企業活動には情報収集がつきものです。また、その利用も日常的に行っています。
一方、情報の管理が不適切で情報漏洩事故などを起こした場合の企業の責任には年々厳しい目が向けられているのと同時に、情報窃取・流出を目的とした外部からの攻撃も根絶やしになることはありません。
情報管理の第一歩は、どんな情報がどこに、どれくらいあるかを把握することから始まります。
情報=情報資産をどのように把握し、管理するか、この記事では情報資産の把握と管理の具体的手法についてご説明します。
情報セキュリティ担当者として知っておかなければならない基礎の部分の解説ですので、担当者に新しくなった方や、情報セキュリティの基礎を理解しておきたい業務担当者の皆さんのお役に立てましたら幸いです。
また、まずは自社のセキュリティ状況とやるべきことを把握したいという方はぜひこちらも併せてご活用ください!
情報資産とは
情報資産とは、企業や組織が収集した「ヒト・モノ・カネ」に関する情報全てのことを言います。情報はコストをかけて集めて来るだけでなく、利用すると財産的な価値は評価可能なものとなります。
また、不適切な取り扱いは、負債となることさえあります。そこで、紙の資料・各種データ・ノウハウなど、企業にあるすべての情報を、情報の媒体を問わず把握し、管理する必要性が生じます。
また、ソフトウェア・PCやサーバなどのハードウェア(物理的資産)・クラウドサービスもそれぞれ情報資産として取り扱われます。ソフトウェアはプログラム情報の塊であり、物理的資産の中には大量の情報が格納されています。また、クラウドサービスは、ソフトウェアと、クラウドサーバ内の大量の情報それぞれを管理することが必要です。
情報資産は分類が存在する
情報資産は、分類して管理します。
情報の重要性に従って資産を分類、管理手法を決めます。
例えば、個人情報や、技術情報については管理が厳重なのに対して、Webなどで公開されている情報は個人情報や技術情報と同程度の厳重な管理は求められません。
情報資産の分類は、同程度の価値・重要性がある情報に対しての管理の度合い・管理の方法を決定する上でのラベルのようにして機能しています。
情報資産の具体例
例えば、NPO法人日本ネットワークセキュリティ協会(JNSA)が公表している「情報セキュリティポリシーサンプル(1.0)」には、情報資産の種類によっての分類例があります。
情報 電子ファイル、紙他 ソフトウェア 業務用ソフトウェア、事務用ソフトウェア、開発ソフトウェア、システムツール 他 物理的資産 サーバ、ネットワーク機器、媒体、収容設備他 サービス クラウドサービス、通信サービス、電気・空調サービス他 (JNSA「情報セキュリティポリシーサンプル」より)
情報資産洗い出しのコツ
情報資産の洗い出しにはコツがあります。それは、業務グループごとに洗い出し、グループごとにセキュリティ対策を検討することです。
業務担当者に情報資産の洗い出しをしてもらうと、中央集権的な洗い出しと異なり、通常業務で利用しているだけに漏れが避けられる点、効率が良い点でメリットがあります。
例えば顧客マスタDB(データベース)について、利用場所は次のどこか、保管形態はどういった形態か、保管場所はどこか、重要度はどれに当てはまるか、として洗い出しをします。
エクセルファイルに各部でまとめ、情報セキュリティ担当に提出するなどして、にどのような情報資産があるか、全体で把握できるようにします。
例:顧客マスタDBについて洗い出しを行った例
| 情報資産名 | 利用場所 | 保管形態 | 保管場所 | 重要度 |
|---|---|---|---|---|
| 顧客マスタDB | 社内 | サーバ | サーバルーム | 社外秘 |
洗い出しの要素
- 情報資産名:顧客マスタDB、人事マスタDB、経費精算システムなど
- 利用場所:社内、社外、DMZ など
- 保管形態:サーバ、PC、クラウド、USB など
- 保管場所:サーバルーム、キャビネット、事務机上など
- 重要度:秘密、社外秘など
情報資産管理のコツ
情報資産管理は、何を、誰が、どこまで管理するかを決めることからスタートします。
下は、全社の情報資産管理が一元把握できる台帳に記載している事項の例です。これらの項目を1つの台帳にまとめて管理します。物理的・人的ないし組織的・技術的管理策のアウトラインが全体的に把握できるくらいには台帳に記載する必要があります。
| 情報資産名 | 給与システムデータ、請求書控え、メールデータ、社員名簿、受注契約書等 |
|---|---|
| 利用範囲 | 部署名、処理担当名など |
| 管理部署 / 管理責任者 | 部署名および管理責任者 |
| アクセス権者 | マネージャー以上、担当者全員、業務グループ限りなど |
| 媒体の種類 | 書類・電子データなど |
| 保存先 | 社内サーバ、外部記憶媒体、モバイル機器、クライアントPCなど |
| 個人情報の有無 | 有無 |
| マイナンバー情報の有無 | 有無 |
| 評価値(機密性 / 完全性 / 可用性)・重要度 | 評価値:機密性・完全性・可用性のそれぞれの評価値を入力 重要度:機密性・完全性・可用性のうち、最も高い値を入力 |
| 保存期間 | 文章保管規定など企業・組織の社内規程による |
| 登録日(更新日) |
また、管理方法をすべて業務担当部署に任せて決めてしまうのは不適切ですので、保存先によってそれぞれの管理方法が文書化されていなければなりません。
先に例として挙げた顧客マスタDBの場合であれば、データは各部署の管理であっても、ソフトウェアとしてのデータベースを管理するのはIT担当部署である、などといった具合です。
情報資産のリスクアセスメント
情報資産のリスクアセスメントは、対象となる情報資産の価値を把握し、主に管理方法を決定するための評価の作業です。
情報資産の価値は、主に下記3つを考慮して決定されます。
- 機密性:情報が漏えいした場合の影響度
- 完全性:情報が改ざんされた場合、または装置が正確に動作しなかった場合の影響度
- 可用性:情報、装置が利用できない場合の影響度
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の頭文字をとってCIAと呼ばれますが、C, I, A, それぞれをスコア化して評価することが一般的です。
おおむね3~4段階の評価とし、これらの乗算値で重要性を評価することが多いようです。
あるいは、CIAのそれぞれの要素の最高スコアをリスクから見た重要度として、管理方法を決定するなどの手法がとられます。リスクが高い=管理を厳重にすることが求められるからです。
ただし、こうしたリスクアセスメントの数値とともに、法令または省庁によるガイドライン上、管理措置が具体的に求められる場合においては、ガイドライン等に従った管理措置を優先させなければならない事には注意しておきましょう。
また、会社によっては海外とのやり取りを行う場合に、EUデータ保護指令が適用される個人データを利用したり、預託されたりすることがあるでしょう。これも同様に、管理措置は別途考慮する必要があります。
まとめ
現代の企業活動においては、情報は「ヒト・モノ・カネ」と同様に価値のある資産です。
資産の適切な管理方法を決める上では、情報資産の分類と、リスクアセスメントがカギになります。記事で説明した手順を参考にして、情報資産の管理手法の確立と、定期的な見直しを行うようにしてください。
また、自社のセキュリティ状況と必要な対策をまとめた資料をご用意しております。ぜひこちらも併せてご活用ください。
