リスク管理の全体像のとおり、ISMSは情報セキュリティリスクを洗い出し、それに対応を行うことで、組織の情報セキュリティレベルを向上させることができます。では、一体どのように情報セキュリティリスクを洗い出すのでしょうか?
情報セキュリティリスクの洗い出しの第一歩目が「情報資産の洗い出し」です。今回のISMS適用範囲内には、どのような情報資産があるのかを洗い出し、次に行うリスクアセスメントの準備をしていきましょう。
この記事では、次のトピックについて説明しています。
(Pマーク用のマニュアルはこちらをご覧ください)
情報資産とはなにか
情報資産の定義は様々ありますが、一般的には「業務上の価値がある情報や、その情報を取り扱うための資産」と考える事ができます。情報資産には、以下のような種類があります。
情報そのもの
- 概要:いわゆる「情報資産」と呼ばれる資産です。一般的に、紙媒体の情報資産と、電子データの情報資産が存在しています。普段、業務を行う上で、どのような情報を活用しているかを考え、洗い出しましょう。Pマークの場合は個人情報を利用目的別に細分化する必要があり、詳しくは「個人情報の洗い出し」を参照ください
- 具体例:契約書, 申込書, 営業資料, 名刺, 財務情報, 人事情報, 設計書, ソースコード, 秘密鍵...
ハードウェア
- 概要:情報セキュリティを維持するためには、ハードウェアのセキュリティ対策が欠かせません。ハードウェアには、一般の従業員があまり触れない「サーバ・ネットワーク機器」や、一般の従業員が日々活用する「ユーザー端末」、データを持ち運ぶ用途で利用する「外部記憶媒体」があります。
- 例:サーバ, PC, スマートフォン, 防犯カメラ, ...
ソフトウェア
- 概要:情報資産を取り扱うために利用するソフトウェアも洗い出す必要があります。ソフトウェアには、PCやスマートフォンにインストールして利用する「インストール型」、クラウドサービスとして利用できる「クラウド型」、自社で開発を行っている「自社開発」があります。
- 例:Google Workspace, Slack, Salesforce, Office365, Amazon Web Services, Money Forward, freee, ...
ネットワーク
- 概要:情報資産が通過するネットワークも、資産の1カテゴリとなります。業務で利用しているネットワークを洗い出しましょう。
- 例:執務用ネットワーク, 来客用ネットワーク, VPN, コワーキングスペースWi-Fi...
拠点や施設
- 概要:物理的なセキュリティを担保するために、資産が保管されている拠点も洗い出す必要があります。日々、従業員がどんな場所で業務をしているのか、あるいは情報がどこに保管されているかを考えてみましょう。
- 例: 東京本社, 大阪支社, データセンター, コワーキングスペース...
情報を取り扱う人員や組織
- 概要:資産を取り扱う人や組織を考慮せずして、情報セキュリティを語ることはできません。適用範囲の中に存在する部署やチームなどを洗い出してください。なお後述のV2では、組織は親子関係を持つ事ができます。適用範囲全体(多くの場合「会社全体」)を親組織として、その下に、小組織を紐付けていく構成を推奨します。
- 例:〇〇株式会社, 営業部, 開発部...
ここでは、様々な情報資産の種類を紹介しましたが、実務上は「情報そのもの」と「ハードウェア」を中心的に洗い出し、その他の「ソフトウェア」や「施設」などは、洗い出された情報の補足情報(具体的には「保管場所」など)として、付随的に洗い出されることが多いです。
TIP 情報資産の考え方についてのより詳細な情報は、ISO/IEC 27005 に記載されています。気になる方は ISO/IEC 27005を読解する を参照してみてください。
情報資産を洗い出す方法
いざ「情報資産を洗い出せ」と言われても、具体的にどこから着手すべきか迷うことも多いでしょう。情報資産の洗い出しのヒントとして、以下の記事をご用意しています。
また、情報資産には様々な追加情報を紐付ける必要があります。各情報の詳細な説明については、以下の記事を参照してください。
SecureNaviでは、資産の親子関係を管理したり、サンプルを利用して資産を一括登録することで登録作業の簡略化を実現しています。詳細は以下をご参照ください。
注意点:【情報資産】「必須」と「任意」の表示
SecureNavi上で表示される「必須」と「任意」の項目については、以下をご参照ください。