セミナー情報情報資産管理台帳の基礎と実践ガイド|目的・作り方・運用方法まで解説
情報セキュリティ対策やコンプライアンス遵守にあたっては、組織が保有する情報資産を正確に把握し、適切に管理することが欠かせません。 そういった活動をおこなううえで、中核となるのが「情報資産管理台帳」です。
本記事では、情報資産に関する基礎知識から情報資産管理台帳の目的・記載項目・作成手順・運用のコツまで詳しく解説します。
初めて台帳を作成する方はもちろん、既存の台帳を改善したい方にも役立つ実践的な内容です。
・情報資産管理台帳
・情報資産管理台帳に記載すべき項目
・情報資産管理台帳の作成ステップ
・情報資産管理台帳におけるリスク分析と評価の進め方
・情報資産管理台帳の運用を成功させるポイント
・運用におけるよくある失敗
・情報資産管理台帳の運用を効率化するツール
・まとめ|情報資産管理台帳で、組織の情報資産を正確に把握しましょう
・情報資産管理台帳の運用を効率化する「SS1/SS1クラウド」
情報資産とは?定義と具体例
情報資産とは、組織が保有する価値のある情報と、それを取り扱う媒体すべてを指します。
| 価値のある情報 | 個人情報、独自技術・ノウハウ情報、経営計画、商取引関連情報 など |
|---|---|
| 取り扱う媒体 | PC、サーバー、ソフトウェア、USBデバイス、SDカード など |
利益を生み出すため日々活動している組織において、「情報」はヒト・モノ・カネの3大要素に並ぶ重要なリソースです。IT技術が発展した今日では、情報資産を持たない組織は存在しないといっても過言ではありません。
情報資産管理台帳
組織にとって重要な資産である情報資産を管理するために用いられるのが、「情報資産管理台帳」です。
保有する情報資産を網羅的に記録するための管理帳票であり、どこに・どの情報が・どのような形で保管されているのか、その情報はどの程度の重要度を持つかなどを可視化します。
台帳作成の目的
情報資産管理台帳は、セキュリティ対策のベースとすることを主な目的として作成されます。
なぜなら、守るべき情報資産がどこに・どのような状態で存在しているのかをきちんと把握してはじめて、セキュリティ対策の範囲や内容を明確化できるからです。
よって情報資産管理台帳は、組織の情報セキュリティ基準や方針(セキュリティポリシー)の策定に寄与します。
ISMS・Pマーク認証や、監査における位置づけ
ISMSなどを含めた多くの外部監査において、情報資産管理台帳は必ず作成することになります。台帳に記されている情報資産の内容や重要度、それらに対するリスク評価が、策定した施策が有効であるかを検討する際の根拠となるためです。
またこれらのセキュリティ関連監査では、台帳の作成だけでなく提出も求められます。このことから、情報資産台帳の作成は、セキュリティに関する認証取得を目指す場合一番に着手するべき作業なのです。
情報資産管理台帳に記載すべき項目
情報資産管理台帳の品質は、記載項目が適切か否かに大きく左右されます。
必要な情報を網羅できるよう、項目選定は慎重におこないましょう。
ただし、あまりにも多くの項目を設定してしまうと運用負担を増やしてしまいます。情報資産管理台帳は、作成と同じく更新作業も極めて重要です。運用のことまで想定したうえで、適切な項目数で設計することをおすすめします。
参考までに、主な台帳項目を下記の通り列挙します。
・管轄部署または従業員名
・管理責任者
・用途
・保管形態(紙/電子 などメディアの種類)
・重要度(極秘/秘/社外秘/公開など)
・情報区分(個人情報/製品情報/経営資料 など)
・閲覧権限範囲
・保管場所
・保管期間
・最終更新日(最終評価日)
・個人情報の有無
・リスク評価レベル
など
情報資産管理台帳の作成ステップ
管理台帳に記載する項目を決定したら、いよいよ台帳作成のステップに入ります。
ここでは、情報資産の洗い出しから実際の運用に至るまでの流れをご紹介します。
①情報資産の洗い出し
まずは、組織内にある情報資産をすべてリストアップします。漏れのないように、実際の業務フローなどに沿って資産を洗い出していくことが大切です。
情報セキュリティ担当者が中心となって動くべきですが、実際その業務にあたっている現場の担当者へヒアリングをおこなうと、より正確に情報資産の保有状況を把握できます。
②重要度の評価(CIA評価)
機密性・完全性・可用性の観点(CIA:情報セキュリティの3要素)から、各情報資産の重要度を数値化します。実際に情報が漏洩した際の影響度などを鑑みて判断しましょう。
情報セキュリティの3要素を基準として採用することには、個人の判断による属人的な評価を避ける狙いがあります。
情報セキュリティの3要素については、下記の記事でも詳しくご紹介しています。
③フォーマットの作成と台帳登録
あらかじめ決定しておいた記載項目に則って、台帳の枠組みを作成します。形式はもちろん自由ですが、多くの組織ではExcelがよく活用されているようです。
ちなみに、IPAが公開しているテンプレートを参考に作成するのも有効です。
例えば下記サイト内「付録7:リスク分析シート」には、情報資産管理台帳のテンプレートとともに、リスク評価をおこなうのに有用なドキュメントがまとめてあります。
自社の実態にあった内容にアレンジするなどして、情報資産管理台帳のひな型をつくりましょう。
その後、洗い出した情報資産とリスク評価結果を作成した台帳テンプレートに記載します。
入力された内容の正しさによって今後の情報資産管理台帳の運用品質が大きく左右されます。ここで抜け漏れがないよう、ダブルチェックをおこなうなどすると安心です。
④定期的な見直しと更新
運用を開始したあとは、組織や情報資産の変化に応じて定期的に台帳内容を更新していきましょう。
半年~一年に一回程度は棚卸作業を実施することをおすすめします。
セキュリティ監査前に慌てて台帳を更新しようとすると、記載ミスや確認漏れにつながる可能性があります。できれば棚卸の時期は固定化し、余裕をもったスケジュールを立てて臨むべきです。そうすることで、各監査にも落ち着いて対応できるようになります。
情報資産管理台帳におけるリスク分析と評価の進め方
「情報資産のリスク評価って具体的にどうするの?」と疑問に思う方もいるかもしれません。
ここでは、一般的なリスク評価(リスクアセスメント)の方法を解説します。
リスク評価の基本
そもそもリスク評価とは、脅威と脆弱性の組み合わせからリスクを特定し、その重大性を情報資産ごとに評価するプロセスのことです。
| 意図的脅威 | 悪意ある攻撃者による脅威。 |
|---|---|
| 偶発的脅威 | 内部関係者によるうっかりミスなどの脅威。 |
| 環境的脅威 | 自然災害による脅威。 |
| ソフトウェアの脆弱性 | 設計ミスやプログラム上のバグ。 |
|---|---|
| 運用体制の脆弱性 | 情報の取り扱いや管理体制の不備。 |
| 環境の脆弱性 | オフィスやデータセンターの立地・設備に関する不備 |
脅威とは「情報資産に対して何らかの損害を与える要因」であり、脆弱性は「システムに存在する欠陥や弱点」を指します。脆弱性のある箇所を脅威が悪用することで、セキュリティリスクが生み出されるというわけです。
リスク評価では、これらのリスクが発生した場合の影響度・リスクの発生確率などを鑑みて、各情報資産のリスクレベルを定めていきます。
重要度設定の実例
例として、「顧客情報」についてそれぞれリスク評価をおこなってみましょう。
まずは機密性・完全性・可用性の観点から、下記の基準に照らし合わせて評価値を決定します。
顧客情報には個人情報が含まれており、個人情報は法律によって安全管理が義務付けられていることから、それぞれの評価値を以下のように考えてみます。
情報資産の重要度を判断するときは、3要素のうちもっとも高い数値をそのまま重要度レベルとして採用します。
1つの要素に対してまったくリスクがなかったとしても、他の要素でリスクが考えられる場合、平均をとるのではなく最高値を反映させるのです。この考え方はこれから出てくるすべての指標の判断方法に共通しているため、必ず覚えておきましょう。
よって、顧客情報の最終的な重要度は「3」となります。
リスク評価の実例
では引き続き、顧客情報のリスク値を算出していきましょう。
リスク値を考えるときには、下記の公式を活用します。
発生確率スコアとは、情報資産に対して何も保護対策を講じなかった場合に起こりえる脅威の発生頻度を、過去のインシデントや業界事例に基づいて判定するものです。
| スコア3 | いつ発生してもおかしくない(通常の状況下で発生する可能性がある) |
|---|---|
| スコア2 | 年に数回程度発生する可能性がある(特定の状況下で発生する可能性がある) |
| スコア1 | 通常の状況で発生することはない |
顧客情報に対する脅威としては、大まかにマルウェア被害などの外部攻撃や内部不正などが挙げられるでしょう。頻度が低いとはいえないため、ここではスコア2を選択します。
こうして出揃ったスコアを上述の公式に当てはめると、顧客情報のリスク値は下記のようになります。
値が高いものほど、優先的に対応すべきリスクといえます。ちなみに前項で引用しているIPAの「リスク分析シート」内では、リスク値に応じた大中小のわかりやすい評価指標が設けられています。
・リスク大:リスク値9~6
・リスク中:リスク値4
・リスク小:リスク値3~1
分析結果を活かすときのポイント
分析結果をセキュリティ対策へと活用するうえで、追加で検討しなければならない指標として「脆弱性スコア」があります。
脆弱性スコアとは、「組織的対策」「人的対策」などと分類される一般的なセキュリティ対策の実施状況を表す値です。
・脆弱性スコア3:対策を実施していない
・脆弱性スコア2:一部対策を実施している
・脆弱性スコア1:対策を実施している
・脆弱性スコア0:自社に該当しない
リスク分析の結果からセキュリティ対策を検討する場合は、「リスク値が高い」かつ「脆弱性スコアが高い」情報資産から優先的に対応していくことが推奨されます。
ちなみに、脆弱性スコアはあらゆる観点から対策状況を確認する必要があるため、自社分析には限界があります。IPAのチェックシートや外部機関のセキュリティ診断を受けるなどして判断するとよいでしょう。
情報資産管理台帳の運用を成功させるポイント
情報資産管理台帳をスムーズに運用するためには、いくつかのポイントがあります。
運用ルールの明確化と社内周知
情報資産管理台帳の運用については、年に1回以上は台帳の棚卸をおこなうといったルールをきちんと明文化しておきましょう。そのうえで従業員へルールを周知し、棚卸作業への協力を仰ぐと効果的です。
情報資産の棚卸では、情報セキュリティ担当者だけではなく、現場で情報資産を取り扱う一般従業員の協力が欠かせません。周知の際は棚卸作業の具体的な内容まで細かく伝えておくと、さらに作業がスムーズに進みます。
トラブル発生に備えた対応策
「ソフトウェアの脆弱性が発見されたため、該当のソフトウェアがインストールされている端末を特定する」「特定の情報が漏洩した際、その情報の取り扱い範囲や利用可能者を特定する」といったケースでは、情報資産管理台帳を参照することになります。
こうしたインシデントが発生した場合に、情報資産管理台帳をどのように活用するかを具体的に想定することも、台帳の運用を成功させる重要なポイントです。
より実践的に利用できる台帳フォーマットを利用し、インシデント発生時の台帳活用フローをあらかじめ検討しておくことによって、いざというときに情報資産管理台帳の真価を発揮できるようになります。
運用におけるよくある失敗
ここまで、情報資産管理台帳の作成から運用について解説してきました。
繰り返しとなりますが、台帳はただ作成するだけでなく定期的な更新が必須となります。しかし、登録する項目をはじめに多く設定しすぎてしまったり、日々の業務に追われて棚卸作業がおこなわれなくなってしまったりと、運用に苦労する担当者も多いようです。
また情報資産の洗い出し範囲が不十分だったなどの理由から、そもそも台帳中の情報に漏れが発生することもあります。
こうした事態を避けるためには、台帳項目は必要十分となるよう厳選し、棚卸作業をできるだけシステマチックにおこなえるよう工夫することが大切です。
またはじめに情報資産の管理範囲を明確に定義しておき、複数人で情報の洗い出しをおこなうことで、なるべく資産の抜け漏れを防ぐよう努める必要があります。
情報資産管理台帳の運用を効率化するツール
どんなに情報資産管理台帳を適切に運用しようとしても、資産の数によっては人力での管理が現実的でない場合もあるでしょう。
より効率的な台帳作成・運用を検討する場合は、専用ツールの導入がおすすめです。
IT資産管理ツール
PC・サーバーといったハードウェアや、OS・ソフトウェアなどの管理に特化したツールとしては、「IT資産管理ツール」が有名です。社内のIT資産に関する情報を自動で収集・台帳化するため、台帳がいつでも最新の状態に保てるというメリットがあります。
また、多くのIT資産管理ツールには「Windows更新プログラム管理」機能や「USBデバイスの接続制限」機能なども搭載されているため、脆弱性に対するセキュリティ対策にも活用できます。情報資産管理台帳としてだけではなく、組織のセキュリティレベルの底上げをおこないたい場合にも有効です。
MDM(モバイルデバイス管理)ツール
ほとんどのIT資産管理ツールには、主にPCに対する管理を軸とした機能が搭載されています。一方で、スマートフォンなどのモバイルデバイスの管理に特化したツールが「MDM(モバイルデバイス管理)ツール」です。
MDMツールには、端末の紛失対策や不要なアプリへのアクセス制御など、社外へ持ち出されることの多いモバイルデバイスならではの機能が目立ちます。
昨今、スマートフォンやタブレットを業務に活用する組織が急激に増加しているため、情報資産の一つとして管理を実施したいニーズが増えています。
組織の端末を網羅的に管理したいときに、IT資産管理ツールとあわせて導入する組織も多いようです。
UEM(統合エンドポイント管理)ツール
UEM(Unified Endpoint Management)は、日本語で「統合エンドポイント管理」と訳されます。前項では「PC管理:IT資産管理ツール/モバイルデバイス管理:MDMツール」と紹介しましたが、UEMはその名の通り、PCもモバイルデバイスも一元管理できるツールです。
PCやスマートフォン以外にも、IoT機器などの管理に対応したツールも存在するため、さまざまなデバイスを保有している組織にとっては非常に魅力的な製品といえます。
ただし自社の要件によっては機能過多になることもあり、費用対効果の面で検討を見送る組織も多いようです。また当然この世のすべてのデバイスに対応しているわけではないため、自社で保有している情報資産をきちんと網羅できるかを導入前に確認する必要があります。
オンプレミス?クラウド? 選定で気を付けたいサービス提供環境の違い
情報資産管理台帳の作成を自動化するツールを検討するうえで重要なポイントの一つに、サービスの提供環境があります。
オンプレミス型で運用するツールの場合、社内ネットワークに接続されていない端末に対する管理が難しくなります。その代わり、セキュリティ上の理由で外部ネットワークから遮断している閉域網環境の端末を管理する場合は、オンプレミス型ツールが非常に有用です。
反対に、クラウド型ツールは「インターネットに接続されてさえいれば、端末の所在地を問わず管理可能」という大きなメリットがあります。最近ではテレワークなどで社外端末が増加している組織も多いことから、クラウド型ツールの需要が急増しているようです。ただし、クラウド型のツールは閉域網端末の管理には向いていません。
こうした特性をあらかじめ理解したうえで、組織のニーズに合った適切なツールを選定しましょう。
まとめ|情報資産管理台帳で、組織の情報資産を正確に把握しましょう
情報資産管理台帳は、組織のセキュリティ体制やコンプライアンス遵守を支える基盤です。
組織を取り巻くIT環境が複雑化していくのに比例して、年々新たなセキュリティリスクが生まれ続けています。こうしたリスクに対応するためには、情報資産管理台帳を形式的に作成して終わるのではなく、きちんと実践的に活用できる形で管理・運用していかなければなりません。
皆さんが正しい台帳作成方法や運用手順を理解するために、本記事が少しでも寄与することを願っています。
情報資産管理台帳の運用を効率化する「SS1/SS1クラウド」
当社が開発・提供しているIT資産管理ツールIT資産管理ツールSS1
/SS1クラウドは、情報資産管理台帳の効率的な作成・運用や、組織のセキュリティ対策を強力に支援できる製品です。
オンプレミス版とクラウド版の両方をご用意しているため、さまざまな環境で保有されている情報資産を適切に管理できます。
情報資産管理台帳の運用工数削減や、情報資産に対する効果的なセキュリティ対策を検討している方は、ぜひ一度製品サイトをご覧ください。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
