サイバーセキュリティと情報セキュリティの違いって良くわからない。

下記の記事から理解に努めてみる。

www.cisoplatform.com

記事を部分的にを引用しつつ適当に意訳させて頂く。

まず、海外でもセキュリティで仕事している人の間で定義がはっきりしていない模様（create a lot of confusion）。

These two words “Cyber Security” and “Information Security” are generally used as synonyms in security terminology, and create a lot of confusion among security professionals.

I was discussing with some InfoSec professionals about the same and found out that some of them think that cyber security is subset of information security while others think the opposite.  

サイバーセキュリティは情報セキュリティの一部」と言う人もいれば、逆と考える人もいる、とのこと。確かに混乱している。

そして、データセキュリティの話。 

Let’s start with data security. Data security is all about securing data. Now another questions arises here is to the difference between data and information. Not every data can be an information. Data can be called as information when it is interpreted in a context and given meaning. For example, “14041989″ is data. And if we know that this is date of birth of a person, then it is information. So, Information means data which has some meaning. 

• データと情報は異なる。
• 情報＝何らかの意味があるデータ

そこから情報セキュリティの定義。

Information security is all about protecting the information, which generally focus on the confidentiality, integrity, availability (CIA) of the information.

• 情報セキュリティは、情報を保護するための全てのこと。
• 一般的に、情報の機密性と一貫性と可用性の3つに注目する。

次にサイバーセキュリティの定義。

While cyber security is about securing things that are vulnerable through ICT. It also considers that where data is stored and technologies used to secure the data. Part of cyber security about the protection of information and communications technologies – i.e. hardware and software, is known as ICT security.

• サイバーセキュリティは、ICTの脆弱性を保護すること。
• データの保管場所や、そのデータを守るための技術が注目される。
• 情報と通信技術の保護はICTセキュリティとして知られる。

。。。読解力がないか十分な知識がないかの理由で、この部分は良くわからない。

この後、記事ではベン図を用いて両者の違いを説明。

• 情報セキュリティ：情報（Digital information ⊂ Analog information）を保護する。
• サイバーセキュリティ：データ（Other things than information ⊂ Information ）を、ICTの脆弱性から保護する。

こうなると、「どっちがどっちの一部」と言う話ではなく、似て非なる物と言う感じもする。。。

記事では、さらに2つのベン図を重ねて、情報セキュリティとサイバーセキュリティだけでなく、ここにICTセキュリティを加えた3つのセキュリティの関係性を示したベン図を紹介。。。

• ICTセキュリティ：Digital Informationを保護する。

もはや何が何だか良くわからない。。。

続いて、NISTの定義について紹介。

Cybersecurity: The ability to protect or defend the use of cyberspace from cyber attacks.

Information Security (1): The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability.

• サイバーセキュリティ：サイバー空間でのサイバー攻撃を防御する能力
• 情報セキュリティ：許可されないアクセスや利用、開示、変更、また破壊行為などから情報と情報システムを保護し、機密性と一貫性と可用性を提供すること。

こちらは分かりやすい。日頃の何となく理解している感覚に近い。

著者さんは、ここに関して次のように述べられている。

Going by these definition, cyber security is all about security of anything in cyber realm, while information security is all about security of information regardless of the realm. So, from these definitions, one can think that information security is super set of cyber security.

• サイバーセキュリティは、サイバーの領域におけるセキュリティ。
• 情報セキュリティは、領域に関わらず、全ての情報に関するセキュリティ。
• この定義からは、情報セキュリティはサイバーセキュリティを含む（super set）と考えられる。

そして、次のようにまとめられている。

So, we see that people have different view about these terms, and generally use them alternatively.

• 人によって視点が異なる。
• 一般的に、厳密に使い分けされていない。

結論としては、「皆さん、そんなに気にしてない」てとこかな。。。

後、記事では「国によって傾向がある」と言う内容も紹介もされている。

Also, there are cultural and even political aspects regarding the use of these words. The Americans generally use the term “cyber security”. While the Russians use “information security”.

• 使われる用語には、文化や政治的な側面もある。
• 米国だとサイバーセキュリティが使われるが、ロシアは情報セキュリティが使われる。

記事の最後に、Google検索での傾向について、インドと米国とWorld Wideの過去５年間の結果が紹介されている。

Worldwide:

We can see that search volume for term “information security” was higher than terms cyber security historically, but presently they have similar search volume. 

• 情報セキュリティの方が検索数の方が多い。
• 最近は、両者は同じくらいとなっている。

そうなんですね。

と言うことで、個人的には、NISTの定義に沿って（？）、「サイバーセキュリティは情報セキュリティの一部」と言う認識でいることにしよう。