情報資産の収集・管理は企業活動に欠かせないものですが、ひとたび情報資産の漏えいを起こすと、企業は信用失墜、損害賠償、業務の停止、といった様々な不利益に見舞われてしまいます。
そうならないために、情報資産を管理しましょう。
本記事では、ISMSの規格、JIS Q 27001における管理策「5.12 情報の分類」を参照しつつ、適切な情報資産の把握と管理についてお伝えします。
また、ISMSの規格であるISO27001は2022年に新規格となりました。LRMでは、新規格の変更点や企業が対応する内容がわかる資料を無料で配布しています。ぜひご活用ください。
情報資産とは
情報資産とは、企業や組織が収集した「ヒト・モノ・カネ」に関する情報すべてのことを言います。情報はコストをかけて集めて来るだけでなく、利用するのに伴って財産的な価値が評価可能なものとなります。
また、不適切な取り扱いは、負債となることさえあります。そこで、紙の資料・各種データ・ノウハウなど、企業にあるすべての情報を、情報の媒体を問わず把握し、管理する必要性が生じます。
ソフトウェア・PCやサーバなどのハードウェア(物理的資産)・クラウドサービスもそれぞれ情報資産として取り扱われます。ソフトウェア・物理的資産ともに情報が蓄積されており、また、クラウドサービスにおいても同様です。
情報資産は分類が存在する
情報資産は、基本的には情報の重要性に従って分類・管理します。
例えば、個人情報や、技術情報については管理が厳重なのに対して、Webなどで公開されている情報は個人情報や技術情報と同程度の厳重な管理は求められません。
情報資産の分類は、情報の価値・重要性ごとの管理の度合い・管理の方法を決定する上でのラベルのようにして機能します。
様々な情報分類区分の事例
情報分類区分と言っても、会社や組織によってルールが異なります。世の中に存在している情報分類区分の事例について紹介します。
政府機関の例
政府機関では、「機密性」「完全性」「可用性」という情報セキュリティの観点ごとに分類区分が存在しています。以下でかんたんにご紹介します。
機密性
- 機密性3情報(要機密情報)
- 機密性2情報(要機密情報)
- 機密性1情報
完全性
- 完全性2情報(要保全情報)
- 完全性1情報
可用性
- 可用性2情報(要安定情報)
- 可用性1情報
3つの「要○○情報」のうち一つでも当てはまる場合は、「要保護情報」と呼ばれます。
政府機関の場合は、特に重要情報の取扱い等も多いことから、詳細な区分設定がされています。
これをこのまま民間企業に適用するのはなかなか負担になり難しいかもしれませんが、一つの基準として参照いただくことはできるでしょう。
また、政府情報システムのためのセキュリティ評価制度(ISMAP)は機密性2情報を想定したセキュリティレベルで設定されているため、今後ISMAP登録などを検討する場合には、区分を認識しておくことが重要になってきます。
JIS Q 27002の例
管理策の手引きであるJIS Q 27002の中で、情報の機密性から見た分類区分の体系例について、以下の通り記載があります。
- 開示されても損害が生じない
- 開示された場合に、軽微な不具合又は軽微な運用の不都合が生じる
- 開示された場合に、運用又は戦術的目的に対して重要な短期的影響が及ぶ
- 開示された場合に、長期の戦略的目的に対して深刻な影響が及ぶ、又は組織の存続が危機にさらされる
万一その情報が公開されてしまった際に組織が受けうる被害・影響の度合いで判断を行っているものです。ただ、この内容では、レベル感がイメージしづらく実運用に向かないかもしれません。
一般的な例
上記でご紹介した2つをそのまま一般企業でも流用して利用することはあまり一般的ではありません。
その上で、多くの企業では、以下3区分を土台とすることが多いです。
- 機密情報
- 社外秘情報
- 公開情報
具体的には、上記区分を以下2パターンのどちらかに当てはめていくことが多いです。
- JIS Q 27002の例同様、漏えい時の被害・影響の大きさでレベル付けする
- 閲覧権限の広さでレベル付けする
この区分をもとに、管理する情報資産が少ない場合には区分の数を減らしたり、反対に多い場合には「部外秘」などさらに区分を足して詳細に管理することもあります。
ISMS認証をお考えの方へ、取得に必要な準備をまとめたToDoリストをご用意しています。
この機会にぜひチェックしてみてください。
情報分類区分を決める際の注意点
前項を参考に、自組織に合った分類区分を検討いただければと思いますが、いくつか検討時に注意すべきポイントもあります。
情報資産取扱いルールを適切に制定できるようにする
情報分類区分は、情報資産の重要度ごとの取り扱いルールを設定しやすくするために設定します。
ここでもし、型通りに一般的な3区分を設定してしまうと、本来、「機密」である情報と、「機密」よりもっと厳重な管理を行いたい情報を同じ「機密」という区分に納めないといけなくなってしまい、当該情報の取扱いが、厳しすぎるルールもしくは弱すぎるルールのどちらかになってしまうかもしれません。
そのため、情報の取り扱いルールを設定する際、セキュリティ上求めるレベルのルール設定を適切に実施することができるような区分設定をしましょう。
従業員が理解できる区分を行う
分類区分には、一般的な例こそありますが、厳密にこの区分をしなければならないというものはありません。
自組織の従業員が理解しやすい区分の仕方をすることが望ましいです。
例えば、組織によっては「機密・社外秘・公開」といった区分がわかりやすいかもしれませんし、組織によっては「社外秘と公開の違いは分かるけど、機密と社外秘の線引きがわからない」といった混乱を招く可能性もあります。
その分類区分名や説明で、従業者が取扱い等を理解できるか、実際に運用できるかを考えて適切な設定を行うようにしましょう。
ISMSの情報分類区分を参考にするのがおすすめ
もしこれから自組織で情報分類区分を設けるのであれば、ISMS(情報セキュリティマネジメントシステム)を参考にするのがおすすめです。具体的には以下のようなルールを設定します。
情報資産の洗い出し
情報資産の洗い出しにはコツがあります。それは、業務グループごとに業務担当者が洗い出し、セキュリティ対策を検討することです。
業務担当者に情報資産の洗い出しをしてもらうと、トップダウンの洗い出しと異なりイメージがつきやすく、抜け漏れが少ない、効率が良いというメリットがあります。
例えば顧客マスタDB(データベース)について、業務担当者に、利用場所は次のどこか、保管形態はどういった形態か、保管場所はどこか、重要度はどれに当てはまるか、を洗い出してもらうといった形です。
エクセルファイルに各部でまとめ、情報セキュリティ担当に提出するなどして、どこにどのような情報資産があるか、全体で把握できるようにします。
洗い出しの要素は以下のようなものがあります。
- 情報資産名:顧客マスタDB、人事マスタDB、経費精算システムなど
- 利用場所:社内、社外、DMZ など
- 保管形態:サーバ、PC、クラウド、USB など
- 保管場所:サーバルーム、キャビネット、事務机上など
- 重要度:秘密、社外秘など
例:顧客マスタDBについて洗い出しを行った例
| 情報資産名 | 利用場所 | 保管形態 | 保管場所 | 重要度 |
|---|---|---|---|---|
| 顧客マスタDB | 社内 | サーバ | サーバルーム | 社外秘 |
情報資産の価値を分析する
洗い出した情報資産を個別に評価するのは手間がかかるため、保管形態や保管期間、用途などに応じてグループ化すると良いでしょう。グループ化された情報資産の価値を明確にするために、さきほど紹介した「機密性」「完全性」「可用性」の観点で、価値を分析します。
機密性の基準の例
| 資産価値 | クラス | 説明 |
|---|---|---|
| 1 | 公開 | 第三者に開示・提供可能 |
| 2 | 社外秘 | 組織内では開示・提供可能(第三者には不可) |
| 3 | 秘密 | 特定の関係者または部署のみに開示・提供可能 |
| 4 | 極秘 | 所定の関係者のみに開示・提供可能 |
完全性の基準の例
| 資産価値 | クラス | 説明 |
|---|---|---|
| 1 | 低 | 情報の内容を変更された場合、ビジネスへの影響は少ない |
| 2 | 中 | 情報の内容を変更された場合、ビジネスへの影響は大きい |
| 3 | 高 | 情報の内容を変更された場合、ビジネスへの影響は深刻かつ重大 |
可用性の基準の例
| 資産価値 | クラス | 説明 |
|---|---|---|
| 1 | 低 | 1日の情報システム停止が許容される |
| 2 | 中 | 業務時間内の利用は保証する 1時間の情報システム停止が許容される |
| 3 | 高 | 1年365日、1日24時間のうち、99.9%以上利用できることを保証する。1分間以上の情報システム停止が許容されない |
情報資産管理台帳を作成する
「業務分類」「情報資産名」「利用範囲」「管理部署」「媒体の種類」「保存先」などの管理項目を設けて、情報資産を管理するための台帳を作成します。台帳に記載した情報資産ごとに、機密性・完全性・可用性の数値も入力してランク付けします。
次にランク付けされた情報資産ごとに、脅威や脆弱性を洗い出しましょう。例えば、機密性が高いのに誰でもアクセスできる状態になっている場合、リスクが高いと評価でき、速やかな対応が必要となります。
同じような情報資産であっても、企業や組織によって、重要性や取り扱われ方は異なります。
ISMSを参考とした情報分類区分をそのまま導入するのではなく、自組織にとって適切な情報分類区分を設けることが大切です。
情報資産の具体例
例えば、NPO法人日本ネットワークセキュリティ協会(JNSA)が公表している「情報セキュリティポリシーサンプル(1.0)」には、情報資産の種類によっての分類例があります。
- 情報
- 電子ファイル、紙 他
- ソフトウェア
- 業務用ソフトウェア、事務用ソフトウェア、開発ソフトウェア、システムツール 他
- 物理的資産
- サーバ、ネットワーク機器、媒体、収容設備 他
- サービス
- クラウドサービス、通信サービス、電気・空調サービス 他
情報資産管理のコツ
情報資産管理は、何を、誰が、どこまで管理するかを決めることからスタートします。
下は、全社の情報資産管理が一元把握できる台帳に記載している事項の例です。これらの項目を1つの台帳にまとめて管理します。物理的・人的ないし組織的・技術的管理策のアウトラインが全体的に把握できるくらいには台帳に記載する必要があります。
| 情報資産名 | 給与システムデータ、請求書控え、メールデータ、社員名簿、受注契約書等 |
|---|---|
| 利用範囲 | 部署名、処理担当名など |
| 管理部署・管理責任者 | 部署名および管理責任者 |
| アクセス権者 | マネージャー以上、担当者全員、業務グループ限りなど |
| 媒体の種類 | 書類・電子データなど |
| アクセス権者 | マネージャー以上、担当者全員、業務グループ限りなど |
| 保存先 | 社内サーバ、外部記憶媒体、モバイル機器、クライアントPCなど |
| 個人情報の有無 | 有無 |
| マイナンバー情報の有無 | 有無 |
| 評価値(機密性・完全性・可用性)・重要度 |
|
| 保存期間 | 文章保管規定など企業・組織の社内規程による |
| 登録日(更新日) | 登録・更新した日を記載 |
また、管理方法をすべて業務担当部署に任せて決めてしまうのは不適切です。保存先によってそれぞれの管理方法を文書化するべきです。
先に例として挙げた顧客マスタDBの場合であれば、データは各部署の管理であっても、ソフトウェアとしてのデータベースを管理するのはIT担当部署である、などといった具合です。
情報資産のリスクアセスメント
情報資産のリスクアセスメントは、対象となる情報資産の価値を把握し、主に管理方法を決定するための評価の作業です。
情報資産の価値は、主に下記3つを考慮して決定されます。
- 機密性:情報が漏えいした場合の影響度
- 完全性:情報が改ざんされた場合、または装置が正確に動作しなかった場合の影響度
- 可用性:情報、装置が利用できない場合の影響度
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)は、それぞれの頭文字をとってCIAと呼ばれますが、C、I、 A、それぞれをスコア化して評価することが一般的です。
おおむね3~4段階の評価とし、それぞれの数値を掛け合わせた値で重要性を評価することが多いようです。
あるいは、CIAのそれぞれの要素の最高スコアをリスクから見た重要度として、管理方法を決定するなどの手法がとられます。リスクが高い=管理を厳重にすることが求められるからです。
ただし、こうしたリスクアセスメントの数値とともに、法令または省庁によるガイドライン上、管理措置が具体的に求められる場合においては、ガイドライン等に従った管理措置を優先させなければならない事には注意しておきましょう。
また、会社によっては海外とのやり取りを行う場合に、EUデータ保護指令が適用される個人データを利用したり、預託されたりすることがあるでしょう。これも同様に、管理措置は別途考慮する必要があります。
まとめ
現代の企業活動においては、情報は「ヒト・モノ・カネ」と同様に価値のある資産です。
資産の適切な管理方法を決める上では、情報資産の分類とリスクアセスメントがカギになります。記事で説明した手順を参考にして、情報資産の管理手法の確立と、定期的な見直しを行うようにしてください。
また、自社のセキュリティ状況と必要な対策をまとめた資料をご用意しております。ぜひこちらも併せてご活用ください。
