情報資産管理台帳は、企業の情報資産を一元的に管理し、情報漏えいや不正アクセスなどのリスクを最小限に抑えるための重要な役割を果たします。ITリテラシーの一環として、企業が情報資産を適切に管理するための重要なツールです。
今回は、具体的に情報資産管理台帳がどのように機能し、どのように活用できるのか解説します。
また、情報資産管理のほかにもあれこれと対応することの多いISMS認証について、ISMS認証取得までのTodoリストを無料で配布しています。確実な取得に、ご活用ください。
情報資産の定義
「情報資産」は経営資源(ヒト・モノ・カネ・情報)の一種で、情報セキュリティ分野においては情報および情報を扱う仕組みまでを包含する概念となります。企業が保有・収集する情報のほか、情報メディア(書類や各種のデジタルメディア)、情報を扱うソフトウェア、端末や機器、設備等のハードウェア、担当要員、マニュアル等のドキュメントも含みます。
重要な情報資産の例として以下があげられます。
- 製品技術情報
- 財務や人事等の経営情報
- 顧客情報
- 知的財産(特許や著作権)
- 情報システム、社内ネットワークと関連機器
ただし、具体的な情報資産のうちどれをセキュリティ保護の対象とするかは、それぞれの組織が属する業界や業務特性をかんがみ、個々に決めていく必要があります。
情報資産管理台帳とは
情報資産管理台帳とは情報セキュリティの管理のために、組織が保有・収集する情報資産をリスト化してまとめて、リスク評価したものです。
情報資産管理台帳を作成する主な目的は情報セキュリティポリシーの策定のためです。
作成にあたり、まずは事業継続において保護が必要な情報資産を特定し、それぞれの情報資産に対するリスク評価を実施します。そして評価結果を情報セキュリティポリシーに反映させます。
なお情報セキュリティポリシーとは、組織の情報セキュリティ対策の基本方針や行動基準を定めたものです。組織の活動実態により基本方針等の一部を外部や一般に公開することもあります。
情報資産管理台帳は情報セキュリティ関連の監査において提出が求められる大事な書類です。もし情報セキュリティに関する認証取得を目指す場合は作成が必須となるため、早めに着手するといいでしょう。
情報資産管理台帳に必要な内容とは
情報資産管理台帳の作成にあたって、まずは組織が保有する情報資産の洗い出しを始めます。
情報資産管理台帳に必要な項目の例は以下のとおりです。
- 管轄(部署もしくは個人)
- 用途(関連業務等)
- 情報資産の名称
- 責任者
- 利用者の範囲(閲覧権限)
- 保管形態(メディアの種類)
- 情報の分類区分
- 保管場所(概要、詳細は不要)
- 保管期間
- 評価日
- 個人情報の有無
- 委託の有無
- リスク評価
なお、情報分類区分は一目でわかるような端的な内容にします。たとえば「顧客情報」「社外秘」「製品情報」「人事資料」等です。
そして保管期間は期限を明確に記述します。情報資産をむやみに持つのは推奨されないため、「~以上」「最低~年間」のあいまいな表現を避けましょう。
さらに、情報資産管理台帳では各情報資産のリスク評価を行います。
これは「機密性」「完全性」「可用性」を数値によってランクづけした「重要度」とその他の基準を参照し、該当する情報資産の総合的なリスク判定を行います。重要度については後ほど詳しく解説します。
また、IPA(IT活用に関する政府系機関)が中小企業や小規模事業者向けに提供している情報資産管理台帳作成のツールも活用できます。このリスク分析シートには情報資産の整理ができるテンプレートとかんたんなリスク分析ツールが入っています。
IPA「中小企業の情報セキュリティ対策ガイドライン」付録7: リスク分析シート
情報資産のリスト化が初めての場合、リスクの表面化で業務に影響するすべての情報をいったんリストアップすることがコツです。情報の特定と登録にかかる作業は手間ですが、リストの削除は容易なためです。
情報資産管理台帳における重要度の算出方法
ここで、情報資産のリスク評価の主要な判定基準、「重要度」の算出方法について説明します。まずは重要度の算定基準となる3つの項目を押さえ、その後に重要度の具体的な算出方法を紹介します。
重要度の算出基準となる機密性、完全性、可用性とは
「機密性」「完全性」「可用性」はもともと情報セキュリティの3要素とされ、国際標準規格のISO27001等でも要件とされています。情報資産管理台帳ではこれらの3つの要素のリスク度合いをそれぞれ数値化して当てはめ、それを元に「重要度」として総合的な数値評価を導きます。
情報資産管理台帳における3つの要素の意味は次のとおりです。
- 機密性:アクセスを許可された者だけが情報にアクセスできる
- 完全性:情報や情報の処理方法が正確で完全である
- 可用性:許可された者が必要な時に情報資産にアクセスできる
IPA「中小企業の情報セキュリティ対策ガイドライン」本編:中小企業の情報セキュリティ対策ガイドライン第3版 47ページ【表10】
ただし、上記は情報セキュリティの管理における理想的な状態を示したにすぎません。
台帳におけるリスク評価とは、3つの要素を脅かすリスクにさらされた場合の影響度を数値で表し、重要度を算出します。
情報資産管理台帳における重要度の設定例
台帳における情報資産の重要度とはリスク影響度のレベルを数値で表したものです。最終的な重要度の算定は「機密性」「完全性」「可用性」の観点で判斷されたレベルの値を参考に、最も高いレベルを採用します。
たとえばある情報資産について、3要素のすべてが最高レベルであれば重要度は当然「最高値」となります。しかし、3要素のうち他の2つはリスクがほぼ見当たらない「ゼロ」と評価されても、1つの要素に影響度の値が付されるならば、その値を重要度のレベルとします。
なお、数値で表されるレベルの階層や内容については組織内で任意に設定が可能です。
具体的なレベル値や内容の設定例をあげると、次のようになります。
| 要素 | レベル 数値 |
基準内容 |
|---|---|---|
| 機密性 | 2 | 法令により安全管理が義務づけられている |
| 守秘義務の対象となる情報、または電磁媒体データ漏えいによる取引先や顧客への影響が深刻 | ||
| 営業上重要な機密情報で、漏えいによる組織への影響が深刻なもの | ||
| 1 | 漏えいによって事業に多大な影響が及ぶ | |
| 0 | 漏えいしてもたいして事業に影響しない | |
| 完全性 | 2 | 法令により安全管理が義務づけられている |
| 改ざんによる取引先や顧客への影響が深刻 | ||
| 1 | 改ざんによって事業に多大な影響が及ぶ | |
| 0 | 改ざんされてもたいして事業に影響しない | |
| 可用性 | 2 | 法令により安全管理が義務づけられている |
| 1 | 利用できないと事業に多大な影響が及ぶ | |
| 0 | 利用できなくなってもたいして事業に影響しない |
この例では重要度の判定基準に「法的拘束力」「自他への影響」「組織事業における影響」を取り上げています。影響を及ぼす度合いにより重要度を3段階に分け、レベル数値に変換し評価します。
これをもとにして、組織が保有・収集するすべての情報資産の重要度を評価します。レベル値の振り分けには手間がかかりますが、個々の情報資産の重要度の程度やリスク内容を可視化できる利点があります。なお、重要度の判断は部門や管理職などの立場や、セキュリティに関するリテラシーによって異なる可能性があります。そのため、重要度の記録にあたっては組織的な判斷が望ましいです。
情報資産の重要度を算出したら、その他必要な項目の基準値の算定に移り、最終的なリスク評価を行います。
情報資産管理台帳の重要度評価例
ここでは情報資産の重要度の具体的な判定方法について説明します。
- 過去の取引条件のデータ
-
- 機密性:情報が漏れると今後の事業運営に影響する可能性があるため「1」
- 完全性:組織内の事務処理が不要なため「0」
- 可用性:契約条件は随時交渉制のため「0」
このデータは今後特段の利用を想定していませんが、一定期間は安全に保持すべきデータと判断し、重要度を「1」と評価します。
情報資産管理台帳の運用について
情報資産管理台帳は組織が持つ情報資産の整理と、管理方針の策定資料に使用されます。
ただし、昨今の社会情勢や市場といった外部環境の変化の早さ、またセキュリティ脅威のトレンドを考慮して、1年に1回は情報資産の精査とリスク評価の見直しを行うのが望ましいです。
情報資産管理台帳の運用管理がきちんと行われていれば、情報セキュリティ規格のISMS(情報セキュリティマネジメントシステム)をはじめ、各種のセキュリティ監査で台帳の提示が求められても難なく済ませられるはずです。
情報資産管理台帳に基づくセキュリティ対策
情報資産管理台帳に基づくセキュリティ対策としては、以下の資料が役立ちますので、ぜひ参考にしてみてください。
東京都産業労働局「情報資産台帳の作成と詳細リスク分析|セキュリティの部屋」
東京都産業労働局が公開しているページです。
「情報セキュリティ規程」の策定方法を詳しく解説しています。手順1にて、情報資産管理台帳の作成しているのが特徴です。
IPA 独立行政法人 情報処理推進機構「リスク分析シート」
IPA 独立行政法人が公開している、リスク分析シートです。洗い出した情報資産を記入するシートが用意されており、業務で利用する電子データや書類を、媒体や保存先などの管理方法や重要度が同じものを1行にまとめて記入できるようになっています。
総務省地域力創造グループ地域情報政策室「情報資産のリスク分析に関する検討について」
総務省が管轄する、地域力創造グループ地域情報政策室が公開しているファイルです。
情報セキュリティ対策の水準向上のため、リスク分析・評価の方法論を提供し、情報資産のリスク分析を実施する必要性を認識してもらうための施策として、情報セキュリティ対策に関する情報がまとめられています。専門用語は多めですが、非常に参考になる内容です。
まとめ
情報資産管理台帳について解説しました。情報資産のリスクとそのリスクが及ぼす影響を適切に評価し、情報資産の安全な活用と効果的な管理に活かしていきましょう。
LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。
年間500社※・17年の支援実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。
※2022年8月1日~2023年7月31日のコンサルティング支援社数
また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
