GATE02のロゴコーポレートサイト
サイバーセキュリティラボの画像
  1. トップ
  2. セキュリティ記事
  3. 適切な枠組み作りの最初の1歩 - 情報資産の洗い出し
2025.03.31

適切な枠組み作りの最初の1歩 - 情報資産の洗い出し

image

はじめに

本記事では、会社を経営されている方或いは情報セキュリティ担当者が、自社のセキュリティ体制構築の第一歩を踏み出す時に重要な「情報資産とリスクの洗い出し」について解説いたします。ISMS認証の取得支援の際にもご利用いただける手法になっております。真似して実施するだけでも効果がありますので、ぜひご参考にしてください。

攻撃者は既にあなたを狙っている。必ずやってくるXデーに備えて
現代のビジネスにおいて、「サイバーセキュリティ」という言葉は欠かせない要素となりました。特に2020年のコロナ禍でリモートワークが急速に浸透した際、多くの組織が迅速な対応を迫られました。
image

セキュリティ構築の入口 - 情報資産台帳の作成

あなたの会社では情報資産を適切に管理できていますか。

セキュリティの体制を構築していく上で、これらの守るべき資産が理解できていないと、サイバーセキュリティに係るリスクの評価を行うことができません。

情報資産はリスクの管理、ひいては強固な組織づくりのためには非常に重要な要素です。

情報資産の管理には、以下の項目に分けて整理することが求められます。

  • 情報資産名
  • 管理部署
  • 管理責任者
  • 媒体
  • 個人情報の有無
  • 資産の重要度
  • 登録日

情報資産名

分類

利用部署

管理部署

管理責任者

個人情報の有無

資産の重要度

資産登録日

停止中

顧客データ

デジタル

営業部・IT部門

営業部

山田太郎

あり

2013年3月31日

給与管理Saas製品

ソフトウェア

経理部

経理部

鈴木花子

あり

2018年4月14日

リリース済サービス

サービス

開発部・企画部

開発部

佐藤次郎

あり

2022年11月10日

ソフトウェアライセンス

ソフトウェア

IT部門

IT部門

髙橋理恵

なし

2024年5月13日

本社サーバ機器

物理的資産

IT部門

IT部門

田中一郎

なし

2018年8月3日

本社サーバ(設計図)

紙媒体

IT部門

IT部門

田村直樹

なし

2018年8月3日

クラウド

サービス

IT部門

IT部門

吉田啓二

あり

2022年4月2日

情報資産台帳を作成する上でのポイント

私が顧客向けにISMS認証取得の対応を行っていた際によくいただいた質問や、情報資産管理をする上での重要なポイントを以下にまとめました。

1.何をもって情報資産なのかが分かりにくい

情報資産とは、企業や組織が所持する「ヒト」「カネ」「モノ」に関する重要な情報やデータ、そしてそれらを管理するためのシステムやツールすべてを指します。

重要なのは、情報資産が「顧客情報登録簿」や「給与データ」といった、いかにも「情報」と思われるものだけに限らないという点です。

例えば、社内で使用しているSaaS製品や導入しているツール、リリースしているサービス名なども情報資産に含まれます。これらをExcelなどで整理し、洗い出しを行うことをお勧めします。もしそれでも情報資産なのかが不明瞭な場合は、以下を参考に洗い出してみてください。

<情報資産にあてはまる例>

顧客および従業員関連

  • 従業員情報
  • 顧客情報
  • 仕入れ先および販売先情報

財務および事業関連

  • 財務情報
  • 事業戦略
  • 取引契約書

製品・技術関連

  • 製品技術情報
  • 営業手法・業務ノウハウ
  • 提供サービス

インフラおよびソフトウェア関連

  • サーバー・ネットワーク機器インフラ
  • クラウドサービス・通信インフラ
  • 使用ソフトウェア・ツール
  • 自社システム情報(システム設計、ネットワーク、認証情報)

2.重要度の算出方法とは

情報資産の重要度を定めることは、次のステップにある「リスク評価」を行う上で非常に重要になってきます。重要度の出し方は画一的に定まっているわけではありませんが、認証取得の上でも問題がなく、比較的容易に定めやすい手法を記載いたします。

情報の機密性(漏えいしないこと)、完全性(改ざんされないこと)、可用性(必要なときにアクセスできること)の観点で重要度を評価をします。

以下のようにして軽度なレベルから重度のレベルのものまで、定義を設定する必要があります。状況によっては評価は3段階でも問題ありません。

機密性

評価

内容

1

情報は誰でもアクセス可能で、公開されていても問題ない。

2

一部の人がアクセス可能だが、機密性が低くてもビジネスに大きな影響はない。

3

限られた関係者のみがアクセスできるが、漏えいしても影響は限定的。

4

特定の権限を持つ者のみアクセスでき、漏えいがビジネスに深刻な影響を与える可能性がある。

5

情報は極めて厳格に制限され、漏えいすれば重大な損失や法的リスクが発生する。

完全性

評価

内容

1

情報に誤りがあっても問題ない、正確さを求めない。

2

情報に多少の誤りがあってもビジネスに大きな影響はない。

3

正確性が重要であり、誤りがビジネスに一定の影響を与える可能性がある。

4

情報の正確性が非常に重要で、誤りがビジネスに深刻な影響を与える。

5

情報は完全に正確である必要があり、誤りがあれば法的・経済的な深刻な結果を招く。

可用性

評価

内容

1

情報はいつでも利用可能でなくても問題ない。

2

情報は一時的に利用できなくても大きな影響はない。

3

情報は通常利用可能である必要があり、アクセスできないと業務に影響が出る。

4

情報は常に利用可能でなければならず、アクセスできないとビジネスに重大な影響を与える。

5

情報は絶対に途切れずアクセス可能で、アクセス不能になると業務や収益に深刻な影響を与える。

重要度は、機密性と完全性、可用性を足すことによって算出されます。

重要度 = 機密性 + 完全性 + 可用性

例:機密性:3 + 完全性:4 + 可用性:5 = 12(重要度「高」)

11以上(重要な資産で、最大限の保護が必要)

7~10(比較的重要な資産で、適切な保護が必要)

6以下(低重要度の資産で、最低限の保護のみが必要)

※数値を和で求めるのか、積として求めるのかは、一長一短があります。特に積の場合は、1つでも数字が低くなる(例えば可用性が1である)と、全体の数値も低くなりますし、逆も然りです。機密性はとてつもなく高いのに、可用性が1だからという理由で、全体の重要度が下がってしまう可能性があります。全体のバランスを重視したいときは足し算で、ボトルネック(数値が低いところ)の影響度もきちんと反映させたいときは掛け算が良いです。

必要であれば情報資産の表に以下のように組み入れてもよいかもしれません。

資産の重要度

機密性

完全性

可用性

5

4

5

4

3

4

5

4

5

3

3

3

3

1

1

4

2

2

4

4

5

これらの重要度に係る定義は、今後マニュアルを作成する際に必要になりますので、丁寧に保管するようにしてください。

3.情報資産の見直しは最低月1回行う

情報資産の台帳は、運用管理が適切に行えていなければ意味がありません。多忙な企業様でも、情報資産管理者が毎月末に数日時間を設け、資産台帳の確認と更新を期限内に行うよう各部署へ依頼することで十分です。資産の確認、追記、修正を含めても5分程度で終わることなので、資産の管理を徹底しましょう。資産の重要度の定義の見直し等は、年に1回程度見直す運用を行うとよいでしょう。

4.使用されなくなった資産であっても削除はしない

情報資産台帳は、これまでの情報資産の積み重ねを示す重要な記録です。毎月の見直し時に、すでに使用されなくなった資産(例:会社のサービス終了など)については、その情報を削除せず、セルをグレー色で塗りつぶすか、取り消し線を引く形で残しておくことをおすすめします。これにより、過去から現在にかけて適切に情報資産が管理されていることを示すことができます。

まとめ

今回は、情報資産の洗い出し方とその運用におけるポイントについてご説明しました。繰り返しになりますが、情報資産の洗い出しはサイバーセキュリティ体制構築の第一歩であり、これを基にリスク評価や具体的な対策が進んでいきます。また、情報資産は組織の対外的なイメージにも影響を与える重要な部分ですので、この機会に情報資産台帳の作成を始めてみるのは如何でしょうか。また、セキュリティ体制の見直しについてもぜひご検討ください。

本記事では具体的にどのような対応をすべきかをお話しましたが、それでも情報資産管理を含めた運用は大変なことも多いのが実情です。もしお困りの際は、ぜひ弊社にご連絡いただければと思います。

次回は、リスク管理についてお話しいたします。

執筆者
著者の画像
髙橋 拓実
セキュリティ商材のプリセールス、社内システムエンジニアとしてのセキュリティ対策主幹業務を経て、ペネトレーションテスターや脆弱性診断士として従事。現在は、情報セキュリティスペシャリストとして、ITサービスの企画立案、コンサルティング対応、診断業務を行う。ISMSの認証取得支援にも携わり、セキュリティ分野で幅広い業務を担当。GIAC GWAPT、CEH、CHFIなどの専門資格を保持し、セキュリティ分野における高い専門性を証明。また、会議や商談において英語での会議通訳などの対応も執り行う。
セキュリティに関するお問い合わせはこちらから
自社の現状を知りたい方やこれから対策をしたい方、インシデントが起きてしまった方はこちらからご相談ください!
お問い合わせ