ISMSを構築する際には、多くの場合、情報の分類区分というものを決めることになります。
背景は、JIS Q 27001附属書Aに「8.2.1情報の分類」という管理策が存在しており、そこで、「取扱いの慎重度などの観点から分類しましょう」ということが記載されているためです。
「分類区分を作りなさい」という書き方がされているわけではありませんが、多くの場合、分類区分を作成することになります。この記事では、情報資産の分類区分の概要と作成事例、メリットについて詳しく解説します。
また、情報資産を効率よく管理できるツールについては「情報資産管理台帳を効率よく管理するには?LRMのサービス「セキュリオ」をご紹介」で解説しています。あわせてご参照ください。
そもそも情報の分類区分とは?
社内で扱われている文書について「機密情報」「社外秘情報」「公開情報」などといった言葉を聞いたことはないでしょうか。情報の分類区分とは、上記のような形態で、それぞれの情報資産の重要度などを識別するための枠組みを指します。
このような情報の分類区分は、なぜ設けられているのでしょうか。まずはそのメリットから解説します。
情報の分類区分を決めるメリットは?
情報の分類区分を決めるメリットとして、それぞれの情報資産がどれくらい重要なものなのか、判別することが容易になることがあげられます。
もちろん、特に分類区分を定めず、各情報ごとに重要度を設定してもいいかもしれません。
しかしその場合、情報資産が増えるほど対応が困難になってしまうというデメリットが生じます。
また、分類区分を整理しておくことで、情報の取扱いルールも「○○区分の情報は、××のように取り扱う」といった形で大枠ごとに整理がしやすくなります。予めそのようなルールを設けておくことで、新たに情報資産が増えたとしても、速やかに対応できるようになるわけです。
様々な情報分類区分の事例
情報分類区分と言っても、会社や組織によってルールが異なります。世の中に存在している情報分類区分の事例について紹介します。
政府機関の場合
政府機関では、「機密性」「完全性」「可用性」という情報セキュリティの観点ごとに分類区分が存在しています。以下でかんたんにご紹介します。
機密性
- 機密性3情報(要機密情報)
- 機密性2情報(要機密情報)
- 機密性1情報
完全性
- 完全性2情報(要保全情報)
- 完全性1情報
可用性
- 可用性2情報(要安定情報)
- 可用性1情報
3つの「要○○情報」のうち一つでも当てはまる場合は、「要保護情報」と呼ばれます。
政府機関の場合は、特に重要情報の取扱い等も多いことから、詳細な区分設定がされています。
これをこのまま民間企業に適用するのはなかなか負担になり難しいかもしれませんが、一つの基準として参照いただくことはできるでしょう。
また、いま話題のISMAP(政府情報システムのためのセキュリティ評価制度)は機密性2情報を想定したセキュリティレベルで設定されているため、今後ISMAP登録などを検討する場合には、区分を認識しておくことが重要になってきます。
JIS Q 27002の場合
管理策の手引きであるJIS Q 27002の中で、情報の機密性から見た分類区分の体系例について、以下の通り記載があります。
- 開示されても損害が生じない。
- 開示された場合に、軽微な不具合又は軽微な運用の不都合が生じる。
- 開示された場合に、運用又は戦術的目的に対して重要な短期的影響が及ぶ。
- 開示された場合に、長期の戦略的目的に対して深刻な影響が及ぶ、又は組織の存続が危機にさらされる
まとめると、もしその情報が表に公開された際に組織が受けうる被害・影響の度合いで判断を行っているものです。ただ、この内容では、レベル感がイメージしづらく実運用に向かないかもしれません。
一般的な例
上記でご紹介した2つをそのまま一般企業でも流用して利用することはあまり多くありません。
その上で、多くの企業では、以下3区分を土台とすることが多いです。
- 機密情報
- 社外秘情報
- 公開情報
具体的には、上記区分を以下2パターンのどちらかに当てはめていくことが多いです。
- JIS Q 27002の例同様、漏えい時の被害・影響の大きさでレベル付けする
- 閲覧権限の広さでレベル付けする
この区分を基に、管理する情報資産が少ない場合には区分の数を減らしたり、反対に多い場合には「部外秘」などさらに区分を足して詳細に管理することもあります。
ISMS認証をお考えの方へ、取得に必要な準備をまとめたToDoリストをご用意しています。
この機会にぜひチェックしてみてください。
情報分類区分を決める際の注意点
前項を参考に自社に合った分類区分を検討いただければと思いますが、検討時に注意すべきポイントもあります。
情報資産取扱いルールを適切に制定できるようにする
大枠で区分設定をする理由のひとつには、情報資産の重要度ごとで取扱いルールを設定しやすくするためという事情が挙げられます。
ここでもし、型にはまってしまって一般的な3区分を設定してしまうと、本来機密である情報と、機密とは別により厳重な管理を行いたい情報を同じ「機密」という区分に納めないといけなくなってしまい、当該情報の取扱いが、厳しすぎるルールもしくは弱すぎるルールのどちらかになってしまうかもしれません。
そのため、情報の取扱いルールを設定する際に、セキュリティ上求めたいレベルのルール設定を適切に行うことができるような区分設定を行うようにしましょう。
従業者が理解できる区分わけを行う
ここまでご紹介したものでも分かるように、分類区分には、この名前でないといけないというものはありません。そのため、組織の従業者が区分名や説明を見てわかりやすい事が最も重要になります。
例えば、「機密/社外秘/公開」でもイメージが湧く場合もあるかもしれませんし、「社外秘と公開の違いは分かるけど、機密と社外秘の線引きがわからない」といった混乱を招く可能性もあります。
その分類区分名や説明で、従業者が取扱い等を理解できるかどうか考えて適切な設定を行うようにしましょう。
ISMSの情報分類区分を参考にするのがおすすめ
もしこれから自社で情報分類区分を設けるのであれば、ISMS(情報セキュリティマネジメントシステム)を参考にするのがおすすめです。具体的には以下のようなルールを設定します。
情報資産の洗い出し
保護するべき情報資産とその価値を明確にするために、一つひとつの情報資産を洗い出します。
情報資産の価値を明確にすることで、その重要度とリスク評価の実施が可能になります。
また情報資産の洗い出しの基準は、繰り返し同じルールで実施できるように、文書として残しておきましょう。
情報資産の価値を分析する
洗い出した情報資産を個別に評価するのは手間がかかるため、保管形態や保管期間、用途などに応じてグループ化すると良いでしょう。グループ化された情報資産の価値を明確にするために、さきほど紹介した「機密性」「完全性」「可用性」の観点で、価値を分析します。
機密性の基準の例
| 情報資産 | クラス | 説明 |
|---|---|---|
| 1 | 公開 | 第三者に開示・提供可能 |
| 2 | 社外秘 | 組織内では開示・提供可能(第三者には不可) |
| 3 | 秘密 | 特定の関係者または部署のみに開示・提供可能 |
| 4 | 極秘 | 所定の関係者のみに開示・提供可能 |
完全性の基準の例
| 情報資産 | クラス | 説明 |
|---|---|---|
| 1 | 低 | 情報の内容を変更された場合、ビジネスへの影響は少ない |
| 2 | 中 | 情報の内容を変更された場合、ビジネスへの影響は大きい |
| 3 | 高 | 情報の内容を変更された場合、ビジネスへの影響は深刻かつ重大 |
可用性の基準の例
| 情報資産 | クラス | 説明 |
|---|---|---|
| 1 | 低 | 1日の情報システム停止が許容される |
| 2 | 中 | 業務時間内の利用は保証する 1時間の情報システム停止が許容される |
| 3 | 高 | 1年365日、1日24時間のうち、99.9%以上利用できることを保証する。 1分間以上の情報システム停止が許容されない |
情報資産管理台帳を作成する
「業務分類」「情報資産名」「利用範囲」「管理部署」「媒体の種類」「保存先」などの管理項目を設けて、情報資産を管理するための台帳を作成します。台帳に記載した情報資産ごとに、機密性・完全性・可用性の数値も入力してランク付けします。
次にランク付けされた情報資産ごとに、脅威や脆弱性を洗い出しましょう。例えば、機密性が高いのに誰でもアクセスできる状態になっている場合、リスクが高いと評価でき、速やかな対応が必要となります。
同じような情報資産であっても、企業や組織によって、重要性や取り扱われ方は異なります。
ISMSを参考とした情報分類区分をそのまま導入するのではなく、自社にとって適切な情報分類区分を設けることが大切です。
まとめ
分類区分は、情報資産の取り扱いルールを整備しやすくし、また、組織内で情報の重要度について共通認識を持てるようにするために大切なものです。
「一般的にはこうだから」と縛られず、自組織にとってどのような区分名、区分設定が情報資産の取り扱いを整備する上で適切なのか考えて決めていきましょう。
