サイバーセキュリティとは、インターネットのように個人や企業、設備や機器がネットワークで相互につながれた世界における、情報やシステムが適切に管理運用されるための、条件や対策が維持された状態を意味する。
従来、サイバーセキュリティは、主に企業や個人が保有する情報システムが、インターネットから危害を受けることを指すことが多かった。最も危惧されるのが、秘匿すべき情報の漏洩である。
そのような秘匿情報が漏洩する事件を防止する管理の仕組みを、情報セキュリティ管理計画(ISMS:Information Security Management System)と呼ぶ。多くの企業でISO-9001に並んで取得されているISO-27001がその国際規格である。USBメモリーの使用制限や、社員への教育など、機密情報の漏洩を防ぐことが目的である。
近年、コンピュータの小型化ならびにネットワーク器具の低価格化、携帯電話網などによる通信インフラの充実から、工場や機械設備がつながる制御ネットワークもインターネットなど広域な通信網に相互につながる時代となった。IoTやIndustrie4.0と呼ばれている。
工場やプラント設備などの制御システムネットワークでは、ウィルスやネットワーク機器の障害によって、制御が不安定になったり、保護装置が無効化されたりする事件が考えられる。つまり機械が破壊されたり、人や環境が危険にさらされるリスクが高まってきた。このような制御システムのネットワークに発生する事件や事故を防止するための活動を、制御セキュリティと呼ぶ。IEC-62443という国際規格でまとめられている。
現代社会において、サイバーセキュリティとは、インターネット・情報ネットワーク・制御ネットワークが相互に接続された世界における、様々なリスクを低減するための取り組みの全体を指すものとなっている。
特に制御ネットワークにおけるセキュリティは、前述のように情報の秘匿だけではなく、設備の損壊や大規模な災害に結び付く可能性がある。活動の中核は、設備の災害リスク分析と、その設備を担うシステムに対するリスク分析(脆弱性分析、脅威分析)である。すなわち、リスクベースデザインが極めて重要である。