適切な枠組み作りの最初の1歩 - 情報資産の洗い出し
はじめに
本記事では、会社を経営されている方或いは情報セキュリティ担当者が、自社のセキュリティ体制構築の第一歩を踏み出す時に重要な「情報資産とリスクの洗い出し」について解説いたします。ISMS認証の取得支援の際にもご利用いただける手法になっております。真似して実施するだけでも効果がありますので、ぜひご参考にしてください。
セキュリティ構築の入口 - 情報資産台帳の作成
あなたの会社では情報資産を適切に管理できていますか。
セキュリティの体制を構築していく上で、これらの守るべき資産が理解できていないと、サイバーセキュリティに係るリスクの評価を行うことができません。
情報資産はリスクの管理、ひいては強固な組織づくりのためには非常に重要な要素です。
情報資産の管理には、以下の項目に分けて整理することが求められます。
- 情報資産名
- 管理部署
- 管理責任者
- 媒体
- 個人情報の有無
- 資産の重要度
- 登録日
情報資産名 | 分類 | 利用部署 | 管理部署 | 管理責任者 | 個人情報の有無 | 資産の重要度 | 資産登録日 | 停止中 |
|---|---|---|---|---|---|---|---|---|
顧客データ | デジタル | 営業部・IT部門 | 営業部 | 山田太郎 | あり | 高 | 2013年3月31日 | - |
給与管理Saas製品 | ソフトウェア | 経理部 | 経理部 | 鈴木花子 | あり | 中 | 2018年4月14日 | ✓ |
リリース済サービス | サービス | 開発部・企画部 | 開発部 | 佐藤次郎 | あり | 高 | 2022年11月10日 | - |
ソフトウェアライセンス | ソフトウェア | IT部門 | IT部門 | 髙橋理恵 | なし | 中 | 2024年5月13日 | - |
本社サーバ機器 | 物理的資産 | IT部門 | IT部門 | 田中一郎 | なし | 高 | 2018年8月3日 | - |
本社サーバ(設計図) | 紙媒体 | IT部門 | IT部門 | 田村直樹 | なし | 中 | 2018年8月3日 | - |
クラウド | サービス | IT部門 | IT部門 | 吉田啓二 | あり | 高 | 2022年4月2日 | - |
情報資産台帳を作成する上でのポイント
私が顧客向けにISMS認証取得の対応を行っていた際によくいただいた質問や、情報資産管理をする上での重要なポイントを以下にまとめました。
1.何をもって情報資産なのかが分かりにくい
情報資産とは、企業や組織が所持する「ヒト」「カネ」「モノ」に関する重要な情報やデータ、そしてそれらを管理するためのシステムやツールすべてを指します。
重要なのは、情報資産が「顧客情報登録簿」や「給与データ」といった、いかにも「情報」と思われるものだけに限らないという点です。
例えば、社内で使用しているSaaS製品や導入しているツール、リリースしているサービス名なども情報資産に含まれます。これらをExcelなどで整理し、洗い出しを行うことをお勧めします。もしそれでも情報資産なのかが不明瞭な場合は、以下を参考に洗い出してみてください。
<情報資産にあてはまる例>
顧客および従業員関連
- 従業員情報
- 顧客情報
- 仕入れ先および販売先情報
財務および事業関連
- 財務情報
- 事業戦略
- 取引契約書
製品・技術関連
- 製品技術情報
- 営業手法・業務ノウハウ
- 提供サービス
インフラおよびソフトウェア関連
- サーバー・ネットワーク機器インフラ
- クラウドサービス・通信インフラ
- 使用ソフトウェア・ツール
- 自社システム情報(システム設計、ネットワーク、認証情報)
2.重要度の算出方法とは
情報資産の重要度を定めることは、次のステップにある「リスク評価」を行う上で非常に重要になってきます。重要度の出し方は画一的に定まっているわけではありませんが、認証取得の上でも問題がなく、比較的容易に定めやすい手法を記載いたします。
情報の機密性(漏えいしないこと)、完全性(改ざんされないこと)、可用性(必要なときにアクセスできること)の観点で重要度を評価をします。
以下のようにして軽度なレベルから重度のレベルのものまで、定義を設定する必要があります。状況によっては評価は3段階でも問題ありません。
機密性 | 評価 | 内容 |
|---|---|---|
1 | 情報は誰でもアクセス可能で、公開されていても問題ない。 | |
2 | 一部の人がアクセス可能だが、機密性が低くてもビジネスに大きな影響はない。 | |
3 | 限られた関係者のみがアクセスできるが、漏えいしても影響は限定的。 | |
4 | 特定の権限を持つ者のみアクセスでき、漏えいがビジネスに深刻な影響を与える可能性がある。 | |
5 | 情報は極めて厳格に制限され、漏えいすれば重大な損失や法的リスクが発生する。 |
完全性 | 評価 | 内容 |
|---|---|---|
1 | 情報に誤りがあっても問題ない、正確さを求めない。 | |
2 | 情報に多少の誤りがあってもビジネスに大きな影響はない。 | |
3 | 正確性が重要であり、誤りがビジネスに一定の影響を与える可能性がある。 | |
4 | 情報の正確性が非常に重要で、誤りがビジネスに深刻な影響を与える。 | |
5 | 情報は完全に正確である必要があり、誤りがあれば法的・経済的な深刻な結果を招く。 |
可用性 | 評価 | 内容 |
|---|---|---|
1 | 情報はいつでも利用可能でなくても問題ない。 | |
2 | 情報は一時的に利用できなくても大きな影響はない。 | |
3 | 情報は通常利用可能である必要があり、アクセスできないと業務に影響が出る。 | |
4 | 情報は常に利用可能でなければならず、アクセスできないとビジネスに重大な影響を与える。 | |
5 | 情報は絶対に途切れずアクセス可能で、アクセス不能になると業務や収益に深刻な影響を与える。 |
重要度は、機密性と完全性、可用性を足すことによって算出されます。
重要度 = 機密性 + 完全性 + 可用性
例:機密性:3 + 完全性:4 + 可用性:5 = 12(重要度「高」)
高 | 11以上(重要な資産で、最大限の保護が必要) |
|---|---|
中 | 7~10(比較的重要な資産で、適切な保護が必要) |
小 | 6以下(低重要度の資産で、最低限の保護のみが必要) |
※数値を和で求めるのか、積として求めるのかは、一長一短があります。特に積の場合は、1つでも数字が低くなる(例えば可用性が1である)と、全体の数値も低くなりますし、逆も然りです。機密性はとてつもなく高いのに、可用性が1だからという理由で、全体の重要度が下がってしまう可能性があります。全体のバランスを重視したいときは足し算で、ボトルネック(数値が低いところ)の影響度もきちんと反映させたいときは掛け算が良いです。
必要であれば情報資産の表に以下のように組み入れてもよいかもしれません。
資産の重要度 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|
高 | 5 | 4 | 5 |
高 | 4 | 3 | 4 |
高 | 5 | 4 | 5 |
中 | 3 | 3 | 3 |
低 | 3 | 1 | 1 |
中 | 4 | 2 | 2 |
高 | 4 | 4 | 5 |
これらの重要度に係る定義は、今後マニュアルを作成する際に必要になりますので、丁寧に保管するようにしてください。
3.情報資産の見直しは最低月1回行う
情報資産の台帳は、運用管理が適切に行えていなければ意味がありません。多忙な企業様でも、情報資産管理者が毎月末に数日時間を設け、資産台帳の確認と更新を期限内に行うよう各部署へ依頼することで十分です。資産の確認、追記、修正を含めても5分程度で終わることなので、資産の管理を徹底しましょう。資産の重要度の定義の見直し等は、年に1回程度見直す運用を行うとよいでしょう。
4.使用されなくなった資産であっても削除はしない
情報資産台帳は、これまでの情報資産の積み重ねを示す重要な記録です。毎月の見直し時に、すでに使用されなくなった資産(例:会社のサービス終了など)については、その情報を削除せず、セルをグレー色で塗りつぶすか、取り消し線を引く形で残しておくことをおすすめします。これにより、過去から現在にかけて適切に情報資産が管理されていることを示すことができます。
今回は、情報資産の洗い出し方とその運用におけるポイントについてご説明しました。繰り返しになりますが、情報資産の洗い出しはサイバーセキュリティ体制構築の第一歩であり、これを基にリスク評価や具体的な対策が進んでいきます。また、情報資産は組織の対外的なイメージにも影響を与える重要な部分ですので、この機会に情報資産台帳の作成を始めてみるのは如何でしょうか。また、セキュリティ体制の見直しについてもぜひご検討ください。
本記事では具体的にどのような対応をすべきかをお話しましたが、それでも情報資産管理を含めた運用は大変なことも多いのが実情です。もしお困りの際は、ぜひ弊社にご連絡いただければと思います。
次回は、リスク管理についてお話しいたします。
