サイバーセキュリティでよく誤用される用語

言葉は難しい。英語は難しいです。なんとかコミュニケーションをとる方法は奇跡に近いです。

時々、私がオスカーワイルド、マークトウェイン、または読者がそれらの意味を完全に想像できるように、キャラクターやシナリオを簡単に説明できるように見える他の偉大な作家のいずれかであったらいいのにと思います。

代わりに、私は言葉を発明したシェイクスピアのようであり、彼の非常識なメーターに合うように他の人をひねったので、私のような平均的な人々は意図された意味を理解するのに苦労しています（ちなみに、私はシェイクスピアが大好きです）。

残念ながら、私の選んだ分野は、シェイクスピアの仲間でいっぱいのようです。壁にアルファベットのスープを投げて、茶葉を読むように結果を読む人は、精度が低くなります。

それは本当に何を意味するのですか？

NISTサイバーセキュリティ用語集のバックボーンであるサイバーセキュリティ用語データベースを作成したとき、「リスク」や「セキュリティ」などのユビキタスな用語でさえ、どれほど混乱しているかに驚いていました。 「サイバーセキュリティ」という言葉が何を意味するのかについては、まだ本当のコンセンサスはありません！

そこで、サイバーセキュリティの分野でよく誤用される用語のリストをまとめました（これらは有益な情報を提供することを目的とした非公式の説明です）：

データと情報と知識

データ 通常、情報を構成するビットとバイトと見なされます。 情報 複数のビットとバイトを何か便利なものに変えます。たとえば、温度センサーは「102」を読み取る場合がありますが、情報 人間の口の中にあった温度センサーでは華氏102度であることがわかります。 知識 情報を許可するものです 行動に移す。人間にとって華氏102度は暑すぎると言われています。 データ間の行 、情報 および知識 ぼやけていますが、それらの線を激しく主張する人もいます。

脅威とリスク

脅威 何か悪いことが起こる可能性があること、または何か悪いことが起こる可能性があるエンティティ（「脅威アクター」とも呼ばれる）を意味するために使用されます。 リスク 悪いことが起こる可能性と潜在的な結果が含まれます。人々はしばしば（誤って）これらの単語を同じ意味で使用します。

リスク管理

何か悪いことが起こるかもしれないという可能性に対応するプロセス。一般的に4つのオプションがあります：リスクを受け入れる、それを転送する、それを回避する、またはそれを軽減する。誰と話すかにもよりますが、少なくとも8つのオプションがありますが、これらは従来の4つです。サイバーセキュリティ担当者がリスク管理について話すとき、彼らはリスク管理フレームワークに配置されたプロセスを参照している可能性があります。

サイバーセキュリティ

基本的に、コンピュータシステム（ネットワーク、インターネット、および「スマート」なものを含む）の保護。ただし、これは、情報保証、データ保護、プライバシーも含む総称として使用されています。この用語は、誰かが「サイバー」とは何かを適切に説明できるようになるまで、変更され続ける可能性があります。

情報保証（またはセキュリティ）

紙、電子、石のタブレット、信号、記憶など、あらゆる形式の事実、ニュース、知識、場合によってはデータの保護。サイバーセキュリティの傘下に置かれることがよくあります。

標準

多くの人がNISTの特別刊行物を標準と誤解していますが、それよりも少し複雑です。 NISTは、正式な標準を開発しています。たとえば、FIPS200やFIPS140-3などの連邦情報処理標準（FIPS）です。 NISTは、業界標準および国際標準の開発にも参加しています。 標準という言葉 品質のレベルまたは受け入れられた基準を意味するために使用することもできます。この最後のケースでは、NISTの出版物が標準としてよく使用されます。 。微妙な違いですが、重要な違いです。それでも、一般的に、NISTの特別刊行物（SP）、内国/省庁間報告書（IR）、ホワイトペーパー、またはFIPS以外のものを標準と呼ぶことは控えることが最善です。 代わりに、「出版物」、「文書」、または「ガイダンス」という用語を使用してください。

要件とコントロール

これらの用語は両方とも、組織がサイバーセキュリティリスクを管理するために持つ可能性のある、または行う可能性のある特定の活動、プロセス、慣行、または機能を識別するために使用できます。 コントロール 必須の場合とそうでない場合がありますが、要件 一般的にです。ドキュメントで使用されている用語を確認することをお勧めします。たとえば、多くの人がNIST SP 800-171 要件を参照しています。 コントロールとして 、これは正しくありません。

監査と評価

サイバーセキュリティでは、監査という用語 多くの場合、他のいくつかの分野よりもフォーマルでネガティブな雰囲気があります。 監査 データ漏えい（通常は内部監査）、顧客の要求（通常は顧客による外部監査）、または認証の取得（第三者監査）などのインシデントの後に行われます。 評価 常にではありませんが、通常は友好的な健康診断のようなものです。いくつもの活動を網羅することで、評価は狭くても広くてもよく、評価対象の会社が望むだけの厳密さ、または状況に適したものにすることができます。この一般的な規則の1つの例外は、評価という単語を使用するCyber​​security Maturity Model Certification（CMMC）プログラムにあります。 会社が評価される形式手法として。

コンプライアンス

コンプライアンス 通常、要件（内部または外部、場合によっては規制）を満たすことを指し、多くの場合、ある種の証明書または証明書とともに示されます。人々はしばしば「NIST準拠」のようなフレーズを使用します。これは、多くの人がNISTが要件を実施している、または企業の製品やプロセスのセキュリティを証明または証明していると解釈しているため、誤解を招く可能性があります。 「NIST準拠」が通常意味するのは、会社がNISTの出版物の慣行と手順を使用しており、多くの場合、いくつかの要件を満たすことです。これはコンプライアンスと見なされる場合がありますが 活動では、通常、コンプライアンスの対象となるルールまたは要件を述べることにより、混乱を避けることが最善です。たとえば、NIST SP 800-171に従って、DFARSに準拠することができます。これの例外は、暗号化アルゴリズムとモジュールの場合です。この場合、正しい用語が検証され、準拠していることは、製品全体がないことを示します。 正式に評価されました。

英語の単語は、インターネット上のミームとほぼ同じ速さで進化します。100万人のシェイクスピアが英語を取り戻し、虐殺され、操作され、ほとんど認識できないスクリプトに折りたたまれます。サイバーセキュリティの分野では、これは無謀な放棄で行われているようです。ただし、これらの重要な用語のいくつかとその使用方法を理解すると、サイバーセキュリティのニーズを理解して伝達するのに役立ちます。