ISMSにおける情報資産とは?洗い出す際のポイントとは?
組織が所有している情報を指す「情報資産」。どういった情報が情報資産になるのかや、洗い出す際のポイント、日々の業務に沿って担当者が行うことなどをまとめました。
情報資産とはどんなもの?
情報が保管されているUSBメモリなどの情報記憶媒体やシステム、PCなどのハードウェアも情報資産となります。また、電子化されていない技術情報や名刺など、紙の書類も同様であるため情報資産の形態はさまざまです。
端的に言うと、万が一その情報が破損したり漏れたりした場合、組織に不利益が生じるとされるものが情報資産です。ご自身が所属する組織に照らし合わせて、具体的にイメージしてみましょう。
ISMSにおいて情報資産に該当するものとは?
情報資産をきちんと理解していないと、洗い出しも大変になります。また、形態もさまざまであるため、面倒だと感じている方も多いようです。しかし、洗い出しには情報資産を適切に管理をするための重要な役割があります。ここからは、ISMSにおいて情報資産に該当するものとその具体例をご紹介します。
情報そのもの全般(紙・電子データ…etc)
情報には、紙媒体に情報が記載されているアナログのものと、コンピュータのHDD・SSD・USBメモリなどに格納されているデジタル化されている情報があります。紙媒体の具体例としては、名刺や契約書などの紙の書類。デジタル化された情報の具体例としては、システムのソースコードや顧客の個人情報、財務や人事の情報などのデータです。
ハードウェア
組織内で使用されているIT機器や情報端末を指します。デスクトップやノートPCなど、一般的に日々使用されているものやUSBメモリなどの外部記憶媒体のことです。サーバなどのネットワーク機器も該当します。また、盗難や紛失の多いスマートフォンやタブレット端末なども対象となる可能性があります。
ソフトウェア
PCにインストールして使用されているコンピュータプログラムです。具体例としては、OS、ドライバ、アプリケーションなどがあります。また、ソフトウェアが動作するために必要なデータも含まれます。会計ソフトであれば、売上や商品の単価、顧客情報なども含まれるということになります。
ネットワーク
インターネットや組織内のローカルエリアネットワーク(LAN)などです。具体例としては、組織内で使用されているデスクトップやノートPCなどのIT機器をつないで作られているネットワークがあります。複数のコンピュータやデバイスが相互に接続され、情報を共有するものです。また、リモートワークの広がりによって利用されるようになったコワーキングスペースのWi-Fiなども対象となる可能性があります。
拠点や施設
組織の拠点となる場所を指し、企業であれば本社や支社、営業所などが対象です。日々、業務を行っている場所になりますが、情報が保管されている場所という意味で、データセンターや倉庫なども該当します。また、リモートワークの場合は従業員の自宅やサテライトオフィスなども対象となる可能性があります。
サービス
クラウドサービスやストレージサービスなどです。ソフトウェアやネットワークと似ているかもしれませんが、端末などにソフトウェアをインストールせずネットワークを介してサービスを使う場合です。クラウドサービスの具体例としては、文書作成や表計算などのほかSNSツールやフリーメールなどが挙げられます。また、ストレージサービスでは、クラウド上の仮想ハードディスク(ストレージ)の利用などです。
人(情報を取り扱う人や組織)
情報資産を取り扱う人や組織を指し、組織を構成する幹部や従業員などや部署のような組織、情報資産を共有するすべての人と組織が該当します。しかし、それぞれの組織において情報資産が共有される仕組みはさまざまです。外部委託先などもあれば、その組織と組織を構成する構成員だけでなく、パートやアルバイトの方なども対象となる可能性があります。
情報資産を洗い出す意味とは?
ISMSにおいて「情報資産の洗い出し」を行う目的は、組織の情報セキュリティレベルの向上です。リスクを内包した情報資産を洗い出し、適切な対策を講じる必要があるためです。また、情報資産を洗い出すことでリスクや重要度なども明確にできるため、どのようにその資産を守ればよいのか対策にも繋げられます。
情報資産の洗い出しのポイント
漏れのない完璧な「情報資産の洗い出し」を実行するにはどうしたら良いのか、具体的にどこから着手すべきか悩んでしまうものです。ここからはそのような方に向けて、情報資産洗い出しのポイントを紹介します。
業務の流れを想定する
情報資産の洗い出しのポイントは、実際の業務の流れに沿って、どのような場所でどんな情報が取り扱われているかを確認することです。業務の流れを頭の中で想定しながら洗い出しをすることで、抜けや漏れなどを抑えることに繋がります。また、業務ごとや部署ごとに洗い出してみるといった方法でも問題はありません。情報資産の洗い出しでは、利用場所・保管の形態・取り扱い方を考慮し、対策が必要となる情報資産を見逃さないようにしましょう。
洗い出しの適切な粒度
情報資産洗い出しのもうひとつのポイントは、適切な粒度です。あまりにも細かすぎれば管理対象が膨大になり管理が難しく、粗すぎるとリスク分析が難しくなります。数値化はできませんが、情報資産名を見て何を指しているかわかる程度と目安にするとよいでしょう。また、できるだけ詳細にするのが望ましいとはいえ、やみくもに進めたのでは収拾がつかなくなってしまいます。はじめに大まかな分類を設け、徐々に細目を洗い出すようにしましょう。また、細部を充実させるより、一通り網羅することを優先します。
「これって情報資産?」と迷ったとき
情報資産に該当するかどうか迷った際は、破損や漏えいすることで組織に不利益が生じるかどうかといった観点で考えます。影響が出る場合には、情報資産として扱うようにしましょう。また、情報の機密性だけではなく、改ざんや紛失すると不都合な情報であれば、公開している情報であっても洗い出します。情報資産の洗い出しに関しては、リスクについて意識してみると良いでしょう。
まとめ
情報資産洗い出しのポイントについて解説してきましたが、日々の業務で手一杯であったり、ISMSの構築や認証のための人材を用意できないという事情もあると思います。しかし、自社だけでISMSを取得しようとして、時間や労力を注いだにも関わらず取得に至らなかったという状態は避けたいものです。
情報資産の洗い出しだけでも未経験者には敷居が高く時間もかかるため、最近ではコンサルティングを利用する組織も増えているようです。組織内の知識やノウハウでは難しいと判断した際には専門知識を有したコンサルタントに相談してみるのもひとつの手段として検討することをおすすめします。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。