情報システム部門 2021年7月21日

『情報資産』をリスクから守る

私が今学習中の『IPA情報セキュリティマネジメント試験』ですが、前回の記事で『情報セキュリティ』を組織で取り組むための仕組み『ISMS』情報セキュリティマネジメントシステムについて書きました。

今回も『情報セキュリティマネジメント』について覚えたことをみなさんに紹介していけたら良いなと思っています。みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。

安心してインターネットを使うために、『情報セキュリティマネジメント』を少しでも身近に感じて頂ければ幸いです。

情報資産を洗い出して、資産価値に合わせて対策

情報セキュリティマネジメントの学習をしていくと、「情報資産管理」という内容がありました。どんな情報資産があるか洗い出して把握し、それぞれの資産に合わせた対策を考えることが大切。と書いてあります。

具体的に情報資産の洗い出しを進めると、次のようなものがあるそうです。

物理的資産…携帯電話、ルーター、LAN、モデム、固定電話、パソコン、サーバーなど

ソフトウェア資産…商品開発ソフト、生産管理ソフト、勤怠管理ソフト、会計管理ソフト、など

人的資産…人材の経験・技能・記憶、人材が取得した資格など

無形資産…組織のイメージ、組織の評判など

サービス資産…電源、空調、照明(一般ユーティリティ)、通信サービスなど

直接的情報資産…文書記録(紙の請求書や領収書)、情報が保存されているExcelやWordなど

たくさんありますね…。洗い出しだけでも大変な気がしてきました…。

書籍を読み進めると、すべての資産を守るのは難しいので、「優先度を考えることも大切なセキュリティマネジメント」と書かれています。それぞれの情報資産に優先度をつけて対応することも大切みたいです。

洗い出した情報資産は、『情報資産台帳』などにまとめ、それぞれの優先度や重要度、種類ごとに分類すると良いそうです。また、変化に応じて最新の状態に更新していくことも大切なようです。

情報資産台帳ができたら、リスクに対してどのように対応するか決めていきます。

改めて、たくさんある会社の情報資産を調べるのはけっこう手間がかかりそうだなぁ…と思いますが、なぜこんな大変な事をする必要があるのでしょうか。

リスクは、脅威が脆弱性を利用して損害を与える可能性

『情報セキュリティ』について学習していくと、『脅威』『脆弱性』『リスク』という言葉が出てきます。それぞれどういう意味なんでしょうか?

脅威』とは、システムや組織に損害を与える原因です。例えば、個人のちょっとしたミスも『脅威』になります。「会社帰りに社用スマホを無くして、組織の情報が第三者に漏洩してしまった」とか、「災害で仕事用のデータを保存してあるサーバーが壊れて使えなくなってしまった」というのも脅威です。組織の事業を危うくする可能性がある現象は、日々の業務の中に隠れています。

脆弱性』とは、『脅威』がつけ込む『情報資産』の弱点です。例えば、「社用スマホにパスワードをかけていない」とか「大切な情報資産を1ヶ所のサーバだけでしか保存していない状態」も脆弱性です。セキュリティ環境の未整備による盗難・情報漏えいは人為的脆弱性といいます。他にもソフトウェアの不具合などによる技術的なものもあります。

リスク』とは、ある『脅威』が『脆弱性』を利用して損害を与える可能性です。それぞれの『情報資産』に対して『脅威』を洗い出したり、『脆弱性』考慮することによって、『リスク』の大きさを推定します。このことを『リスクアセスメント』といいます。

リスク』に対抗するために自分たちが持っている情報を洗い出し、『リスクアセスメント』で分析して、それぞれの情報に対してどうすれば良いのかを考えるために『情報資産台帳』をまとめていきましょう、ということなんですね。

ちょっと大変そうですが、脅威や脆弱性に強い組織を作るためにはやったほうが良さそうですね。

情報資産台帳についてはまたの機会で詳しくお話しできればと思います。

弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。

記事の著者:

Web制作ならアズシエルにご相談ください。

Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!

この記事をSNSでシェアする!