初心者のための情報セキュリティ対策講座:1.情報資産の棚卸し

2022-01-31

倉庫に整然と商品が収まっている写真
初心者のための情報セキュリティ対策講座

本記事も含め、初心者のための情報セキュリティ対策講座は「中小規模のITユーザー企業(部門)などで、PCが得意と言う理由で情報セキュリティ担当になった方」などの、「情報セキュリティ対策が必要な事は理解できるけど詳しくは知らない」方に向けてセキュリティ対策の概要を掲載しています。

本シリーズの構成

情報資産ってなに?

ITあるあるで説明する人や組織によって定義が多少変わります。少し古いですが、2004年のIPAセミナー資料では以下のように説明されています。

「資産」としての「価値」がある情報
– 例えば顧客情報、製品開発情報、経営計画の情報など

https://www.ipa.go.jp/files/000013297.pdf

この記事では広い範囲で定義したいので、まず情報資産とは「企業の持つ全ての情報と、情報の取り扱いに必要な構成品(PC、ソフトウェア、ネットワーク機器、クラウドサービスなど)」とします。

大きな理由は、現実に存在する資産と違い「情報」の「資産としての価値」は将来どのような変化をとるかわかりません。技術や環境によってこれまで無価値と思っていた情報から新しい情報を得られる可能性もありますし、反対に、現在では価値がある情報でも急速に価値が下がる可能性もあります。

また、具体的には次の記事になりますが情報セキュリティ対策を実施するにあたっては対象となる情報が「どこに」「どのように」保存されているかの把握が必要になります。

そのため現在の評価で「価値のある情報」だけでなく、全ての情報と取り扱う構成品を情報資産として取り扱います。

情報資産の棚卸しが必要な理由

先ほど「企業の持つ全ての情報と、情報の取り扱いに必要な構成品」を情報資産と定義しましたが、全ての情報に対して厳重な情報セキュリティ対策を実施するには莫大なコスト(予算・人員)が必要になります。

当然、現在の評価で価値の高い情報は厳重な対策が必要になりますが、一般にも公表されている価値の低い情報や、業種によっては印刷物を原本として一定期間保存している場合など、代替できる情報がある場合は最低限の対策で十分な事もあります。

限りあるコストを効果的に割り振るためにも、保有している情報資産を棚卸しすることでメリハリのある情報セキュリティ対策を行います。その他にも、保有している情報資産を統括して把握するためにも情報資産の棚卸しが必要になります。

情報資産の棚卸しの方法

1.保有する情報資産の把握(情報資産台帳の作成)

最初のステップですが、初めて情報資産台帳を作る場合は最も大変な作業です。最終的にはすべての情報資産を網羅的に把握することが理想ですが、慣れるためにも最初は小さい範囲の情報資産台帳を作成することをお勧めします。

情報資産台帳の作り方としては、大きく「企業活動(業務)を中心に関わる部署・情報を細分化する」方法と、「各自・各部署の業務で使用する情報から企業活動(業務)に繋げる」方法があります。

どちらの方法にしても最終的には保有する情報と企業活動が繋がりますが、企業活動を中心とした方法の場合は関わる情報が部署をまたぐ場合も多いので、精度の高い情報資産台帳を作るためには経営層の積極的な関与が必要になります。また、使用する情報から企業活動に繋げる方法は小さい規模からスタートできるメリットがありますが、企業活動が複数部署にまたがる場合は情報が重複する可能性が出てきます。

顧客情報を複数部署で取り扱うイメージ図

企業によって担当する業務範囲や情報化・システム化されている内容・範囲が異なるため、一概にベストな方法は無く、実際には手探りで試しながらになります。ベンダー企業に任せるだけでは精度の高い情報資産台帳は作成できないため、情報セキュリティ対策の基本をしっかりと作るためにも各自が責任感を持って取り組む必要があります。

情報資産の価値評価

次に、情報セキュリティ対策の優先順位を付けるため、情報資産台帳を基に保有している情報が持つ価値を評価していきます。ですが、前述した2004年のIPAセミナー資料でも書かれているように、実際には情報資産を経済的に評価することは難しいです。

今後は無形資産の価値評価の手法などを使った新しい情報資産の価値評価が進むと思われますが、現時点では可能な範囲での情報資産自体の経済的価値とともに、万が一セキュリティインシデントが起きた際の影響も踏まえた総合的な評価をここで行います。

情報資産自体の価値分類(例)

直接的な経済的価値を持つ情報資産

  • ハードウェア・ソフトウェアなど
  • 特許権など
  • ECサイト等の物販サイト

付加的な経済的価値を持つ情報資産

  • 商標・ブランド名・デザインなど
  • 企業ホームページ・SNSアカウントなど

企業活動を行う上で法的に必要な情報資産

  • 登記・契約に関する書類・情報、会計書類・情報など

その他の情報資産

  • 顧客・取引先情報
  • 問い合わせ情報
  • 従業員・人事情報
  • その他すべての情報

明らかな経済的価値を持つ情報や法的に必要な情報に対しては必要な措置が取られている場合が多いと思います。問題はその他の情報資産に含まれる多くの情報資産ですが、現時点では経済的な価値は無いとして評価し、情報セキュリティインシデントが起きた場合の影響から考えます。

情報セキュリティインシデント時の影響

例として顧客情報が漏洩された場合は企業活動への影響として「顧客離れ」が考えられますが、取引の中心相手が企業か個人かによって影響の大きさは変化します。企業間取引が中心の場合では、取引先名や電話番号の漏洩で相手企業が直接被害を受ける可能性は低く、個人への取引が中心の場合は取引先名(個人名)や電話番号の漏洩で大きな精神的被害を受ける可能性が高くなります。

また、情報セキュリティインシデントでも情報の漏洩と破壊・棄損では影響の範囲が異なるため、ここでも自社の実情を鑑みた個別の評価が必要になります。

大きくは「事業継続への影響度」と「金銭的な被害(補償)額」で評価し、「事業継続への影響が大きく、金銭的な被害も大きい情報が高い情報資産価値を持つ」ことになります。

経営判断で対策を決定

評価した情報資産の価値に応じて情報セキュリティ対策を計画しますが、内部で実施する場合でもコストが必要になります。前述の事業継続への影響度と金銭的な被害額、必要コスト、期間などの総合的な判断で対策を計画していきます。

その際、情報資産台帳から自社内で可能な対策やベンダー企業への協力が必要な対策を切り分け、経営判断で実施する情報セキュリティ対策を決定します。

定期的な見直し

棚卸しができた情報資産ですが当然情報の持っている価値は時間と共に変わっていきます。【情報資産って?】でも書いていますが、時事的な情報は時間の経過とともに価値が落ちる事が多く、評価時点では低い価値の情報でも技術や環境の変化によって新しい価値を持つ可能性もあります。

また、企業活動を続ける以上新しい情報も増えていくため、情報資産の定期的な評価は継続して行う必要があります。

限りある情報セキュリティ対策費用を効果的に使うためにも、定期的に情報資産を管理し、その時点での評価・見直しが大切です。

セクションのまとめ

情報セキュリティ対策で最も肝心な事はこの記事でお伝えした「情報資産の棚卸し」です。守るべき情報を自分たち自身が把握できていない状況では、それこそ「何をどうしたらいいか分からない」から脱却することはできません。

とは言え、紙も含めた情報資産の一覧を作るだけでも最初は大変ですし、「棚卸しをしなさい」と言うだけではなかなか進まないのが現実です。

記事内でも紹介しているように、企業活動と対応させて使われている情報を細分化することで「どこで・どんな情報が」使われているかが把握できるようになります。そのためには、部署内だけでなく部署をまたいで情報を繋ぐようになるため、経営層が中心になって適切な指示を出す必要があります。

また、保有する情報資産に対する予算化も当然経営層が決定する事です。一見地味な情報資産の棚卸し作業ですが、情報セキュリティ対策だけでなく保有する情報資産を上手に使って企業価値を高めるためにも、経営層も積極的に関与して下さい。