情報資産管理台帳とは?規格認証や監査のためには作成が必須

この記事は約7分で読めます。

情報資産管理台帳は情報セキュリティの認証取得や監査において必要になるものです。

この記事では情報資産および情報資産管理台帳の概要と、台帳作成にあたって欠かせない情報資産の主要なリスク評価基準、「重要度」について解説しています。高度な情報セキュリティ管理の一つである情報資産管理台帳について知り、情報管理業務の品質向上に役立てましょう。

情報資産の定義

「情報資産」は経営資源(ヒト・モノ・カネ・情報)の一種で、情報セキュリティ分野においては情報および情報を扱う仕組みまでを包含する概念となります。企業が保有・収集する情報のほか、情報メディア(書類や各種のデジタルメディア)、情報を扱うソフトウェア、端末や機器、設備等のハードウェア、担当要員、マニュアル等のドキュメントも含みます。

重要な情報資産の例として以下があげられます。

  • 製品技術情報
  • 財務や人事等の経営情報
  • 顧客情報
  • 知的財産(特許や著作権)
  • 情報システム、社内ネットワークと関連機器

ただし、具体的な情報資産のうちどれをセキュリティ保護の対象とするかは、それぞれの組織が属する業界や業務特性をかんがみ、個々に決めていく必要があります。

情報資産管理台帳とは

情報資産管理台帳とは組織が保有する情報資産をリスト化してまとめたものです。
情報資産管理台帳を作成する主な目的は情報セキュリティポリシーの策定のためです。

作成にあたり、まずは事業継続において保護が必要な情報資産を特定し、それぞれの情報資産に対するリスク評価を実施します。そして評価結果を情報セキュリティポリシーに反映させます。

なお情報セキュリティポリシーとは、組織の情報セキュリティ対策の基本方針や行動基準を定めたものです。組織の活動実態により基本方針等の一部を外部や一般に公開することもあります。

情報資産管理台帳は情報セキュリティ関連の監査において提出が求められる大事な書類です。
もし情報セキュリティに関する認証取得を目指す場合は作成が必須となるため、早めに着手するといいでしょう。

情報資産管理台帳に必要な内容とは

情報資産管理台帳の作成にあたって、まずは組織が保有する情報資産の洗い出しを始めます。
情報資産管理台帳に必要な項目の例は以下のとおりです。

  • 管轄(部署もしくは個人)
  • 用途(関連業務等)
  • 情報資産の名称
  • 責任者
  • 利用者の範囲(閲覧権限)
  • 保管形態(メディアの種類)
  • 情報の分類区分
  • 保管場所(概要、詳細は不要)
  • 保管期間
  • 評価日
  • 個人情報の有無
  • 委託の有無
  • リスク評価

なお、情報分類区分は一目でわかるような端的な内容にします。たとえば「顧客情報」「社外秘」「製品情報」「人事資料」等です。
そして保管期間は期限を明確に記述します。情報資産をむやみに持つのは推奨されないため、「~以上」「最低~年間」のあいまいな表現を避けましょう

さらに、情報資産管理台帳では各情報資産のリスク評価を行います。
これは「機密性」「完全性」「可用性」を数値によってランクづけした「重要度」とその他の基準を参照し、該当する情報資産の総合的なリスク判定を行います。重要度については後ほど詳しく解説します。

また、IPA(IT活用に関する政府系機関)が中小企業や小規模事業者向けに提供している情報資産管理台帳作成のツールも活用できます。このリスク分析シートには情報資産の整理ができるテンプレートと簡単なリスク分析ツールが入っています。

参考資料:
IPA「中小企業の情報セキュリティ対策ガイドライン」付録7: リスク分析シート

情報資産のリスト化が初めての場合、リスクの表面化で業務に影響するすべての情報をいったんリストアップすることがコツです。情報の特定と登録にかかる作業は手間ですが、リストの削除は容易なためです。

情報資産管理台帳における重要度の算出方法

ここで、情報資産のリスク評価の主要な判定基準、「重要度」の算出方法について説明します。
まずは重要度の算定基準となる3つの項目を押さえ、その後に重要度の具体的な算出方法を紹介します。

重要度の算出基準となる機密性、完全性、可用性とは

「機密性」「完全性」「可用性」はもともと情報セキュリティの3要素とされ、国際標準規格のISO27001等でも要件とされています。情報資産管理台帳ではこれらの3つの要素のリスク度合いをそれぞれ数値化して当てはめ、それを元に「重要度」として総合的な数値評価を導きます。

情報資産管理台帳における3つの要素の意味は次のとおりです。

  • 機密性:アクセスを許可された者だけが情報にアクセスできる
  • 完全性:情報や情報の処理方法が正確で完全である
  • 可用性:許可された者が必要な時に情報資産にアクセスできる

参考資料:
IPA「中小企業の情報セキュリティ対策ガイドライン」本編:中小企業の情報セキュリティ対策ガイドライン第3版 47ページ【表10】

ただし、上記は情報セキュリティの管理における理想的な状態を示したにすぎません。
台帳におけるリスク評価とは、3つの要素を脅かすリスクにさらされた場合の影響度を数値で表し、重要度を算出します。

情報資産管理台帳における重要度の設定例

台帳における情報資産の重要度とはリスク影響度のレベルを数値で表したものです。最終的な重要度の算定は「機密性」「完全性」「可用性」の観点で判斷されたレベルの値を参考に、最も高いレベルを採用します。

たとえばある情報資産について、3要素のすべてが最高レベルであれば重要度は当然「最高値」となります。しかし、3要素のうち他の2つはリスクがほぼ見当たらない「ゼロ」と評価されても、1つの要素に影響度の値が付されるならば、その値を重要度のレベルとします。なお、数値で表されるレベルの階層や内容については組織内で任意に設定が可能です。

具体的なレベル値や内容の設定例をあげると、次のようになります。

要素 レベル
数値
基準内容
機密性 2 法令により安全管理が義務づけられている
守秘義務の対象となる情報、または電磁媒体データ漏洩による取引先や顧客への影響が深刻
営業上重要な機密情報で、漏洩による組織への影響が深刻なもの
1 漏洩によって事業に多大な影響が及ぶ
0 漏洩してもたいして事業に影響しない
完全性 2 法令により安全管理が義務づけられている
改ざんによる取引先や顧客への影響が深刻
1 改ざんによって事業に多大な影響が及ぶ
0 改ざんされてもたいして事業に影響しない
可用性 2 法令により安全管理が義務づけられている
1 利用できないと事業に多大な影響が及ぶ
0 利用できなくなってもたいして事業に影響しない
※IPA「中小企業の情報セキュリティ対策ガイドライン」本編:中小企業の情報セキュリティ対策ガイドライン第3版 47ページ【表10】

この例では重要度の判定基準に「法的拘束力」「自他への影響」「組織事業における影響」を取り上げています。影響を及ぼす度合いにより重要度を3段階に分け、レベル数値に変換し評価します。

これをもとにして、組織が保有・収集するすべての情報資産の重要度を評価します。レベル値の振り分けには手間がかかりますが、個々の情報資産の重要度の程度やリスク内容を可視化できる利点があります。なお、重要度の判断は部門や管理職などの立場や、セキュリティに関するリテラシーによって異なる可能性があります。そのため、重要度の記録にあたっては組織的な判斷が望ましいです。

情報資産の重要度を算出したら、その他必要な項目の基準値の算定に移り、最終的なリスク評価を行います。

情報資産管理台帳の重要度評価例

ここでは情報資産の重要度の具体的な判定方法について説明します。

過去の取引条件のデータ
  • 機密性:情報が漏れると今後の事業運営に影響する可能性があるため「1」
  • 完全性:組織内の事務処理が不要なため「0」
  • 可用性:契約条件は随時交渉制のため「0」

このデータは今後特段の利用を想定していませんが、一定期間は安全に保持すべきデータと判断し、重要度を「1」と評価します。

情報資産管理台帳の運用について

情報資産管理台帳は組織が持つ情報資産の整理と、管理方針の策定資料に使用されます。ただし、昨今の社会情勢や市場といった外部環境の変化の早さ、またセキュリティ脅威のトレンドを考慮して、1年に1回は情報資産の精査とリスク評価の見直しを行うのが望ましいです。

情報資産管理台帳の運用管理がきちんと行われていれば、情報セキュリティ規格のISMS(情報セキュリティマネジメントシステム)をはじめ、各種のセキュリティ監査で台帳の提示が求められても難なく済ませられるはずです。

まとめ

情報資産管理台帳とは情報セキュリティの管理のために、組織が保有・収集する情報資産をまとめリスク評価したものです。情報資産のリスクとそのリスクが及ぼす影響を適切に評価し、情報資産の安全な活用と効果的な管理に活かしていきましょう。

セキュリティ対策をするセキュリティ技術の導入
タイトルとURLをコピーしました