ISMSを構築する際には、多くの場合、情報の分類区分というものを決めることになります。
背景は、JIS Q 27001附属書Aに「8.2.1情報の分類」という管理策が存在しており、そこで、「取扱いの慎重度などの観点から分類しましょう」ということが記載されているためです。
あくまでも「分類区分を作りなさい」という書き方がされているわけではないですが、多くの場合、分類区分を作成することになります。

そもそも分類区分とは?

「機密情報」「社外秘情報」「公開情報」などといった言葉を聞いたことはないでしょうか。
分類区分とは、上記のような形態で、それぞれの情報資産の重要度などを識別するための枠組みを指します。

分類区分を決めるメリットは?

まず、それぞれの情報資産がどれくらい重要なものなのか、判別することが容易になります。
もちろん、特に分類区分を定めず、各情報ごとに重要度を設定してもいいかもしれませんが、情報資産が増えるほど対応が困難になってしまいます。

また、分類区分を整理しておくことで、情報の取扱いルールも「○○区分の情報は、××のように取り扱う」といった形で大枠ごとに整理がしやすくなります。

様々な分類区分

政府機関の場合

政府機関では、「機密性」「完全性」「可用性」という情報セキュリティの各観点ごとに分類区分が存在しています。以下で簡単にご紹介します(詳細については、「政府機関等の情報セキュリティ対策のための統一基準」をご覧ください)。

【機密性】
  • 機密性3情報(要機密情報)
  • 機密性2情報(要機密情報)
  • 機密性1情報
【完全性】
  • 完全性2情報(要保全情報)
  • 完全性1情報
【可用性】
  • 可用性2情報(要安定情報)
  • 可用性1情報

また、3つの「要○○情報」のうち一つでも当てはまる場合は、「要保護情報」と呼ばれます。

政府機関の場合は、特に重要情報の取扱い等も多いことから、詳細な区分設定がされています。
これをこのまま民間企業に適用するのはなかなか負担になり難しいかもしれませんが、一つの基準として参照いただくことはできるでしょう。

また、いま話題のISMAPは機密性2情報を想定したセキュリティレベルで設定されているため、今後ISMAP登録などを検討する場合には、区分を認識しておくことが重要になってきます。

JIS Q 27002の場合

管理策の手引きであるJIS Q 27002の中で、情報の機密性から見た分類区分の体系例について、以下の通り記載があります。

  • 開示されても損害が生じない。
  • 開示された場合に、軽微な不具合又は軽微な運用の不都合が生じる。
  • 開示された場合に、運用又は戦術的目的に対して重要な短期的影響が及ぶ。
  • 開示された場合に、長期の戦略的目的に対して深刻な影響が及ぶ、又は組織の存続が危機にさらされる

まとめると、もしその情報が表に公開された際に組織が受けうる被害・影響の度合いで判断を行っているものです。
ただ、この内容では、レベル感がイメージしづらく実運用に向かないかもしれません。

一般的な例

上記でご紹介した2つをそのまま一般企業でも流用して利用することはあまり多くありません。
その上で、多くの企業では、以下3区分を土台とすることが多いです。

  • 機密情報
  • 社外秘情報
  • 公開情報

具体的には、上記区分を以下2パターンのどちらかに当てはめていくことが多いです。

  • JIS Q 27002の例同様、漏えい時の被害・影響の大きさでレベル付けする
  • 閲覧権限の広さでレベル付けする

この区分を基に、管理する情報資産が少ない場合には区分の数を減らしたり、反対に多い場合には「部外秘」などさらに区分を足して詳細に管理することもあります。

区分を決める際の注意点

前項を参考に自社に合った分類区分を検討いただければと思いますが、検討時に注意すべきポイントもあります。

情報資産取扱いルールを適切に制定できるようにする

大枠で区分設定をする理由のひとつには、情報資産の重要度ごとで取扱いルールを設定しやすくするためという事情が挙げられます。

ここでもし、型にはまってしまって一般的な3区分を設定してしまうと、本来機密である情報と、機密とは別により厳重な管理を行いたい情報を同じ「機密」という区分に納めないといけなくなってしまい、当該情報の取扱いが、厳しすぎるルールもしくは弱すぎるルールのどちらかになってしまうかもしれません。

そのため、情報の取扱いルールを設定する際に、セキュリティ上求めたいレベルのルール設定を適切に行うことができるような区分設定を行うようにしましょう。

従業者が理解できる区分わけを行う

ここまでご紹介したものでも分かるように、分類区分には、この名前でないといけないというものはありません。

そのため、組織の従業者が区分名や説明を見てわかりやすい事が最も重要になります。
例えば、「機密/社外秘/公開」でもイメージが湧く場合もあるかもしれませんし、「社外秘と公開の違いは分かるけど、機密と社外秘の線引きがわからない」といった混乱を招く可能性もあります。

その分類区分名や説明で、従業者が取扱い等を理解できるかどうか考えて適切な設定を行うようにしましょう。

まとめ

分類区分は、情報資産の取り扱いルールを整備しやすくし、また、組織内で情報の重要度について共通認識を持てるようにするために大切なものです。

「一般的にはこうだから」と縛られず、自組織にとってどのような区分名、区分設定が情報資産の取り扱いを整備する上で適切なのか考えて決めていきましょう。

参考資料

情報の分類区分ってどう設定すればいいの?自社に適した区分を見つける!

ISMSを構築する際には、多くの場合、情報の分類区分というものを決めることになります。
背景は、JIS Q 27001附属書Aに「8.2.1情報の分類」という管理策が存在しており、そこで、「取扱いの慎重度などの観点から分類しましょう」ということが記載されているためです。
あくまでも「分類区分を作りなさい」という書き方がされているわけではないですが、多くの場合、分類区分を作成することになります。

そもそも分類区分とは?

「機密情報」「社外秘情報」「公開情報」などといった言葉を聞いたことはないでしょうか。
分類区分とは、上記のような形態で、それぞれの情報資産の重要度などを識別するための枠組みを指します。

分類区分を決めるメリットは?

まず、それぞれの情報資産がどれくらい重要なものなのか、判別することが容易になります。
もちろん、特に分類区分を定めず、各情報ごとに重要度を設定してもいいかもしれませんが、情報資産が増えるほど対応が困難になってしまいます。

また、分類区分を整理しておくことで、情報の取扱いルールも「○○区分の情報は、××のように取り扱う」といった形で大枠ごとに整理がしやすくなります。

様々な分類区分

政府機関の場合

政府機関では、「機密性」「完全性」「可用性」という情報セキュリティの各観点ごとに分類区分が存在しています。以下で簡単にご紹介します(詳細については、「政府機関等の情報セキュリティ対策のための統一基準」をご覧ください)。

【機密性】
  • 機密性3情報(要機密情報)
  • 機密性2情報(要機密情報)
  • 機密性1情報
【完全性】
  • 完全性2情報(要保全情報)
  • 完全性1情報
【可用性】
  • 可用性2情報(要安定情報)
  • 可用性1情報

また、3つの「要○○情報」のうち一つでも当てはまる場合は、「要保護情報」と呼ばれます。

政府機関の場合は、特に重要情報の取扱い等も多いことから、詳細な区分設定がされています。
これをこのまま民間企業に適用するのはなかなか負担になり難しいかもしれませんが、一つの基準として参照いただくことはできるでしょう。

また、いま話題のISMAPは機密性2情報を想定したセキュリティレベルで設定されているため、今後ISMAP登録などを検討する場合には、区分を認識しておくことが重要になってきます。

JIS Q 27002の場合

管理策の手引きであるJIS Q 27002の中で、情報の機密性から見た分類区分の体系例について、以下の通り記載があります。

  • 開示されても損害が生じない。
  • 開示された場合に、軽微な不具合又は軽微な運用の不都合が生じる。
  • 開示された場合に、運用又は戦術的目的に対して重要な短期的影響が及ぶ。
  • 開示された場合に、長期の戦略的目的に対して深刻な影響が及ぶ、又は組織の存続が危機にさらされる

まとめると、もしその情報が表に公開された際に組織が受けうる被害・影響の度合いで判断を行っているものです。
ただ、この内容では、レベル感がイメージしづらく実運用に向かないかもしれません。

一般的な例

上記でご紹介した2つをそのまま一般企業でも流用して利用することはあまり多くありません。
その上で、多くの企業では、以下3区分を土台とすることが多いです。

  • 機密情報
  • 社外秘情報
  • 公開情報

具体的には、上記区分を以下2パターンのどちらかに当てはめていくことが多いです。

  • JIS Q 27002の例同様、漏えい時の被害・影響の大きさでレベル付けする
  • 閲覧権限の広さでレベル付けする

この区分を基に、管理する情報資産が少ない場合には区分の数を減らしたり、反対に多い場合には「部外秘」などさらに区分を足して詳細に管理することもあります。

区分を決める際の注意点

前項を参考に自社に合った分類区分を検討いただければと思いますが、検討時に注意すべきポイントもあります。

情報資産取扱いルールを適切に制定できるようにする

大枠で区分設定をする理由のひとつには、情報資産の重要度ごとで取扱いルールを設定しやすくするためという事情が挙げられます。

ここでもし、型にはまってしまって一般的な3区分を設定してしまうと、本来機密である情報と、機密とは別により厳重な管理を行いたい情報を同じ「機密」という区分に納めないといけなくなってしまい、当該情報の取扱いが、厳しすぎるルールもしくは弱すぎるルールのどちらかになってしまうかもしれません。

そのため、情報の取扱いルールを設定する際に、セキュリティ上求めたいレベルのルール設定を適切に行うことができるような区分設定を行うようにしましょう。

従業者が理解できる区分わけを行う

ここまでご紹介したものでも分かるように、分類区分には、この名前でないといけないというものはありません。

そのため、組織の従業者が区分名や説明を見てわかりやすい事が最も重要になります。
例えば、「機密/社外秘/公開」でもイメージが湧く場合もあるかもしれませんし、「社外秘と公開の違いは分かるけど、機密と社外秘の線引きがわからない」といった混乱を招く可能性もあります。

その分類区分名や説明で、従業者が取扱い等を理解できるかどうか考えて適切な設定を行うようにしましょう。

まとめ

分類区分は、情報資産の取り扱いルールを整備しやすくし、また、組織内で情報の重要度について共通認識を持てるようにするために大切なものです。

「一般的にはこうだから」と縛られず、自組織にとってどのような区分名、区分設定が情報資産の取り扱いを整備する上で適切なのか考えて決めていきましょう。

参考資料

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする