解説記事:情報セキュリティ
情報資産台帳について
情報セキュリティG 渋谷 喜一
前回、情報セキュリティ全般の解説がありましたので、今回はその最初の段階となる「情報資産」についてのお話です。
情報資産とは、組織・企業や個人が保有している重要な情報やデータ、システム、ソフトウェアなどのことを指します。以下に、情報資産の具体例をいくつか挙げてみます。
- 顧客情報:顧客の名前、住所、電話番号、メールアドレス、購入履歴など。
- 取引先情報:取引先との契約内容や支払い情報など。
- 企業秘密:特許、技術情報、製品情報、営業戦略、マーケティングプランなど。
- ビジネスプロセス情報:ビジネスプロセスに関する情報、営業戦略、ビジネスモデルのノウハウ、組織が開発したソフトウェアなど。
- 従業員情報:従業員の個人情報や給与情報、勤務実績など。
これらの情報資産が適切に管理されていない場合に情報漏洩や不正利用のリスクが存在します。組織は、情報資産を適切に保護し、情報セキュリティ対策を実施することが重要です。情報セキュリティでは、これらの情報資産を具体的に特定して一覧化し、リスクを評価します。
その手順は、一般的には以下のような方法で行われています。
- 部門ごとに扱われている情報資産を特定し、情報資産台帳を作成します。
- 情報資産に対して攻撃や破壊、漏洩が行われる可能性がある脅威を洗い出します。
- 情報資産に対して攻撃が可能な弱点や欠陥である脆弱性を洗い出します。
- 情報資産の重要度、機密性、完全性、可用性、法的規制に関する要件などを勘案して、評価の基準を設定します。
- 基準に基づいて情報資産が被る損失の影響度を評価します。
- 評価結果に従って、実際に起こり得るリスクを評価します。
- 上記の評価結果を総合して最終的なリスクを評価します。
組織が保有する情報資産を管理する上で重要なのが、情報資産管理台帳の作成です。情報資産管理台帳とは組織全体で情報資産を管理するためのものです。重要な情報資産がどこにあり、どのように保管されているかを一元管理できるのが、情報資産管理台帳です。
経済産業省のIT政策実施機関である独立行政法人 情報処理推進機構(IPA)が策定した「中小企業の情報セキュリティ対策ガイドライン」を参考に情報資産台帳の作り方を説明します。
情報資産台帳には、以下のような項目について記載します。
- 業務分類:業務や部署名を記入。業務や部署を特定し、利用している情報を洗い出す。
- 情報資産名称:情報資産の内容を記入。正式名称がないものは社内の通称。
- 備考:必要に応じて説明等を記入。
- 利用者範囲:情報資産を利用してよい部署等を記入。
- 管理部署:管理責任がある部署等を記。小規模事業者であれば担当者名。
- 媒体、保存先:媒体や保存場所を記入。書類と電子データの両方で保存している場合は、2行に分けて記入。
- 個人情報の種類:「個人情報」「要配慮個人情報」「特定個人情報」が含まれる場合は、それぞれに「有」を記入。
- 評価値:「中小企業の情報セキュリティ対策ガイドライン」P55、表12を参照して、情報資産の機密性、完全性、可用性それぞれの評価値を1~3段階で記入。
- 重要度:機密性、完全性、可用性の最大値を記入。個人情報の種類に「有」があれば3を記入。
- 保存期限:法定文書は法定期限、それ以外は利用完了後、廃棄、消去が必要となる期限を記入。
- 登録日:登録した日付を記入。内容を更新した場合は更新日に修正。
- 現状から想定されるリスク:「中小企業の情報セキュリティ対策ガイドライン」P56、表13を参照して、驚異の発生頻度、脆弱性それぞれの評価値を1~3段階で記入。
- 被害発生の可能性:脅威÷(4-脆弱性) 小数第1位を切り上げで算定。
- リスク値:重要度×被害発生の可能性で算定。
リスク大:9~6:深刻な事故が起きる可能性が大きい
リスク中:5~4:重大な事故が起きる可能性あり
リスク小:3~1:事故が起きる可能性が小さい。起きても被害は受容範囲。
組織内に存在する様々な情報を全て洗い出して台帳に記載します。
最初は部署・部門ごとに作成し、組織全体を合わせて、共通部分をまとめて、全体版を作ります。
リスク値の大きさに従って対応策を検討し、計画し、実施します。
以上