情報資産管理台帳とは? 盛り込む項目や作成・運用の流れを解説
IT化やDXが進み、顧客や取引先などとの接点も増え、企業が保有する情報資産は増加しています。情報資産は企業の競争力を高めるための重要な経営資源ですが、適切に管理できなければ社会的な信頼の失墜につながるリスクもはらんでいます。
そこで有用なのが、情報資産管理台帳の活用です。では、情報資産管理台帳には、何をどのように記載し、どう運用していけば良いのでしょうか。
本記事では、情報資産管理台帳に盛り込むべき項目や、作成と運用の流れなどについて解説します。
情報資産とは、企業にとって価値のあるあらゆる情報のこと
情報資産とは、企業にとって価値のあるあらゆる情報のことです。企業が事業活動を通じて収集したヒト・モノ・カネに関する情報がすべて含まれ、適切な管理が必要になります。他社との競争優位性を確保し、差別化を図る上で有用であり、企業が成長する糧となる情報であることから、経済的な価値を表す単語である「資産」が含まれています。
情報資産の概念には、情報そのものに加え、情報を扱う仕組みも含まれます。下記は、情報資産の一例です。
- 情報資産の例
-
- 顧客情報(購入履歴を含む)
- 自社の人事情報や財務情報、経営計画などの機密情報
- 企業間の契約書や請求書
- 製品や技術に関する情報、ノウハウ
- 知的財産権(特許、著作権など)
- ネットワーク情報やID・パスワード
- サーバーやネットワークに関連する機器
上記は多くの企業に共通して存在する情報資産の一例ですが、業界や企業規模が変われば、情報資産の内容も管理の優先順位も変わります。
情報資産管理台帳とは、情報資産をリスト化しリスク評価などを記載した台帳のこと
情報資産管理台帳とは、セキュリティポリシー策定を目的として、企業が保有するすべての情報資産をリスト化して、リスク評価などを記載した台帳のことです。
企業が扱う様々な情報の中には、データ化されてインターネット上に保管されている情報も少なくありません。インターネット上で簡単に情報を閲覧・共有できる仕組みは便利である反面、サイバー攻撃などによって流出する危険性があり、管理が重要となります。情報資産管理台帳を活用して組織内の情報資産を一元管理できる体制を構築しておくと、社内に存在する情報資産とその情報資産が漏洩した場合のリスクを把握しやすくなり、適切な対策を検討できます。
情報資産管理台帳に盛り込むべき項目
一口に情報資産といっても、情報資産管理台帳に盛り込んで管理すべき情報資産の種類は多岐にわたり、業界によっても異なります。IPAが策定した「中小企業の情報セキュリティ対策ガイドライン 第3.1版」で挙げられている以下の項目を参考にすると良いでしょう。
- 情報資産管理台帳に盛り込む項目
-
- 業務分類
- 情報資産名称
- 備考
- 利用者範囲
- 管理部署
- 媒体・保存先
- 個人情報の種類
- 重要度
- 保存期限
- 登録日
情報資産は業務に付随して発生するため、業務や部署に紐づけて情報を洗い出し、「業務分類」といった項目で部署名や業務内容を記載すると漏れがなくなります。「情報資産名称」には、「顧客情報」「請求書」といった資産の内容を簡潔に記載するようにしてください。
情報の管理責任を持つ部署や担当者は「管理部署」に、情報を利用できる部署は「利用者範囲」に記載します。
情報を保存した媒体や保存先については、「サーバー」「キャビネット」のように記入し、紙とデータのそれぞれで保存する場合は脅威と脆弱性が異なるため分けて記載するようにしなければなりません。
「個人情報の種類」については、個人情報や、不当な差別や偏見につながる可能性のある要配慮個人情報が含まれているかどうかを記載します。個人情報や要配慮個人情報の定義については、個人情報保護法やマイナンバー法の定義を参照して判断します。
また、「保存期限」については、期限を定めずに情報資産を長期保存することは情報漏洩リスクの増大を招くため、法律で定められた期限や、廃棄や消去が必要になる期限を明確に記載することが必要です。
「重要度」の項目では、情報の重要度を一定の観点に基づいて評価し、定量的に可視化した数値を記載します。この点について詳しくは、次の項目で解説します。
情報資産管理台帳の重要度の算出方法
情報資産のリスク評価の基準となる重要度は、情報セキュリティの3要素と呼ばれる機密性、完全性、可用性の3つの観点から算出した評価値を基に割り出します。3つの観点の意味は下記の通りです。
| 名称 | 意味 |
|---|---|
| 機密性 | アクセスを許可された者だけが情報にアクセスできる |
| 完全性 | 情報や情報の処理方法が正確で完全である |
| 可用性 | 許可された者が必要な時に情報資産にアクセスできる |
評価値は、情報資産が何らかの被害やトラブルに遭った際に、3要素のそれぞれの観点から想定される影響度を判断して、3段階で算出します。基本的には、漏洩、改ざんなどがあった場合に、自社にほとんど影響がなさそうであれば「1」、自社に大きな影響がありそうであれば「2」、自社に深刻な影響があるか取引先・顧客などに大きな影響がありそうであれば「3」となります。
例えば可用性なら、サイバー攻撃などがあった場合に「利用できなくなっても事業にほとんど影響はない」と評価される情報は「1」、「利用できなくなると事業に大きな影響がある」と評価される情報は「2」、「利用できなくなると自社に深刻な影響、または取引先や顧客に大きな影響がある」と評価される情報は「3」です。
その他の評価基準や例については、「中小企業の情報セキュリティ対策ガイドライン 第3.1版」の55ページで示されている「【表12】情報資産の機密性・完全性・可用性に基づく重要度の定義」を参考にしてください。各観点の評価値が算出できたら、評価値に基づいて、情報資産の重要度を下記の3段階で算出します。
| 評価値 | 重要度 |
|---|---|
| 機密性・完全性・可用性のうち最大値が3の情報資産 | 3 |
| 機密性・完全性・可用性のうち最大値が2の情報資産 | 2 |
| 機密性・完全性・可用性のうち最大値が1の情報資産 | 1 |
情報資産管理台帳の重要度の算出例
実際の情報資産を例に、情報資産の重要度を算出してみましょう。例えば、自社工場のシステム内で利用されている独自技術を使った設計図について、機密性、完全性、可用性それぞれの影響度の評価が下記のような状況にある場合は、3要素の評価の最大値から重要度は「3」と評価されます。
| 評価の観点 | 自社への影響度 | 評価値 |
|---|---|---|
| 機密性 | 自社独自の技術とノウハウに基づいており、漏洩すると自社の競争優位性が薄れ売上に深刻な影響がある | 3 |
| 完全性 | 万が一情報が改ざんされても自社で修正できるが、修正が済むまでのあいだは製造過程に影響を及ぼす可能性が高い | 2 |
| 可用性 | 改ざんや漏洩、盗難などが起こっても原本は自社サーバーなどに保存されており、必要に応じて閲覧できる | 1 |
また、自社サイトなどの電子データも情報資産に含まれますが、評価対象となる自社サイトのHTMLファイルが下記のような状況にある場合、完全性・可用性の評価値が3であるため、重要度は「3」です。
| 評価の観点 | 自社への影響度 | 評価値 |
|---|---|---|
| 機密性 | 機密性の高い情報は保存しておらず、全世界に向けて公開されている情報である | 1 |
| 完全性 | サイバー攻撃で内容が改ざんされたり閲覧できなくなったりした場合、顧客の信頼を失う可能性が高い | 3 |
| 可用性 | 何らかの理由でサイトにアクセスできなくなると、閲覧者が減少し売上に影響を及ぼす | 3 |
情報資産管理台帳の作成・運用の手順
情報資産管理台帳の作成と運用を進める場合、一定の手順に沿うとスムーズです。「中小企業の情報セキュリティ対策ガイドライン 第3.1版」では、下記のような手順を推奨しています。
1.情報資産の洗い出し
情報資産管理台帳を作成するためには、最初に、組織の中にある情報資産を洗い出します。情報資産を扱う部署ごとに業務の流れを可視化し、使用される情報資産を洗い出していくと抜けや漏れを防げます。情報資産管理台帳に記載する情報資産は、洗い出した情報のうち、漏洩などによって大きな被害が予想される情報資産だけで問題ありません。
2.情報資産の重要度の評価と各項目の記入
台帳に記載する情報資産の洗い出しを行ったら、洗い出した情報資産の重要度を算出します。機密性、完全性、可用性の3要素の影響度を評価し、重要度を決定しましょう。
評価後は、その他の必要項目と共に情報資産管理台帳に記入します。この段階で、情報資産管理台帳は完成です。
3.情報資産管理台帳を運用する
情報資産の重要度の評価と各項目の記入を行い、情報管理資産台帳を完成させたら、定期的に内容を見直しましょう。情報資産ごとの重要性やリスクは、事業活動や外部環境と共に変わっていくため、変化に応じて記載すべき情報や重要度を見直して修正を加える必要があります。
情報資産管理台帳の作成に役立つツール
大量にある情報資産を手作業で管理すると、時間がかかる上に抜け漏れが発生しやすくなります。下記のようなツールを活用し、効率的に管理しましょう。
IT資産管理ツール
IT資産管理ツールは、企業内に存在するIT資産の情報を自動収集し、一元管理するためのツールです。社内ネットワークに接続しているOSの種類やバージョンに加えて、ハードウェアにインストールされているソフトウェアについても情報を収集して一覧表示できるため、情報資産のリストアップが容易になります。
ソフトウェアをアップデートするセキュリティパッチの適用状況を一元的に把握できるほか、状況に応じて管理者側から一斉にプログラムを配付したり、ライセンスを管理したりすることも可能です。
- 併せて読みたい
MDM
MDM(Mobile Device Management)は、従業員に配付した社内用のスマートフォンやタブレットなどを一括して管理するシステムです。各端末のOSのバージョンやインストールしたアプリの情報、SIM情報、位置情報などを自動で取得・管理できるため、情報資産管理台帳の作成がスムーズに進みます。
必要なアプリケーションを管理者側から一括送付したり、盗難や紛失などがあった端末にリモートでロックをかけたりすることもできます。
- 併せて読みたい
UEM
UEM(Unified Endpoint Management)は、IoTデバイスを含めたあらゆるデバイスを管理できるシステムです。UEMの管理下にあるデバイスであれば、デバイス名、OSの種類・バージョン、使用者などの情報を一元的に把握し、管理できます。
企業の使用するデバイスが多機能化し、インターネットに接続できるオフィス機器も珍しくなくなっている昨今、そのような機器と共に業務用のパソコンやスマートフォンなどを一括管理したい場合には、UEMの導入は有用です。デバイスごとに別々の管理ツールを導入する手間が省け、効率的にエンドポイントを管理・運用できるようになります。
ただし、UEMには、一般的にIT資産管理ツールに実装されているパソコンの操作ログ取得機能がありません。そのため、内部からの情報漏洩や不正対策を目的として操作ログを確認したい場合には不向きです。デバイスの管理に加えてログ取得機能も必要とする場合、UEMは端末や機器の管理に特化したシステムであることを踏まえて、IT資産管理ツールと併せて導入することをお勧めします。
情報資産管理台帳は、IT資産管理ツールなどを使って効率的に作成しよう
企業が保有する情報資産をリストアップして重要度と共に記載する情報資産管理台帳は、情報セキュリティポリシーの策定や、情報資産の適切な管理には不可欠です。情報漏洩の防止策やインシデント発生時の対応計画を立てる際に役立つため、情報資産管理台帳の作成を進めましょう。
もっとも、近年のIT化・DXで企業の情報の多くはデータ化されており、情報資産管理台帳に記載すべき情報資産は多岐にわたります。すべてを手作業で情報資産管理台帳に記載する場合、膨大な時間を費やすことになるうえ、人的ミスも発生しかねません。そこで、IT資産管理ツールをはじめとしたツールを活用し、情報資産管理台帳の作成を効率的に進めるのがお勧めです。
インターコムが提供する「MaLion」シリーズは、企業や組織のハードウェアやソフトウェアを一元的に管理するIT資産管理から、情報漏洩対策、労務管理まで一貫して支援するツールです。Windows端末だけでなく、Mac端末もまとめて簡単に管理できるオールインワン製品である点に特徴があり、社内の端末のログ収集、操作制御を行うことができます。社内で使用するパソコンが多様である場合にも、「MaLion」があれば、社内ネットワークからスムーズに情報資産をリストアップすることが可能です。
情報資産管理台帳の作成、および作成の効率化に取り組みたいとお考えの方は、ぜひ「MaLion」シリーズの活用をご検討ください。
