「ISMS規格をわかりやすく解読する」シリーズの13回目は、「A.8 資産の管理」について見ていきたいと思います。
※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。
A.8.1資産に対する責任
組織が所有している資産は、適切に管理されなければなりません。そのためには、まず、管理するべき資産を特定する必要があります。例えば、契約書や給与明細などの書類はもちろん、場合によってはシステムのプログラムなども管理すべき資産に含まれるかもしれません。それらをリストアップし、各資産の管理責任者を定め、どのような状態(紙媒体なのかデータなのか)で保存されているのか、どこに保存されているのかを、目録として明記しておくことが必要です。
また、目録で定められた資産の管理責任者は、管理すべき資産をしっかりと管理する必要があります。管理とは、例えば、その資産が、実際に適切な方法で保存されているか、目録に書かれている内容は正確か、などの作業のことをいいます。
資産管理で問題になるのが、資産を有している人が退職する時です。規格では、従業員の退職に限らず、外部の利用者の契約が終了した時なども含めて、契約期間中に利用していた資産は全て返却しなければならないと定められています。
A.8.2情報分類
管理対象の情報は、適切に「分類」する必要があります。分類の方法は様々ありますが、一般的には、情報流出が起きてしまった場合にどれほどの被害が考えられるかといった情報を元に、各情報をレベル付けして、分類していきます。その分類のもとで、もし必要であれば、例えば「大きな被害が想定される資産群」に分類された資産には特別な管理策を設定する、などといった対策を行います。管理策の例としては、アクセス制限をかける、厳重に暗号化する、などが考えられます。
また、情報管理をしやすいように、情報には適切なラベルを付ける必要があります。ラベルとは、ファイルの背表紙に記入したりする「物理的なラベリング」はもちろん、パソコン上のファイルの名前なども対象になります。具体的には、例えば、先ほどの分類において、「大きな被害が想定される資産群」に分類された情報には、必ず「社外秘」などのラベルを入れる、などといったことなどが考えられます。また、情報を誤って廃棄したりすることがないように、どのような情報が保存されているのかを適切に表すラベル付けを行うことが求められます。パソコンのファイル名で「文章1.docx」などとするのは、好ましく無いということです。
A.8.3媒体の取り扱い
情報流出の原因として多いのが、USBメモリなどの取り外し可能な記憶媒体の紛失です。これらの記憶媒体は、適切な方法で管理されている必要があります。より具体的には、ファイルを暗号化する、利用の機会を最小限に抑える、私用の記憶媒体は利用しない、重要なデータを移動させる際には、そのデータの管理者に必ず許可を取る、媒体を破棄する際には、流出がないように適切な方法で破棄する、などといった方法が考えられます。
ここでは例として、USBメモリを挙げましたが、情報を保存できる媒体ならば、全てそれぞれ適切な方法で管理されなければなりません。普段社内で利用しているPCや、CD/DVD、外付けHDDなどはもちろん、紙媒体も管理の対象となります。