サイバーセキュリティって何だ?

おそらく多くの方が"サイバーセキュリティ"という言葉を毎日のように目や耳にしているかと思います。

でも"サイバーセキュリティ"って一体何のことなのでしょうか?

この記事は直近何ヶ月かかけて読み込んだこの本の自分なりの解釈です。

私はサイバーセキュリティとは、"重大な事故が発生する確率を下げること"と定義しています。リスクを軽減することです。何かよくわからないですね。

リスクとは下記のように表現できます。

リスク = 脅威 x 脆弱性 x 資産

資産とは企業に存在する重要な情報です。企業のお客様のEmailアドレス、電話番号、住所等の個人情報や、設計書や契約書、ソフトウェアのソースコード等も重要な情報です。

脆弱性とは穴のことと言えます。例えば、開発したソフトウェアに重大なバグがあって、そのバグに気づくこと無くリリースしてしまう等です。

脅威とはサイバー犯罪者が企てるであろう攻撃のことです。例えば、特定のソフトウェアのバグを狙った攻撃(例/不正なコードを強引に組み込む)等があるかと思います。

では、どのようにすれば重大な事故が発生する確率を下げることができるのでしょうか?

先ず検討すべきことは、自分でコントロールできることとできないことかと思います。先程のリスクの表現に当てはめてみます。

リスク = 脅威(管理不可能) x 脆弱性(管理可能) x 資産(管理可能)

脆弱性や資産は、日頃資産の棚卸しと脆弱性のチェックを継続していれば、どこに重要な情報や脆弱性があるのかを把握することが可能です。

脅威は攻撃者が企てることにつき、自分では管理できないかと思います。(昨今は脅威インテリジェンスと呼ばれるソリューションを利用して自分でもある程度は管理できるとの説もありますが)

脆弱性と資産のチェックを継続していれば重大な事故が発生する確率を下げることができると言えます。

どうでもよい読書感想文に最後までお付き合い頂きありがとうございました。サイバーセキュリティのような、テーマが膨大で絶対的な正解が存在しない領域は奥が深くて飽きないですね。