情報資産の洗い出し
第2講で触れた「情報資産」について、改めて記載しておきます。
情報資産とは、企業のデータ、顧客情報、知的財産、業務プロセスに関する情報など、価値のある情報全般を指す。これらの情報資産を効果的に保護するためには、体系的で効果的なセキュリティ管理が必要
CIAトライアドや、情報セキュリティマネジメントシステム、そしてサイバーセキュリティについて触れてきましたが、まず何を守るのか? を明確にすることがポイントです。
第5講では、情報資産の洗い出しを考えていきましょう。
- 情報資産の洗い出し
第5講
企業単位で考えると大きくなってしまうので、まずは皆さん自身の「守るべき」データはなにか? 考えてみましょう。
皆さんのプライベートで考えてみます。自信の情報資産を洗い出してみてください。以下、参考までに一般的な情報資産を列挙してみます。
① 銀行情報
② クレジットカード情報
③ 各インターネットサービスのIDとPASS
④ スマートフォン内のデータ
⑤ パソコン内のデータ
⑥ 写真データ
⑦ 動画データ
⑧ 音源データ
etc …
さえちゃんの大事な「情報資産」ってなに?
電話帳だったり、連絡先だったりかなぁ…。あ、でも一番失いたくないものは写真や動画だね! 写真や動画が消えちゃったら、頭の中でしか記憶が残らなくなっちゃうもんね
個人の情報資産は、やっぱり「時間」が込められているデータが大きいよね。電話帳や連絡先が一気に消えちゃうのは問題だけど、写真に比べれば優先順位は低いはず
写真や動画は、GoogleフォトやAmazonフォトにアップしているので、クラウドに自動同期させれば安心だね!
クラウド上にアップロードしておけば、パソコンやスマートフォンが壊れたとしても安全だからね。でも、完全に安全とは言い切れないんだよ?
えっ、どうして?
アカウントとパスワードを忘れてしまうリスクは低いけど、何らかの要因でアカウントロック、またはアカウントが削除されてしまった場合、写真や動画がクラウドサービスから永遠に引き出せなくなってしまうリスクはあるからね。サービス障害、サービス終了、なんて可能性もゼロじゃない
はっ! それは考えていなかった!
情報資産はローカル上にあるべきか? それともクラウド上にあるべきか?
もちろんローカル上にあれば、紛失・故障のリスクがあり、クラウド上におけば、障害・サービス停止というリスクがあります。
個人レベルの情報資産ですら、完全に管理することを考えても大変です。
参考までに、情報資産洗い出しワーク用Excelファイルを作成してみたので、ぜひダウンロードしてお時間のあるときに洗い出し演習をしてみてください!
ポイントとして、洗い出したあと、それらを分類し、重要度を評価することが大切です。簡単な方法として、以下の3段階で評価してみましょう。
- 重要性:高
- 漏洩や損失が事業に重大な影響を与える情報
- 重要性:中
- 一定の影響はあるが、迅速な対応で回復可能な情報
- 重要性:低
- 影響が軽微な情報
例えば、顧客の個人情報は「高」、社内の業務マニュアルは「中」、公開文書の下書きファイルは「低」といった具合です。
もちろん、これはサンプルですので、自分が表現しやすい評価に置き換えてください。
情報資産の洗い出しを行う際の具体的なツールを「アセット管理ソフトウェア」なんて呼んだりもして、製品も多くあるけど、まずはエクセルやGoogleスプレッドシートを使って、どのサービスを利用して、何を管理しているか、一度洗い出してみましょう!
アウトプットしてみると、ITでの固定費が知らない間に増えていっちゃっていることに気づくなぁ…。まず、自分自身の洗い出しをすることが、企業のデータで何を守るべきかを考えていくスタートラインだね!
いかがでしたでしょうか? プライベートの情報資産の洗い出しができたところで、次に企業の守るべき情報資産を考えていきましょう。
守るべき情報資産
情報資産管理は、法的要件とも密接に関連しています。
例えば、個人情報保護法では個人情報の適切な管理が求められます。また、上場企業であれば金融商品取引法に基づく内部統制報告制度(J-SOX)という対応も必要です。
その制度においては「リスクコントロールマトリックス」という、リスク対応の一覧表を作らなければいけません。情報資産の洗い出しは、これらの法令遵守の第一歩にもなります。
それでは、企業や組織が守るべき情報資産を簡単にまとめてみましょう。
顧客情報
顧客情報には、名前、住所、連絡先、購買履歴などのデータが含まれます。これらが漏洩すると、顧客を危険に晒すことになりますし、企業の信頼性も著しく損なわれます。
企業の機密情報
企業の機密情報には、ビジネス戦略、財務データ、開発中のプロジェクト情報などが含まれます。競合他社に漏れてしまうと、企業は不利な立場に立たされることになります。
知的財産
知的財産には、特許、商標、著作権、企業秘密などがあります。これらの情報が漏れると、企業の競争力が大きく損なわれる可能性があります。
業務プロセス情報
業務プロセス情報には、業務手順書、システム仕様書、業務マニュアルなどが含まれます。これらは、企業の業務効率を保つために重要な情報です。
従業員情報
従業員情報には、人事データ、給与情報、評価情報などが含まれます。企業は従業員のプライバシーを守る義務がありますので、企業の内部管理が脅かされる可能性があります。
企業の情報セキュリティ担当者は、このような大枠を作って、実際に項目を列挙して情報資産の可視化が大事だよ
自分一人の情報資産でさえたくさんあるのに、企業規模だったらどれくらいのリストになっていくんだろう!
個人の情報資産の洗い出しは一人でやらないといけないけど、企業の情報資産の洗い出しは、セキュリティスタッフたちとチームワークを組みながら作成できるからね!
第5講のまとめ
情報セキュリティを考えていくうえで、必ず最初に整理しておかなければいけないのが、情報資産を可視化すること。
自社の公開情報はどれで、どの情報が機密に該当するのか? またその機密レベルはどれくらいか? いきなり企業の情報資産を考えていくと大変なので、まずは個人の情報資産で練習をしてみてください!
情報資産の洗い出しができて、そこでリスクについて考えていきます。次は脅威と脆弱性、リスクについて考えていきましょう!