脅威から守ために、会社は保護対象の情報資産を明らかにする必要性

 

 

状態、記録媒体には関係ない、いろいろなことを含む情報資産とは？

 

情報資産と言葉から連想すると、個人情報や研究開発情報や原価情報、ノウハウといった機密

 

情報を思い浮かべることが多いと考えられますが、それだけではなく、

 

ハードでは、パソコンやサーバなどの情報機器、LANのネットワーク設備、SEやオペレータな

 

どのIT人材、売買管理システムや会計システムといったソフトウェア資産も情報資産になりま

 

す。

 

 

そして、情報資産には申込書や契約者などの紙に書かれた情報なども含まれます。

 

さっこん、会議やミーティングなどでホワイトボードに書いた情報をスマホで撮影したり、

 

電子化された電子黒板を用いていた情報も、これも情報資産です。

 

 

また、監視カメラで撮影されたの映像記録や、コールセンターの顧客対応中の通話記録なども

 

該当します。

 

 

情報資産は、まず、情報セキュリティで保護する対象となるのものが何か守るべき情報資産が

 

何かをあきらかにし、情報セキュリティ対策を講じる必要があります。

 

たとえば、自分の机の上に書類が山積みされているような場合には、

 

どの書類が重要な情報なのかがよくわかりませんし、書類がなくなってもそれがわからないか

 

もしれません。

 

自社の情報資産も同様で、そのような状況から、どんな情報資産があるのかを明確にすること

 

は重要です。

 

 

情報資産を台帳管理をすることで把握を容易にしょう

 

会社には、様々な情報資産がありますが、それを一人で把握することは、到底できません。

 

また、社内で情報セキュリティに対する意識を向上させるために、全社的な体制が必要となっ

 

てきます。

 

そして、情報セキュリテイの担当部門は、社内の各部門や子会社に対して、それぞれが保有す

 

る情報資産の洗い出しを指示し、それを受けて、各部門や子会社では、把握した情報資産を情

 

報資産管理台帳に記載して一元管理できるようにします。

 

情報資産管理台帳が適切に作成されていれば、守るべき情報資産が明確になれば、それを脅か

 

す「脅威」を明らかにすることができます。

 

台帳には、情報資産の名称、データ件数、枚数など、保管場所、管理責任者、セキュティ視点

 

から見た重要度、作成日（更新日)、保存期間などを記載します。

 

しかし、作成し詳細にすればするほど情報資産管理台帳は、手間がかかることになるので、

 

作業負荷とセキユリテイ対策の強さとの兼ね合いをとりながら作成することがポイントです。

 

例えば、契約書1件ごとを情報資産の単位として把握するのではなく、

 

複数の契約書をまとめて「契約書」として1件としたほうが効率的に管理することができま

す。

 

 

情報資産管理台帳作成の目的は、情報資産をセキュリティ対策のために、「自社が持つ情報セ

 

キュリティの中で保護されるべき対象」を洗い出す目的があります。

 

 

情報資産を取り巻くリスクとは、どんなものがあるのか？

 

 

情報資産の機密性、可用性、インテグリテイを阻害をするリスクには、次のようなものがあり

 

ます。

 

･不正アクセス

･盗難

･紛失

･破壊、滅失

･改ざん

･入力ミス

･故障、通信障害

 

そして、情報資産管理台帳で把握した情報資産について、把握しただけで終わらせずに

 

どのようなリスクがあるのかを検討する必要があります。

 

なぜならば、セキュリティ対策では、リスクの性質に応じて必要な対策を講じなくてはなりま

せん。

 

例えば、不正アクセスというリスクに対しては、システムによるアクセス管理、入退出管理シ

 

ステム、ネットワークでの対策、キャビネットへの施錠保管などによる対策をすることになり

 

ます。

 

また、盗難というリスクに関しては、入退出管理システム、サーバラックの施錠、パソコンを

 

ワイヤーにて固定、監視カメラの設置などの対策を講じる必要があります。

 

情報資産に関するリスクは、火災や作業者の転落事故、従業員の交通事故といったリスクとく

 

らべたら、見えにくいということがあります。

 

そこで、日ごろから想像力を働かせてどのようなリスクがあるのかを認識する能力が必要に

 

なってきます。

 

そのためには、社内だけではなく、他社でどのような情報セキュリティ・インシデントが発生

 

しているのか、その原因は何かということに関心をもつことが大切です。

 

 

リスクの存在を明らかにした後は、情報資産のリスクの大きさを評価

 

 

そのリスクの大きさの評価は、情報資産およびそのリスクを把握した後におこないます、

 

これが情報資産のリスク評価です。

 

リスクの大きさの評価の、「影響度×発生可能性」で評価します。

 

情報資産およびそのリスクの存在を把握した後は、そのリスクの大きさ

 

を評価します。

 

これが情報資産のリスク評価です。リスクの大きさは、発生可能性や影響度を分析評価しま

 

す。

 

たとえば、影響度には、顧客に影響を及ぼさない軽微な入力ミスや損失額が小さくても発生す

 

る可能性が高いものがあります。

 

一方、発生する可能性が小さいが影響度は非常に大きいものもあるのです。

 

個々のリスクのスコアを発生確率と影響度の掛け算であらわし、その重要度でリスクの大きさ

 

を評価する手法が多く採用されています。

 

このようにして、影響度を換算し、発生確率をパーセントで評価すれば、セキュリティ対策の

 

費用対効果を容易に定量化できますが、現実は、それほど簡単に定量化をすることは難しいの

 

が現実です。

 

そこで、影響度や発生可能性を3段階から5段階での評価をもちいる方法を企業が多くおこなっ

 

ているます。

 

情報資産のリスク評価の難しさは、プログラミングミスを例に考えて見ましょう。

 

プログラミングミスの発生の可能性は、過去のシステム開発の経験や情報から数値化すること

 

はできますが、そのミスの影響度を評価することは簡単なことではありません。

 

例えば、検定試験判定のプログラミングミスが発生した場合などでは、正しい検定判定ができ

 

ずに実際の合格者と大きく乖離してしまうことがあるためです。

 

 

まとめ

 

 

情報資産には申込書や契約者などの紙に書かれた情報なども含まれます。

 

組織内にある全ての情報を情報資産と考え、情報が紙媒体に印刷されていようが、

 

オンラインで管理されていようが、対象としない理由にはならないのですべてを対象と考えま

 

しょう。

 

そして、繰り返しになりますが、適切なセキユリテイ対策を講じるためには、情報資産につい

 

てどのようなリスクがあるのかを分析することが肝要です。