情報セキュリティとサイバーセキュリティ - オンラインでの安全を確保

データ参照：CISP公式 

目次：

1. 情報と情報セキュリティ

2. 情報セキュリティ属性

3. ネットワークセキュリティ開発の段階

4. サイバースペースのセキュリティ保証

1. 情報と情報セキュリティ 

1. 情報とは何ですか?

• 定義: 情報とは、知識、事実、データ、または意見を伝えるために伝達および処理されるものです。
• 形式: 情報は無形であり、名前、電子メール アドレス、ID 番号、勤務単位、運転免許証番号、家族、自宅住所、携帯電話番号、その他の媒体など、さまざまな形式で存在できます。
• 配信: 情報は通信システムを通じて送信および処理されます。
• 価値: 情報には、意識、理解、行動を変える可能性のある貴重なコンテンツが含まれる場合があります。
• ストレージ: 情報は、コンピューター、テープ、紙などのさまざまなメディアに保存できます。
• 記憶: 情報は人間の脳、つまり記憶にも存在します。

2. 情報の価値：（情報の価値は個人レベルと組織レベルの両方に存在します）

個人の場合:

        すべての情報には何らかの価値がありますが、最も価値のある情報は個人のプライバシーです。個人のプライバシーには、個人のアイデンティティ、健康記録、財務情報などの機密データが含まれます。個人のプライバシーを保護することは、個人の権利を保護し、個人情報の盗難を防止し、個人情報の開示を回避するために非常に重要です。

組織の場合:

        メディアを通じて存在する情報は組織にとって重要な資産になります。たとえば、銀行では顧客データが情報資産の 1 つであり、オフィス オートメーション システム (OA) ではデータ情報が企業の最も貴重な資産の 1 つです。ただし、情報資産が失われると、組織に重大な影響を与える可能性があります。

• 9.11事件により、世界貿易センターに集められた金融機関が保管していた大量のデータが消失した。この事件により、多くの企業が情報資産の損失に直面し、倒産につながりました。

情報資産の損失は個人や組織に重大な影響を与える可能性があるため、情報資産のセキュリティを保護することが非常に重要です。 

3. 情報セキュリティとは何ですか?

• 国際標準化機構は、情報セキュリティを次のように定義しています。コンピュータのハードウェア、ソフトウェア、およびデータを、偶発的または悪意のある理由による損傷、変更、または漏洩から保護するために、データ処理システムの技術的および管理的セキュリティ保護を確立および採用することです。

• 情報セキュリティとは、コンピュータ システム内のハードウェア、ソフトウェア、データを偶発的または悪意による損傷、変更、漏洩から保護することです。これには、リスクを軽減し、情報資産の機密性、完全性、可用性を確保し、不正アクセスやデータ漏洩を防止するための、適切な技術的および管理的手段の確立と採用が含まれます。
• 国際標準化機構 (ISO) は、ISO/IEC 27000 シリーズ規格で情報セキュリティを定義および規制しています。ISO の定義によれば、情報セキュリティには、コンピュータ システム内のハードウェア、ソフトウェア、およびデータが偶発的または悪意のある理由によって損傷、変更、または開示されることを防ぐための技術的および管理的対策の確立と導入が含まれます。

4. 情報セキュリティの問題 

   情報セキュリティの問題は、狭い概念と広い概念     に分類できます。情報セキュリティの狭義の概念は、コンピュータ セキュリティまたはネットワーク セキュリティとも呼ばれる、テクノロジ ベースのセキュリティ カテゴリに基づいています。広義の情報セキュリティは学際的な分野のセキュリティ問題です。

狭い情報セキュリティ:

• テクノロジーベースのセキュリティ カテゴリに基づいて構築されており、コンピュータ セキュリティまたはネットワーク セキュリティとも呼ばれます。
• 不正アクセス、悪意のある攻撃、データ漏洩などの脅威の防止など、コンピュータ システム、ネットワーク、および関連テクノロジーのセキュリティの保護に重点を置きます。
• コンピュータとネットワーク リソースのセキュリティは、ファイアウォール、暗号化アルゴリズム、アクセス制御などの技術的手段によって確保されます。

広範な情報セキュリティ:

• これは技術レベルを超えて、学際的なセキュリティ問題です。
• 目標は、組織のビジネスの持続可能な運営を確保することです。
• 人、経営、プロセス管理などの要素を総合的に考慮し、組織内外の人、ビジネスプロセス、セキュリティポリシー、管理の仕組みに注意を払います。
• ライフサイクル全体を通じて情報のセキュリティを確保するために、従業員の意識とトレーニング、テクノロジーの導入、管理制御、プロセスの改善などの複数の側面を考慮します。

要約すると、狭義の情報セキュリティは主に技術レベルのセキュリティに焦点を当てていますが、広義の情報セキュリティは技術レベルに及び、組織のビジネスの持続可能な運営を確保するためのより広範囲の要素と考慮事項をカバーしています。

5. 情報セキュリティ問題の根本原因

情報セキュリティ問題の根本原因は、内部要因と人的要因や環境要因などの外部要因に分けられます。以下にこれらの要因について詳しく説明します。

内部原因: 情報システムの複雑性

• 情報システムは複雑であるため、脆弱性の存在はほぼ避けられません。複雑なシステム アーキテクチャ、複雑なプロセス、複雑なアプリケーションにより、情報システムに脆弱性が発生する可能性が高まります。これらの脆弱性は、コード エラー、設計上の欠陥、構成ミスなどの問題によって発生する可能性があります。

外的原因: 脅威と破壊

• 外部要因には、個人、グループ、国家など、さまざまな原因から発生する可能性のある脅威や妨害行為が含まれます。これらの脅威や侵害には、機密情報の取得、システムへの損傷、財産の盗難を目的としたマルウェア、サイバー攻撃、ソーシャル エンジニアリングなどが含まれる場合があります。

人的要因: 従業員の不正使用、外部からの攻撃

• 人的要因は、情報セキュリティ問題における重要な要因の 1 つです。従業員による誤操作、過失、不正行為は、データ漏洩、システムのハッキング、または機密情報の損傷につながる可能性があります。さらに、外部の攻撃者は、ソーシャル エンジニアリング、フィッシング、その他の攻撃手段を通じて従業員の弱点を利用することもできます。

環境要因: 自然災害と異常気象

• 環境要因も情報セキュリティに影響を与える可能性があります。落雷、地震、火災、洪水などの自然災害により、情報システムが麻痺し、データが損傷したり、機器が破壊される可能性があります。極端な気象条件は、停電、ネットワークの停止、または機器の故障を引き起こし、情報セキュリティに影響を与える可能性もあります。

要約すると、情報セキュリティ問題の根本原因は、情報システムの複雑さ、さまざまな脅威や妨害行為、人的要因、環境要因などの内部要因と外部要因に起因すると考えられます。これらの根本原因を理解することは、情報セキュリティの問題をより適切に特定して解決するのに役立ちます。

2. 情報セキュリティ属性

1. 情報セキュリティの基本目標

【情報セキュリティの基本的性質（CIAトリプル）】

• 機密性: 権限のない個人、グループ、またはシステムによるアクセスから情報を保護します。
• 完全性: 情報が送信、保管、処理中に、偶然か悪意かを問わず、改ざん、損傷、変更されていないことを保証します。
• 可用性: 情報とシステムは利用可能であり、必要なときにアクセスできます。

  

機密保持

機密性 (機密性とも呼ばれる) は、意図的か偶発的かを問わず、情報を不正な開示から保護するための重要な属性です。

• 機密性の保護には、特に国家機密、商業機密、個人のプライバシーなどの機密情報について十分な注意を払う必要があります。

機密性を保護する際に考慮すべき問題は次のとおりです。

1. 情報システムの使用が管理されており、誰もシステムにアクセスできないかどうか
2. 情報システム内のデータにその重要性を示すマークが付けられているかどうか
3. 情報システム内のデータ アクセスに権限制御があるかどうか、つまり、許可されたユーザーのみが機密情報へのアクセスを許可されているかどうか
4. データ アクセス アクティビティを追跡および監査するために、情報システム内のデータ アクセスが記録されているかどうか

これらの問題を考慮して対処することで、機密性の保護を強化することができます。

威厳

完全性保護とは、情報システム内のデータが改ざんまたは破壊されていない完全な状態であることを保証することです。  

整合性を保護する際に考慮すべき問題は次のとおりです。

1. データ改ざん: どのようなデータが改ざんの危険にさらされている可能性がありますか? これには、機密データ、トランザクション記録、構成ファイルなどが含まれる可能性があります。どのデータが最も重要で特別な保護が必要であるかを明確にする必要があります。

2. データ改ざんの影響: データが改ざんされた場合、どのような影響が考えられますか? これには、情報システムの運用の失敗または停止、組織の評判の毀損、個人または組織への経済的損失のリスクなどが含まれる場合があります。

3. データ操作の権限: データごとに異なる権限レベルはありますか? 許可された担当者または役割のみが機密データを変更、削除、または更新できるようにしてください。

4. データ操作の記録: データ操作は記録されますか? 記録には、誰が操作を実行したか、いつ実行されたか、データにどのような変更が加えられたかが含まれます。これにより、必要に応じて調査と説明責任のために監査証跡を作成できるようになります。

これらの問題に対処することで、情報システム内のデータの整合性保護を強化できます。

情報改ざんの例

可用性 

可用性の確保は、必要なときにデータとシステムを利用できるようにするための重要な側面です。

ユーザビリティを考える際に考慮すべき点は次のとおりです。

1. システム機能の信頼性: 情報システムがいつでも必要な機能を提供できるようにするにはどうすればよいでしょうか? これには、システムの健全性の継続的な監視、信頼性の高いハードウェアおよびソフトウェア コンポーネントの使用、システムのメンテナンスと更新などが含まれます。

2. システム障害への対応: 何らかの理由でシステムが利用できなくなった場合はどうすればよいですか? バックアップは、システム障害が発生した場合にリカバリできるように、データとシステム構成情報を別の安全な場所に定期的にバックアップする一般的な方法です。さらに、可能であれば、単一のコンポーネントまたはノードに障害が発生した場合でもシステムの可用性が維持されるように、冗長性とフォールト トレランスの技術を考慮する必要があります。

3. 障害の修復: 障害が発生した場合、システムを迅速に修復して通常の動作を復元するにはどうすればよいでしょうか? 適切な緊急修理計画を立て、チームがトラブルシューティングと修正を行うための十分なリソースとスキルを備えていることを確認します。

4. 手動テイクオーバー: プライマリ システムに障害が発生した場合の手動テイクオーバーのバックアップ計画はありますか? これには、ビジネスの継続運営を保証するためのバックアップ機器や移行プロセスが含まれる場合があります。

定期的なバックアップ、災害復旧計画、バックアップ シナリオの準備を通じて、情報システムの可用性を強化できます。

 

[情報セキュリティのその他の特性]

• 信頼性: 情報の信頼性と正確性を保証し、情報の偽造や改ざんを防止します。
• 説明責任: 不正なアクションを追跡し、責任を負います。
• 否認防止: 情報対話における動作が開始者によって拒否されないようにすること。
• 信頼性: 継続的な運用と障害、攻撃、その他の脅威に対する耐性を確保するための、情報システムとネットワークの信頼性と安定性。

信憑性 

情報の信頼性の確保とは、エンティティの主張された属性の正確さを判断し、情報源を認証することです。

信頼性について考えるときに考慮すべき点は次のとおりです。

1. 情報源の信頼性: 情報源が信頼でき、信頼できるかどうかを評価します。これには、データプロバイダーの信頼性と信頼性、その経歴と権限などの評価が含まれる場合があります。信頼できる情報源は、提示されるデータの真実性を保証するのに役立ちます。

2. データ検証および認証メカニズム: 情報の信頼性をチェックおよび認証するために、適切なデータ検証および検証メカニズムを導入します。これには、デジタル署名、暗号化技術、デジタル証明書などが含まれる場合があります。これらのメカニズムは、改ざんされたソースからの情報を防ぐのに役立ちます。

3. 見直しと調査：疑わしい情報や情報源が見つかった場合は、適切な見直しと調査を実施します。これには、複数の情報源を検証したり、他の信頼できる情報源と照合して情報の信頼性を確認したりすることが含まれます。

4. 教育と意識向上: 組織内およびシステム ユーザーの間で信頼性に対する認識と認識を促進し、信頼できる情報源と情報を識別する方法を教育します。

これらの課題に注力することで、情報の真正性の保護を強化し、出典情報の改ざんリスクを軽減することができます。

説明責任 

        監査可能性としても知られる説明責任は、ガバナンスの重要な側面です。説明責任とは、行動、製品、決定、方針に対する責任を認識し引き受けることであり、役割や雇用上の立場内での管理、協議、実施、結果に対する報告、説明、責任の引き受けが含まれます。

説明責任を確保する場合、次の点を考慮する必要があります。

1. 関連する責任の明確化: 関連する責任を明確に定義して割り当て、全員が自分の役割と責任を明確に理解できるようにします。これにより、透明性のある作業環境を構築し、すべての関係者が自分の行動と決定に責任があることを認識できるようになります。

2. データ操作の記録: 後のレビューと追跡責任のためにデータ操作を記録できるようにします。これは、データ操作のログ記録、監査、追跡によって実現できます。

責任を明確にし、データのアクションを文書化することで、説明責任が強化され、組織や個人が自分の行動に対して責任を負えるようになります。

否認防止

        否認防止とは、イベントまたはアクションの発生を否定できないことです。法律上、否認防止とは、トランザクションに関与する当事者がトランザクションの受信または送信を拒否できないことを意味します。

否認防止を確保する場合、次の問題を考慮する必要があります。

1. 行為が行われたことの証明: 否認防止に関する問題では、行為が行われたという信頼できる証拠があることを確認してください。これには、電子記録、契約、アーカイブ、タイムスタンプなどが含まれる場合があります。

2. 発生証拠の改ざんの防止：発生証拠の改ざんを防止する措置を講じます。これには、アクションの信頼性と完全性を保証するためのデジタル署名または暗号化技術の使用が含まれる場合があります。

確実な証拠と偽造防止策が確実に存在することを保証することで、否認防止が保護され、参加者は自分の行為を否定できなくなります。

信頼性 

        信頼性とは、情報システムが指定された条件下で必要な機能を時間通りに完了できることを意味します。

信頼性を確保する場合、次の問題を考慮する必要があります。

1. システムの安定性: システムは、簡単にクラッシュしたり誤動作したりすることなく、長期間安定して実行できる必要があります。

2. エラー処理機能: システムは、エラーの伝播やシステム機能への影響を回避するために、エラーを適時に識別して処理できなければなりません。

3. フォールト トレランス: システムには、エラーや障害が発生しても基本的な機能とサービスを提供し続けることができるフォールト トレランス メカニズムが必要です。

4. 回復性: システムは、障害やデータ破損が発生した場合に、すぐに通常の動作に戻り、失われたデータを回復できる必要があります。

        必要とされる信頼性の程度はケースごとに異なります。金融取引システムや医療機器などの一部の重要なシステムでは、システム障害が重大な損失や損害を引き起こす可能性があるため、より高い信頼性要件が求められます。その他の重要ではないシステムの場合、信頼性要件は比較的低い場合があります。

        情報システムを設計・構築する際には、実際のニーズやビジネスニーズに応じて信頼性要件を決定し、システムの信頼性を実現・維持するための対応策を講じる必要があります。

3. ネットワークセキュリティ開発の段階

1、通信安全

1940 年代        から1970 年代まで、通信セキュリティは主に送信中のデータの保護に関係していました。この期間中、盗聴と暗号解析という 2 つの主要なセキュリティ脅威がありました。

中心的なアイデアは、暗号化テクノロジーを通じて通信の機密性を解決し、データの機密性と完全性を確保することです。

これを実現するために、次のセキュリティ対策が講じられます。

• 暗号化: 暗号アルゴリズムを使用して通信データを暗号化し、許可された受信者のみがデータを復号して読み取ることができるようにします。暗号化により機密性が確保され、第三者によるデータの盗難や盗聴が防止されます。

この時代の通信セキュリティは主に暗号化技術によるデータ保護を実現します。さまざまなセキュリティ要件に対処するために、さまざまな暗号化アルゴリズムとプロトコルが開発されています。

2. コンピュータのセキュリティ

1970 年代        から1990 年代にかけて、コンピュータ セキュリティは主に、処理中および保存中のデータの保護に関係していました。この期間中、主に次のようなセキュリティ上の脅威が発生します:不正アクセス、悪意のあるコード、脆弱なパスワードなど。

中心的な考え方は、コンピュータ システム (ソフトウェアおよびハードウェアを含む) のユーザー (許可されたユーザーと許可されていないユーザー) によって実行される不正なアクティビティの影響を防止、検出し、軽減することです。

これを実現するために、次のセキュリティ対策が講じられます。

• アクセス制御: オペレーティング システムが提供するアクセス制御テクノロジを通じて、コンピュータ システムへのユーザーのアクセスを制限および管理し、権限のないユーザーがアクセスできないようにします。これは、ユーザー認証、パスワード ポリシー、アクセス権構成などを通じて強制できます。

この時代のコンピュータ セキュリティは、不正アクセスや不正なユーザー活動の防止に重点を置き、アクセス制御技術を通じてコン​​ピュータ システムとユーザー データのセキュリティを保護しました。

3. 情報システムのセキュリティ

1990 年代        以降、情報システム セキュリティの焦点は、情報システム全体のセキュリティに移ってきました。この期間中、主にネットワーク侵入、ウイルス破壊、情報対立などのセキュリティ脅威が発生します。

中心的な考え方は、セキュリティを「データ」よりも洗練された「情報」の保護に重点を置くことです。データの機密性、完全性、可用性だけでなく、情報の価値と全体的なセキュリティも保護する必要があります。

これを実現するために、次のセキュリティ対策が講じられます。

1. ファイアウォール: ファイアウォールを構築してネットワーク トラフィックを監視および制御し、不正なアクセスや悪意のある攻撃を防ぎます。

2. ウイルス対策: ウイルス対策ソフトウェアを使用して、ウイルスやマルウェアを検出し、コンピュータ システムから排除します。

3. 脆弱性スキャン: システムの脆弱性をスキャンし、システムの弱点やセキュリティ ホールを適時に発見し、それらを修復するための措置を講じます。

4. 侵入検知: 侵入検知システムを使用してネットワークとシステムのアクティビティを監視し、不正な侵入を適時に発見して防止します。

5. PKI (公開キー基盤): 公開キー基盤を使用して、暗号化、認証、デジタル署名などのセキュリティ サービスを提供します。

この時期の情報システムのセキュリティは、静的なセキュリティ対策から動的なセキュリティ保護へと、技術レベルから管理レベル        まで拡大しました。情報システムのセキュリティは、テクノロジー、マネジメント、エンジニアリング対策の包括的な統合により、情報化における重要な保証と見なされており、情報と情報システムを保護するだけでなく、ビジネスミッションの円滑な進行をサポートします。

4. 情報セキュリティの保証

        1996 年に米国国防総省は、組織の業務と任務のための情報と情報システムの保護を強調する情報セキュリティ保証の概念を初めて提案しました。これが情報セキュリティの発展の基礎を築きました。

        その後、情報セキュリティの概念は世界的に広がり、我が国でも広く普及してきました。包括的な情報セキュリティ保証を達成するために、一連の一般要件と主要原則が策定されています。

一般的な要件には次のものが含まれます。

• 積極的な防御、包括的な予防(中国) : 脅威の予防、検出、対応により、情報および情報システムのセキュリティを保護するための積極的な防御態勢を講じます。

主な原則には次のものが含まれます。

1. 技術と管理に同等の注意を払う：包括的なセキュリティを達成するには、暗号化、ファイアウォールなどの技術的手段の使用に注意を払うとともに、アクセス制御、セキュリティ監査などの管理措置を強化する必要があります。情報セキュリティー。

2. セキュリティと開発の関係に正しく対処する: 情報セキュリティは組織のビジネス開発と密接に関係しており、リスクを防止しながらビジネスの革新と開発を促進するには、セキュリティと開発のバランスを見つける必要があります。

        これらの要件と原則は、テクノロジーと管理の統合的な使用、および情報セキュリティと組織のビジネス開発の間の調整を強調しています。包括的なセキュリティ対策と戦略により、情報システムのセキュリティを保証し、組織のビジネスと使命を安定的にサポートすることができます。

5. サイバースペースのセキュリティ 

        インターネットの発展に伴い、サイバースペースのセキュリティが重要なテーマとなっています。インターネットは、従来の仮想世界と物理世界を相互接続し、新しい技術分野を形成し、新たなセキュリティ リスクをもたらしました。

        産業用制御システム、クラウド コンピューティング、ビッグ データ、モノのインターネット、人工知能などの分野では、サイバースペース セキュリティの重要性がわかります。

サイバースペースセキュリティの中心的な考え方は、防御、抑止、利用を一体的に組み合わせた「抑止」        の概念を強調することです。これは、ネットワークやシステムを攻撃から保護するための防御手段を採用するだけでなく、サイバースペースを最大限に活用しながら潜在的な脅威を防ぐための抑止力を採用することも意味します。

        サイバー空間の安全は、技術的手段を総合的に活用し、適切な安全保障戦略を策定し、国際協力を強化することによって確保できる。そのためには、安全で安定した信頼性の高いサイバースペース環境を構築するために、政府、企業、組織、個人が共同で取り組む必要があります。

        サイバースペースのセキュリティの保護は、潜在的な脅威に対する防御、抑止力による将来の脅威の防止、サイバースペースが提供する機会と利点の最大限の活用を含む、3 つが 1 つのプロセスである必要があります。

4. サイバー空間のセキュリティ保証

サイバースペースセキュリティ

1. 情報化の発展はサイバー空間の段階へ

• サイバースペースのセキュリティは、情報技術の発展とともに参入した重要な分野です。インターネットは、従来の仮想世界と物理世界を接続し、新たなサイバー空間を形成します。
• サイバー空間は、海、陸、空、宇宙に次ぐ、第 5 の宇宙概念の発展となっています。

2. コンセプト開発

• 2008 年、米国大統領令第 54 号によりサイバースペース (Cyber​​space) が正式に定義されました。
• その後、2009 年にサイバー空間政策評価が発表され、新技術の出現によりサイバー空間セキュリティの問題はより複雑になりました。
• 2010 年に、サイバースペースのセキュリティが米国の国家安全保障の範囲に含まれました。
• そして2011年には米軍の戦闘空間の検討にサイバー空間も含まれるようになった。

        これらの出来事の発生は、サイバースペースセキュリティの重要性を実証し、その正式な定義と政策計画につながりました。絶え間なく進化し、新しいテクノロジーが開発される中、ますます複雑化するサイバーセキュリティの脅威に対処するために、サイバースペースのセキュリティへの理解と保護を強化する必要があります。

3. サイバースペースのセキュリティは国家安全保障のレベルまで上昇

• サイバースペースのセキュリティは国家安全保障の重要な部分となっています。Internet of Everything の時代では、ほとんどすべてのものがオンラインになり、ほぼすべての分野がサイバー攻撃の危険にさらされています。したがって、サイバースペースのセキュリティを保護することは、国家安全保障にとって最も重要です。
• サイバー攻撃者はインターネット上の「国境」を簡単に突破でき、どこにでも存在し、地理的な境界によって制限されることはありません。
• ネットワーク セキュリティが侵害されると、個人のプライバシーが漏洩し、経済的安全が脅かされ、主要なインフラが麻痺し、国家安全保障さえも重大な影響を受ける可能性があります。

 

4. サイバースペースのセキュリティはすべての企業とすべての個人に影響を与えます

        企業や個人の情報システムへの依存度が高まるにつれ、情報システムの不在は事業運営や私たちの生活に大きな影響を与えることになります。

        情報システムがなければ、企業は日常の業務運営やデータ管理ができなくなるというジレンマに直面します。従来の手動処理は非効率的でエラーが発生しやすくなり、その結果、生産性が低下し、ビジネスの競争力が低下します。企業はサプライチェーン管理、販売、マーケティングを適切に行うことができず、さらには顧客のニーズにタイムリーに対応することさえできません。

        個人にとって、情報システムがなければ日常生活は大きな影響を受けます。電子メール、ソーシャルメディア、オンラインショッピング、オンラインバンキングなどのサービスにアクセスできなければ、人々は日常的にコミュニケーションを取り、情報を入手し、問題を解決することが困難になります。さらに、銀行取引、発券、イベントへの登録などの多くの従来の取引も制限され、より多くの時間とリソースが必要となります。

        一方で、情報漏洩などのサイバー空間のセキュリティ事故も多発しています。これは、機密の個人情報の漏洩、経済的損失、信頼の危機につながる可能性があります。これは個人にとって苦痛であるだけでなく、企業や社会全体に重大な影響を与える可能性があります。

        実際、ベネズエラの停電のような出来事は、中国を含むどの国でも起こり得る。サイバースペースのセキュリティの脅威は国境によって制限されないため、すべての国は自国のネットワークと情報インフラストラクチャの保護を非常に重視する必要があります。

 

        これらのリスクに対処するために、企業や個人はネットワーク セキュリティの意識を強化し、強力なパスワードの使用、ソフトウェアの定期的な更新、データのバックアップの実行、定期的なネットワーク セキュリティ トレーニングの受講など、必要な保護措置を講じる必要があります。国家レベルでは、サイバーセキュリティ法と政策の策定と実施を強化し、サイバー空間のセキュリティ課題に共同で対処するための国際協力を強化することも必要である。

5. サイバー戦争の概念は徐々に現実のものとなっている 

サイバー戦争とは、ある国または国家が別の国のコンピュータ システムまたはネットワークに侵入および攻撃し、損害または破壊を引き起こすことを指します。情報技術の発展に伴い、国家全体の軍事戦略の一環としてサイバー戦争の重要性がますます高まっています。

サイバー攻撃を通じて、国家は次の行動を実行する可能性があります。

• 情報戦
• サイバー偵察
• サイバー妨害行為

軍事的、政治的、経済的目標を達成するため。サイバー戦争の脅威は軍事分野にとどまらず、経済、政治、社会、国際関係などさまざまな分野に及んでいます。

この脅威に対応するため、各国は国際協力を強化するとともに、サイバー戦争能力の構築と防衛を強化してきました。具体的な対策としては以下が挙げられます。

• サイバーセキュリティの専門家を採用し、訓練する
• サイバーセキュリティのポリシーと規制を策定する
• ネットワーク監視と攻撃元追跡を強化する
• ネットワーク防御システムを構築する

サイバーセキュリティと協力を強化することで、サイバー戦争のリスクを軽減し、サイバー空間の安全と安定を守ることができます。

 

 6. 国家サイバースペースセキュリティ戦略

2016 年 12 月、中国は「国家サイバー空間安全保障戦略」を発表し、サイバー空間の発展は機会であると同時に課題でもあると指摘しました。これらには次の側面が含まれます。

1. サイバー侵入は政治的安全を脅かす: サイバー攻撃は国の政治的安全を脅かす可能性があります。

2. サイバー攻撃は経済安全保障を脅かす: サイバー攻撃は、国の経済安全保障に脅威をもたらす可能性があります。

3. オンラインの有害な情報は文化的安全性を侵食します: オンラインの有害な情報は、国の文化的安全性を侵食する可能性があります。

4. サイバーテロとサイバー犯罪は社会の安全を損なう：サイバーテロとサイバー犯罪は社会の安全を損なう可能性があります。

5. サイバー空間における国際競争が激化: サイバー空間における各国間の競争はますます激化しています。

6. サイバースペースには機会と課題が共存する: サイバースペースには機会と課題の両方があります。

全体として、サイバースペースにはさまざまな課題があるにもかかわらず、チャンスは課題をはるかに上回っています。 

 

7. サイバースペースセキュリティ戦略

サイバースペースセキュリティ戦略目標:

• ネットワーク力の構築を実現

強調：

• サイバースペースの主権を守る
• サイバー空間の平和利用
• 合法的なサイバースペース
• ネットワークのセキュリティと開発を調整する

タスク：

• サイバースペースで主権を守る
• 国家の安全を断固として守る
• 重要な情報インフラを保護する
• ネットワーク文化の構築を強化する
• サイバーテロと犯罪との闘い
• ネットワークガバナンスシステムの改善
• ネットワークセキュリティの強固な基盤の構築
• サイバー空間の防御能力を向上させる
• サイバー空間における国際協力を強化する

8. 国家の主要な情報インフラストラクチャ

        国家重要情報インフラ（重要情報インフラ）とは、国家の安全保障や公共の利益に密接に関係する情報施設を指し、データが漏洩、破壊、機能喪失すると、国家の安全保障や公共の利益に重大な危険を及ぼす可能性があります。

以下に、重要な情報インフラストラクチャの例をいくつか示します。

• 基礎情報ネットワーク（インターネット基幹ネットワークを含む）
• エネルギーシステム（発電、送電、蓄電システムなど）
• 金融システム（銀行、証券、決済システムを含む）
• 輸送システム (航空、鉄道、船舶、道路交通など)
• 教育システム（学校、大学ネットワークを含む）
• 科学研究システム（科学研究機関、研究所など）
• 水保全システム（水資源、水利施設など）
• 工業生産システム (重要な工業プロセスや施設など)
• 医療システム（病院、健康情報交換を含む）
• 社会保障制度（社会保険、医療保険、年金保険など）
• ユーティリティ システム (例: 水、ガス、熱)
• 国家機関の重要な情報システム（政府情報、国防システムなど）
• 重要なインターネット アプリケーション システム (電子商取引プラットフォーム、電子政府システムなど)

これらの重要な情報インフラストラクチャのセキュリティを保護することは、国家安全保障と人々の暮らしにとって極めて重要です。各国は、これらの施設の正常な運用を確保し、潜在的な脅威に対応するために、暗号化通信、ネットワーク監視、災害復旧バックアップ、セキュリティ監査などの保護を強化する措置を講じる必要があります。