ISMSにおける情報資産とは?洗い出す際のポイントとは?
組織が所有している情報を指す「情報資産」。どういった情報が情報資産になるのかや、洗い出す際のポイント、日々の業務に沿って担当者が行うことなどをまとめました。
情報資産とはどんなもの?
情報が保管されているUSBメモリなどの情報記憶媒体やシステム、PCなどのハードウェアも情報資産となります。また、電子化されていない技術情報や名刺など、紙の書類も同様であるため情報資産の形態はさまざまです。
端的に言うと、万が一その情報が破損したり漏れたりした場合、組織に不利益が生じるとされるものが情報資産です。ご自身が所属する組織に照らし合わせて、具体的にイメージしてみましょう。
ISMSにおいて情報資産に該当するものとは?
情報資産をきちんと理解していないと、洗い出しも大変になります。また、形態もさまざまであるため、面倒だと感じている方も多いようです。しかし、洗い出しには情報資産を適切に管理をするための重要な役割があります。ここからは、ISMSにおいて情報資産に該当するものとその具体例をご紹介します。
情報そのもの全般(紙・電子データ…etc)
情報には、紙媒体に情報が記載されているアナログのものと、コンピュータのHDD・SSD・USBメモリなどに格納されているデジタル化されている情報があります。紙媒体の具体例としては、名刺や契約書などの紙の書類。デジタル化された情報の具体例としては、システムのソースコードや顧客の個人情報、財務や人事の情報などのデータです。
ハードウェア
組織内で使用されているIT機器や情報端末を指します。デスクトップやノートPCなど、一般的に日々使用されているものやUSBメモリなどの外部記憶媒体のことです。サーバなどのネットワーク機器も該当します。また、盗難や紛失の多いスマートフォンやタブレット端末なども対象となる可能性があります。
ソフトウェア
PCにインストールして使用されているコンピュータプログラムです。具体例としては、OS、ドライバ、アプリケーションなどがあります。また、ソフトウェアが動作するために必要なデータも含まれます。会計ソフトであれば、売上や商品の単価、顧客情報なども含まれるということになります。
ネットワーク
インターネットや組織内のローカルエリアネットワーク(LAN)などです。具体例としては、組織内で使用されているデスクトップやノートPCなどのIT機器をつないで作られているネットワークがあります。複数のコンピュータやデバイスが相互に接続され、情報を共有するものです。また、リモートワークの広がりによって利用されるようになったコワーキングスペースのWi-Fiなども対象となる可能性があります。
拠点や施設
組織の拠点となる場所を指し、企業であれば本社や支社、営業所などが対象です。日々、業務を行っている場所になりますが、情報が保管されている場所という意味で、データセンターや倉庫なども該当します。また、リモートワークの場合は従業員の自宅やサテライトオフィスなども対象となる可能性があります。
サービス
クラウドサービスやストレージサービスなどです。ソフトウェアやネットワークと似ているかもしれませんが、端末などにソフトウェアをインストールせずネットワークを介してサービスを使う場合です。クラウドサービスの具体例としては、文書作成や表計算などのほかSNSツールやフリーメールなどが挙げられます。また、ストレージサービスでは、クラウド上の仮想ハードディスク(ストレージ)の利用などです。
人(情報を取り扱う人や組織)
情報資産を取り扱う人や組織を指し、組織を構成する幹部や従業員などや部署のような組織、情報資産を共有するすべての人と組織が該当します。しかし、それぞれの組織において情報資産が共有される仕組みはさまざまです。外部委託先などもあれば、その組織と組織を構成する構成員だけでなく、パートやアルバイトの方なども対象となる可能性があります。
情報資産を洗い出す意味とは?
ISMSにおいて「情報資産の洗い出し」を行う目的は、組織の情報セキュリティレベルの向上です。リスクを内包した情報資産を洗い出し、適切な対策を講じる必要があるためです。また、情報資産を洗い出すことでリスクや重要度なども明確にできるため、どのようにその資産を守ればよいのか対策にも繋げられます。
情報資産の洗い出しのポイント
漏れのない完璧な「情報資産の洗い出し」を実行するにはどうしたら良いのか、具体的にどこから着手すべきか悩んでしまうものです。ここからはそのような方に向けて、情報資産洗い出しのポイントを紹介します。
業務の流れを想定する
情報資産の洗い出しのポイントは、実際の業務の流れに沿って、どのような場所でどんな情報が取り扱われているかを確認することです。業務の流れを頭の中で想定しながら洗い出しをすることで、抜けや漏れなどを抑えることに繋がります。また、業務ごとや部署ごとに洗い出してみるといった方法でも問題はありません。情報資産の洗い出しでは、利用場所・保管の形態・取り扱い方を考慮し、対策が必要となる情報資産を見逃さないようにしましょう。
洗い出しの適切な粒度
情報資産洗い出しのもうひとつのポイントは、適切な粒度です。あまりにも細かすぎれば管理対象が膨大になり管理が難しく、粗すぎるとリスク分析が難しくなります。数値化はできませんが、情報資産名を見て何を指しているかわかる程度と目安にするとよいでしょう。また、できるだけ詳細にするのが望ましいとはいえ、やみくもに進めたのでは収拾がつかなくなってしまいます。はじめに大まかな分類を設け、徐々に細目を洗い出すようにしましょう。また、細部を充実させるより、一通り網羅することを優先します。
「これって情報資産?」と迷ったとき
情報資産に該当するかどうか迷った際は、破損や漏えいすることで組織に不利益が生じるかどうかといった観点で考えます。影響が出る場合には、情報資産として扱うようにしましょう。また、情報の機密性だけではなく、改ざんや紛失すると不都合な情報であれば、公開している情報であっても洗い出します。情報資産の洗い出しに関しては、リスクについて意識してみると良いでしょう。
まとめ
情報資産洗い出しのポイントについて解説してきましたが、日々の業務で手一杯であったり、ISMSの構築や認証のための人材を用意できないという事情もあると思います。しかし、自社だけでISMSを取得しようとして、時間や労力を注いだにも関わらず取得に至らなかったという状態は避けたいものです。
情報資産の洗い出しだけでも未経験者には敷居が高く時間もかかるため、最近ではコンサルティングを利用する組織も増えているようです。組織内の知識やノウハウでは難しいと判断した際には専門知識を有したコンサルタントに相談してみるのもひとつの手段として検討することをおすすめします。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。