情報資産管理台帳を効率よく管理するには?LRMのサービス「セキュリオ」をご紹介

この記事は約8分で読めます。

情報資産とは、データ全般のことを言います。また、その保存媒体も含めて情報資産ということもあります。

情報資産は管理が課題です。

会社の中にある膨大なデータをどのように効率的に管理するか、また外部からの攻撃・内部不正双方にどうやって対処するか、どの会社においても課題であると同時によいソリューションがあれば導入したい状況であると考えられます。

情報資産管理台帳をメインの機能として効率的に管理するだけでなく、セキュリティ体制の向上に向けたアクティビティ・情報セキュリティのPDCAサイクルも丸ごと管理できるサービスがありますので、この記事でご紹介します。ソリューション導入の参考にしていただけますと幸いです。

情報資産の意味をおさらい

情報資産とは、データのことです。紙・PC・外部記憶媒体・サーバ等、媒体を問わずすべてのデータが情報資産として管理されるべきものです。

顧客とのやり取りなどのログや、デバイスの操作ログなど、記録・履歴も情報資産です。また、個人情報・プライバシー情報・マイナンバーデータなど、高度な管理策を要求されるデータも含みます。

データが漏えいすると、大きな問題となり、経営に悪影響が生じます。漏えいしたデータの性質や量によっては会社の存続も揺るがしかねません。

そもそも「資産目録/情報資産管理台帳」とは?

資産目録/情報資産管理台帳とは、「組織の持つ情報資産を管理するための一覧表」です。資産、という言葉が少し抽象的でわかりにくい面がありますが、企業の財産と考えると少しわかりやすくなります。

すべてのデータは、財産的にプラス・マイナス双方の意味があり、その価値・現状について、できるだけわかりやすく一覧にまとめることが必要です。

作成は、ISMS=情報マネジメントシステムの基となる規格である、ISO/IEC27001附属書AのA.8.1に「資産に対する責任」という項目があり、その中でもA.8.1.1で資産目録を作ることが求められています。規格上では資産目録と記載されていますが、一般的には情報資産管理台帳と呼ばれます。

一覧を作成すると同時に、データはそれぞれ機密性・可用性・完全性が保たれなければなりません。

情報資産を管理しないことによるリスク

現在、IT技術の進化に伴い、特にビッグデータなどのように大量に蓄積したデータを活用する技術が進化しています。そうなると、まさに情報はプラスの財産ということができますので、情報資産を管理する重要性が増しています。

また、データによっては、仮に公開されればリスクとなるような情報を含んでいるものがあります。これは、一種負債にも近い性質を持っていますので、取扱に注意を要します。

ところが、会社の業務システム等はインターネットにつながっており、とりわけ、クラウドサービスなどインターネットにつながっていることを前提としているシステムもあります。そのため、情報資産は、悪意のある第三者によるサイバー攻撃の脅威にさらされています。さらに、内部不正の防止策を立てる必要があります。

情報資産を適切に管理しないと、情報は会社の財産としての利用ができず、価値が損なわれる、あるいは管理のコストがより増大するなどのリスクがあります。その上、顧客や第三者に損害が生じることや、会社のレピュテーションにマイナスの影響が生じるもあります。

より具体的には、下記のようなセキュリティ事故やサイバー攻撃を想定して、適切な対策を立てておく必要があります。

情報の漏えい

紙の紛失・マルウェアによる攻撃など、情報漏えい事故は毎日のように日本のどこかで発生しています。

情報の暴露

機密情報の暴露も、例えばメールの誤送信・郵送先の間違いなどの人為的ミスで生じることもあれば、第三者からの攻撃により生じることもあります。

情報の改ざん

Webアプリケーションに対する攻撃・嫌がらせによる資料の書き換えなど、情報を正確にそのまま保つことは情報資産管理の基本的な課題です。

情報の破壊

改ざんと同様、内部・外部からの攻撃により情報の破壊が起こりえます。さらに自然災害への対応・バックアップも保持する必要があります。

不正アクセス

標的型メール攻撃など、外部からの攻撃と同時に、内部の権限を持たない者による不正アクセスにも対応する必要があります。

ネットワークの盗聴

ネットワークに侵入し、不正に情報を傍受して、内部者を装い、財産の窃取をするなどの手口が見られます。

スパイウェア・アドウェアなどのマルウェア

マルウェアは上記にご紹介している攻撃の原因となります。

内部からの情報漏えい

内部の者の情報持ち出し、外部への暴露などに対しては、セキュリティログや操作ログでトレースすることや、システムによるアラートを利用してモニタリングをするべきです。

これらはすべて、情報の機密性・可用性・完全性のいずれかが失われる事態であり、仮にこれらの事故・攻撃を受けると、企業は情報を資産として利用することができなくなります。情報資産の重要度をアセスメントし、マトリクスで算出、どのように管理をするかを決めることが必要です。

情報資産管理台帳には何がまとめられている?

情報資産管理台帳は、情報資産の名称や、内容のサマリーを記載して一覧化します。また、多くの場合で、次のような項目もまとめ、管理に必要な情報を一元化します。

  • 管理責任者
  • 閲覧可能者
  • 媒体(電子/紙/記憶媒体など)
  • 情報の分類区分
  • 保管場所
  • 保管期間
  • 情報資産の重要度
  • 備考欄(メモ書き)

上記をまとめて一覧化し、情報を鳥瞰的に把握することにより、情報資産を効率的に管理・保護することができます。このようにしてまとめたものは、多くの場合Excelやスプレッドシートで管理されています。

情報資産の重要度算出

情報資産は、重要度を算出する必要があります。

会社の情報資産は多岐にわたることから、優先順位をつけておくことが効率的な管理に資することとなります。

機密性・可用性・完全性のそれぞれの要素について、損なわれた時の影響を基準にスコア化し、重要度を算出する方法が一般的です。詳細はこちらをご覧ください。

こうして算出した重要性=情報セキュリティリスクの本質であり、スコアリングは、リスクアセスメントの一つの方法です。そこで、この算出したリスクに応じた管理策をとる必要があります。

「セキュリオ」情報資産管理台帳機能について

多くのデータを分類しリスク評価を行い、常にアップデートをすることが必要な情報資産管理台帳は、その作成・利用に多くの手間がかかります。工数を効率的にコントロールできるようにしつつ、安全に情報資産を管理することの両立が課題となります。

管理するための項目が網羅的に用意されている

「セキュリオ」」情報資産管理台帳機能は、効率的に台帳管理ができるサービスです。

管理台帳情報の網羅項目として、前項で述べた項目が過不足なく網羅されています。またその他にも、情報資産が個人情報・マイナンバーにあたる場合、どのような個人情報なのかその分類(個人情報/特定個人情報/要配慮個人情報)を追記することや、外部委託業者が取り扱い・管理をする際などの委託内容を記載する項目などもカバーしています。

グループ分けができる

情報資産管理台帳は、多くの場合、業務に関連する情報を管理している部門ごとなどでシートを分けて管理しています。

「セキュリオ」の場合、グループ分け機能により部門名ごとなどに登録し、各グループごとの情報資産を検索することも可能です。

各項目でキーワード検索ができる

管理責任者での検索や保存場所、あるいはフリーワード検索など多様な検索が可能です。検索をすることで、必要な情報を取り出すことができるだけではなく、さらに情報管理策を追加していくことも可能となり、現状に照らして足りない管理策の見える化もできます。

なお、情報資産管理台帳は、定期的にアップデートをしておきます。こうすることにより、情報管理策もアップデートできて、PDCAサイクルを回しやすくなります。

基本的な業務のテンプレートを参照できる

セキュリオでは、基本的な業務のテンプレートを参照可能としています。テンプレートがいわばチェックリストの役割を果たしているのです。

情報資産管理台帳では、すべての情報を記載して網羅すべきかというと必ずしもそうではありません。テンプレートで情報の分類やレベル感に判断基準を設定、情報資産一覧と照合することにより、重点管理対象を絞り込むことも可能です。

このことにより、より客観的な分類・リスク評価が行いやすくなるのと同時に、情報資産管理の事務全体が効率化されて無駄がなくなります。

まとめ

面倒・数が多い・台帳がエクセルシートでできていて管理しにくいなど、情報の管理は事務の手間も大変なことが多いものです。台帳の作成から、リスクマネジメントまで一貫して実施できるセキュリオで情報を一元的・鳥瞰的に管理できると大変便利で、業務の負担と時間が削減できます。

また、情報セキュリティ教育クラウド「セキュリオ」では、情報資産管理台帳機能をはじめとした多様な機能で貴社の情報セキュリティ教育の支援をお約束いたします。まずは無料トライアルでGR スタンダードプランの機能をお試しください。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました