リスクマネジメント~情報資産台帳の作成~
私は、今学習中の『IPA情報セキュリティマネジメント試験』についてブログを書いています。今回の記事からはリスクマネジメントについて紹介していこうと思います。
リスクマネジメントはいろいろな工程があり、一度にまとめられないので、この内容は連載で紹介していこうと思います。次回からの記事もぜひチェックしてください。
『情報セキュリティマネジメント』を少しでも身近に感じて頂き、みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。
…
リスクマネジメントとは、情報資産のリスクを洗い出してそれぞれ分析します。分析したあとは、それぞれのリスクを評価して、リスク低減やリスク移転など、一つ一つ対策を考えていきます。
実際にどのような手順でリスクマネジメントを行うか書いていきたいと思います。
情報資産の調査・分類
情報資産の調査
リスクマネジメントを始める段階ではまず、守るべき範囲で使っている情報資産について調査を行います。ISMS(情報セキュリティマネジメントシステム)を構築している場合は、事業的、組織的、物理的、ネットワーク的など様々な観点から適用範囲が決められています。
事業部門ごとに、インタビューや調査票よる調査、現地での調査なども行って、漏れのないようにリスク※1を洗い出します。
また、過去のセキュリティ事件や事故、それによる損害額や対策費用なども考慮し、脅威※2と脆弱性※3を認識します。
※1 リスク…脅威が脆弱性を利用して損害を与える可能性
※2 脅威…システムや組織に損害を与える原因
※3 脆弱性…脅威がつけ込む情報資産の弱点
情報資産の調査は事業部門ごとにスタートすると良さそうですが、認識していない資産があると見落としてしまう可能性があります。調査は数人で行い、必要があれば情報システム部門や外部のITセキュリティ会社に相談して、情報資産の脅威と脆弱性を把握し、最終的にリスクの洗い出しまで行っていきます。
情報資産の取り扱いについては過去の記事(『情報資産』をリスクから守る)でまとめています。こちらも参考にして頂けたらと思います。
情報資産をグループ分けして管理
情報資産は、それぞれ単独で管理すると分析の負荷が大きくなるので、効率化を図るために分類し、グループ化します。情報資産のカテゴリや機能、保管形態などが一致するものを同じグループとし、グループごと管理します。
情報資産には、パソコンなどの物理的資産や、紙の請求書や領収証による文書記録などがあります。例えば情報資産を保管形態でグループ分けすると次のようになると思います。
【情報資産を保管形態でグループ分けした場合】
- 各部署、鍵のかかる部屋で使っているパソコンなどのグループ
- 社内共有サーバーに保管しているデータのグループ
- クラウドサービスに保管しているデータ、ソフトなどのグループ
- 紙の文書記録でキャビネットに保管している請求書などのグループ
- 紙の機密書類(契約書、開発中製品の仕様書や図面)などのグループ
グループ分けするにはいろいろなやり方がありそうですが、それぞれの組織で管理しやすいグループ分けを考える必要がありそうです。
情報資産台帳
情報資産とその機密性や重要性、分類されたグループなどをまとめたものを、情報資産台帳(情報資産目録)といいます。情報資産台帳は、情報資産を漏れなく記載するだけでなく、変化に応じて適切に更新していくことも大切です。
情報資産を洗い出してグループ分けしたら、その情報資産がどれだけ重要なものか機密性(特定の人以外は情報が見れない状態のこと)や重要性を考慮してランク分けしていきます。
以上のように色々な工程を経てまとめられたものを情報資産台帳といって、リスクマネジメントに必要なリスク評価などに利用していきます。
また、資産台帳はまとめたらそこで完成ではなく、新しく買った機器や、新しく利用開始した社内管理ソフトなどを追加して、常に更新することを忘れないようにしなければなりません。
※このブログ記事は、「情報セキュリティマネジメント教科書」を引用しています。また、その他にも下記の記事の一部を引用しています。
徹底攻略 情報セキュリティマネジメント教科書
株式会社わくわくスタディワールド 瀬戸美月/齋藤健一 著【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方
ITmediaエンタープライズ情報資産とは?適切な管理方法と取り扱い上のリスク、対策
GMOサイン
…
情報セキュリティのご担当者さまがリスクマネジメントの検討をスタートする場合、いろいろな工程を経てリスクに対抗していかなくてはなりません。一人で考えるのではなく、各事業部の担当者も巻き込んで組織全体、また必要があれば外部にも相談して取り組んでいく必要があると思います。
「情報セキュリティマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティ投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。
弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。
Web制作ならアズシエルにご相談ください。
Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!
この記事をSNSでシェアする!