企業を取り巻く環境の中には、さまざまな情報セキュリティの脅威が潜んでいます。標的型攻撃、ランサムウェア、BEC(Business E-mail Compromise:ビジネスメール詐欺)などに遭うとその被害は甚大であり、対応にかかるコストと労力は膨大なものになります。それに対し、組織が護るべき情報資産は多様かつ膨大なので、情報セキュリティ対策が後手に回っているという組織も少なくないでしょう。
本稿では、情報資産についてより深く知っていただくために、そもそも情報資産とは何か、そして「情報資産管理台帳」の使い方についてご紹介します。
会社にとっての情報資産とは何か?
IPA(独立行政法人 情報処理推進機構)によると、情報資産とは「価値」がある情報だと定義されています。
価値がある情報とは?
その中にはWebページや『四季報』に掲載する情報、所在地や電話番号など一般的で大きな「価値」を持たない情報もあります。では、情報の「価値」とは何でしょうか?たとえば顧客情報と、会社の所在地や電話番号に違いはあるのでしょうか?情報資産の「価値」を図る尺度は、下記のようにいくつかあります。
これらの情報資産を徹底管理するために欠かせないのが「情報資産管理台帳」です。
IPAが策定した「中小企業の情報セキュリティ対策ガイドライン 」の付録7 リスク分析シート「台帳記入例」で用いられる項目は以下の内容で構成されています。
|
業務 |
情報資産名称 |
備考 |
利用者範囲 |
管理 |
媒体・保存先 |
個人情報の種類 |
||
|
個人情報 |
要配慮個人情報 |
マイナンバー |
||||||
|
① |
② |
③ |
④ |
⑤ |
⑥ |
⑦ |
||
|
評価値 |
重要度 |
保存期限 |
登録日 |
||
|
機密性 |
完全性 |
可用性 |
|||
|
⑧ |
⑨ |
⑩ |
|||
|
現状から想定されるリスク(入力不要・自動表示) |
|||
|
脅威の発生頻度 |
脆弱性 |
被害発生 |
リスク値 |
|
⑪ |
⑫ |
⑬ |
⑭ |
① 情報資産と関連する業務や部署を記入します。情報資産が少なければ省いても構いません。
② 情報資産の名称や内容を表すものを簡潔に記入します。正式名称がないものは社内通称で構いません。
③ 情報資産名称だけでは個人情報の有無や重要度が判断できない場合に説明を記入してください。
④ 情報資産を利用してよい部署等を記入してください。アクセスコントロールに利用できます。
⑤ 情報資産に対して情報セキュリティ上の管理責任がある部署等を記入してください。小規模事業者であれば担当者名を記入することでも構いません。
⑥ 情報資産の媒体や保存場所をリストから選択してください。書類と電子データの両方を保有している場合は2行に分けて記入してください。この項目から脅威と脆弱性を想定します。
⑦ 個人情報※1、要配慮個人情報※2、マイナンバーが含まれる場合は、該当欄に「有」を記入します。
※1要配慮個人情報もマイナンバーも個人情報ですが、ここでは要配慮個人情報とマイナンバー以外の個人情報に「有」を記入してください。※2本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実等が含まれる個人情報
⑧ 情報資産の機密性、完全性、可用性のそれぞれの評価値(0~2)を選びます。3種類の評価値を計算した重要度(2~0) が表示されます。⑦でいずれかの個人情報が「有」の場合、重要度は自動的に「2」となります。
⑨ 法律で定められた保存期限または利用目的が完了して廃棄や消去が必要となる期限を記入します。必要な期間以上に保有し続けるより廃棄・消去したほうがリスクが小さくなる場合に利用します。
⑩ 情報資産管理台帳に登録した日付を記入します。内容に変更があった場合はその更新日に修正します。
⑪ 「脅威の状況」シートにおける「対策を講じない場合の脅威の発生頻度」欄に記入された3段階の値のうち、媒体・保存先ごとにもっとも大きい値を示しています。(記入の必要はありません)
⑫ 「対策状況チェック」シートで選択された対策状況をもとに、脆弱性への対策状況を3段階で表示します。(記入の必要はありません)
⑬ 「脅威」と「脆弱性」をもとに、現状の対策状況で被害が発生する可能性を高・中・低の3段階で表示します。
⑭ 情報資産の「重要度」と「被害発生可能性」の積をもとにリスクの大きさを大・中・小の3段階で表示します。
これらの項目に従って作成した情報資産管理台帳の記入例が以下のものになります。
情報資産管理台帳を作成し、情報資産がどこにあり、それぞれの重要度などを分類したらかといって安心はできません。情報セキュリティの脅威は常に存在し、それらに適切な対策を取ることが大切です。そこで、情報資産管理台帳と一緒に「対策状況チェックシート」も活用しましょう。
対策状況チェックシート
|
情報セキュリティ対策の種類 |
情報セキュリティ診断項目 |
|
(1) 組織的対策 |
経営者の主導で情報セキュリティの方針を示していますか? |
|
情報セキュリティの方針に基づき、具体的な対策の内容を明確にしていますか? |
|
|
情報セキュリティ対策を実施するための体制を整備していますか? |
|
|
情報セキュリティ対策のためのリソース(人材、費用)の割当を行っていますか? |
|
|
(2) 人的対策 |
秘密情報を扱う全ての者(パートタイマー、アルバイト、派遣社員、顧問、社内に常駐する委託先要員などを含む)に対して、就業規則や契約などを通じて秘密保持義務を課していますか? |
|
従業員の退職に際しては、退職後の秘密保持義務への合意を求めていますか? |
|
|
会社の秘密情報や個人情報を扱うときの規則や、関連法令による罰則に関して全従業員に説明していますか? |
|
|
(3) 情報資産管理 |
管理すべき情報資産は、情報資産管理台帳を作成するなど何処にどのようなものがあるか明確にしていますか? |
|
秘密情報は業務上必要な範囲でのみ利用を認めていますか? |
|
|
秘密情報の書類に?マークを付けたり、データの保存先フォルダを指定するなど識別が可能な状態で扱っていますか? |
|
|
秘密情報を社外へ持ち出す時はデータを暗号化したり、パスワード保護をかけたりするなどの盗難・紛失対策を定めていますか? |
|
|
秘密情報は施錠保管やアクセス制限をして、持ち出しの記録やアクセスログをとるなど取り扱いに関する手順を定めていますか? |
|
|
重要なデータのバックアップに関する手順を定め、手順が順守されていることを確認していますか? |
|
|
秘密情報の入ったパソコンや紙を含む記録媒体を処分する場合、ゴミとして処分する前に、データの完全消去用のツールを用いたり、物理的に破壊したりすることで、データを復元できないようにすることを定めていますか? |
|
|
(4) アクセス制御及び認証 |
業務で利用するすべてのサーバーに対して、アクセス制御の方針を定めていますか? |
|
従業員の退職や異動に応じてサーバーのアクセス権限を随時更新し、定期的なレビューを通じてその適切性を検証していますか? |
|
|
情報を社外のサーバーなどに保存したり、グループウェアやファイル受渡サービスなどを用いたりする場合は、アクセスを許可された人以外が閲覧できないように、適切なアクセス制御を行うことを定めていますか? |
|
|
パスワードの文字数や複雑さなどを設定するOSの機能などを有効にし、ユーザーが強固なパスワードを使用するようにしていますか? |
|
|
業務で利用する暗号化機能及び暗号化に関するアプリケーションについて、その運用方針を明確に定めていますか? |
|
|
(5) 物理的対策 |
業務を行う場所に、第三者が許可無く立ち入りできないようにするための対策(物理的に区切る、見知らぬ人には声をかける、など)を講じていますか? |
|
最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか? |
|
|
重要な情報やIT機器のあるオフィス、部屋及び施設には、許可された者以外は立ち入りできないように管理していますか? |
|
|
秘密情報を保管および扱う場所への個人所有のパソコン・記録媒体などの持込み・利用を禁止していますか? |
|
|
(6) IT機器利用 |
セキュリティ更新を自動的に行うなどにより、常にソフトウェアを安全な状態にすることを定めていますか? |
|
ウイルス対策ソフトウェアが提供されている製品については、用途に応じて導入し、定義ファイルを常に最新の状態にすることを定めていますか? |
|
|
業務で利用するIT機器に設定するパスワードに関するルール(他人に推測されにくいものを選ぶ、機器やサービスごとに使い分ける、他人にわからないように管理する、など)を定めていますか? |
|
|
業務で利用する機器や書類が誰かに勝手に見たり使ったりされないようにルール(離席時にパスワード付きのスクリーンセーバーが動作する、施錠できる場所に保管する、など)を定めていますか? |
|
|
業務で利用するIT機器の設定について、不要な機能は無効にする、セキュリティを高める機能を有効にするなどの見直しを行うことを定めていますか? |
|
|
社外でIT機器を使って業務を行う場合のルールを定めていますか? |
|
|
個人で所有する機器の業務利用について、禁止するか、利用上のルールを定めていますか? |
|
|
受信した電子メールが不審かどうかを確認することを求めていますか? |
|
|
電子メールアドレスの漏えい防止のためのBCC利用ルールを定めていますか? |
|
|
インターネットバンキングやオンラインショップなどを利用する場合に偽サイトにアクセスしないための対策を定めていますか? |
|
|
(7) IT基盤運用管理 |
IT機器の棚卸(実機確認)を行うなど、社内に許可なく設置された無線LANなどの機器がないことを確認していますか? |
|
サーバーには十分なディスク容量や処理能力の確保、停電・落雷などからの保護、ハードディスクの冗長化などの障害対策を行っていますか? |
|
|
業務で利用するすべてのサーバーに対して、脆弱性及びマルウェアからの保護のための対策を講じていますか? |
|
|
記憶媒体を内蔵したサーバーなどの機器を処分または再利用する前に、秘密情報やライセンス供与されたソフトウェアを完全消去用のツールを用いたり、物理的に破壊したりすることで、復元できないようにすることを定めていますか? |
|
|
業務で利用するすべてのサーバーやネットワーク機器に対して、必要に応じてイベントログや通信ログの取得及び保存の手順を定めた上で、ログを定期的にレビューしていますか? |
|
|
重要なITシステムに脆弱性がないか、専用ツールを使った技術的な診断を行うことがありますか? |
|
|
ファイアウォールなど、外部ネットワークからの影響を防ぐための対策を導入していますか? |
|
|
業務で利用しているネットワーク機器のパスワードを初期設定のまま使わず、推測できないパスワードに変更して運用していますか? |
|
|
クラウドサービスなどの社外サーバーを利用する場合は、費用だけでなく、情報セキュリティや信頼性に関する仕様を考慮して選定していますか? |
|
|
最新の脅威や攻撃についての情報収集を行い、必要に応じて社内で共有していますか? |
|
|
(8) システム開発及び保守 |
情報システムの開発を行う場合、開発環境と運用環境とを分離していますか? |
|
セキュリティ上の問題がない情報システムを開発するための手続きを定めていますか? |
|
|
情報システムの保守を行う場合、既知の脆弱性が存在する状態で情報システムを運用しないようにするための対策を講じていますか? |
|
|
(9) 外部委託管理 |
契約書に秘密保持(守秘義務)、漏洩した場合の賠償責任、再委託の制限についての項目を盛り込むなどのように、委託先が順守すべき事項について具体的に規定していますか? |
|
委託先との秘密情報の受渡手順を定めていますか? |
|
|
委託先に提供した秘密情報の廃棄または消去の手順を定めていますか? |
|
|
(10) 情報セキュリティインシデント対応ならびに事業継続管理 |
秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故の発生に備えた準備をしていますか? |
|
インシデントの発生に備えた証拠情報の収集手順を定め、運用していますか? |
|
|
インシデントの発生で事業が中断してしまったときに再開するための計画を定めていますか? |
|
|
(11) 個人番号及び特定個人情報の取扱い |
個人番号及び特定個人情報の取り扱いルール(管理担当者の割当て、収集・利用・保管・廃棄の方法)を定めていますか? |
|
個人番号や特定個人情報に関する漏えいなどの事故に備えた体制を整備していますか? |
|
|
個人番号や特定個人情報の安全管理についてルールや手段を定めていますか? |
かなり細かい項目までありますが、1つ1つの対策状況をチェックすることで、自社が情報セキュリティ脅威に対してどういった対策が取れているかが判断できます。また、情報セキュリティ対策を実施した際は都度チェックすることで、より堅牢な情報セキュリティを敷くことが可能となります。
本稿でご紹介した情報資産管理台帳と対策状況チェックシートは、IPAが公開しているサイト「情報資産管理台帳 - IPA」からどなたでもダウンロードして利用することができますので、ぜひ皆様の情報資産管理にご活用ください。
また、ワンビシアーカイブズでは文書に特化した簡易版の情報資産台帳をご用意しています。こちらも是非ご活用ください。
ご不明な点やご要望などお気軽にご連絡ください。