義という手法で、上記の定義1〜5にあるように、その性質の記述により、定めます。
他方、サイバーセキュリティの「例」も抽象物である場合、その要素を列挙して定義する外延的定義手法による定義を試みると、ご経験に基づくご意見のみで主張される方たちの間では、コンセンサスを得る形で具体物を列挙すること自体が難しいこととなります。
すなわち、サイバーセキュリティの内包的定義ができていない状態でサイバーセキュリティの議論をしようとすると、俺様以外は「サイバーセキュリティと情報セキュリティとが区別できておらず、大学教員にはサイバーセキュリティが分かっている人間はいない」と喝破したくなる方が続出してしまう訳です。
まずは、サイバーセキュリティを、内包的に定義することも重要かも知れません。
2020/08/11 ラムダノート社の鹿野桂一郎氏からの指摘により定義6を追記
2020/08/10 初期バージョン公開
Thanks to 神 章洋君、鹿野桂一郎氏
修正履歴
2020/08/11 定義6を追加して、表を更新
