ここから本文です

【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方

ITmedia エンタープライズ 8月18日(木)9時6分配信

 こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。

【その他の画像】

 セキュリティ対策に手を付けたいが、何からはじめていいか分からない、何が効果的かどうかも分からない――そんな読者の皆さんに向け、前回に引き続き、今回はcloudpackで行った事例の一部を基に、情報資産の可視化と評価を解説していきます。

●まずはここから始めよう、「情報資産リスト」

 情報資産リストとは、監査用語っぽく表現すると「情報資産台帳」と言います。早速ですが、cloudpackの情報資産台帳をお見せします。

 これはExcelで作成していますが、形式は特に問いません。ただし、この資料そのものは非常にセンシティブな資料になるので、保管管理体制は整えましょう。記述されている内容を左側から説明していきます。

採番

 これは、実はあってもなくても構いません。採番そのものはセキュリティ対策の本質ではありません。皆さんが管理しやすい形式で記述されると良いでしょう。

分類

 パッと見て、その情報がどんな情報で誰が保有しているのかを分かりやすく分類付けをします。例えば、以下のような項目です。

・顧客情報
・社内資料
・開発ソースコード
・人事資料
・総務部社外秘
・人事部社外秘
・社外秘

情報資産名

 各資産にどのように名前をつけるのか、というのは難しい点もあるとは思いますが、ある程度まとめられそうなものは、まとめてしまって構いません。例えば、以下のように書きます。

・見積書・注文書・請求書
・秘密保持契約書・個別契約書
・メール
・サーバ接続情報・秘密鍵・ログイン情報
・監視カメラログデータ

 初めてこのリストを作る場合、ここに書くべき情報か迷うこともあるかもしれません。そんなときの判断基準は「直感的に、社外に漏れたらヤバそうな情報」であるかどうかです。少しでも“ヤバそうだな”と思ったら書くべきです。後から消すのは簡単なので、どんどん書きましょう。

個人情報

 対象の情報資産に、個人情報、クレジットカード番号、マイナンバーなどのセンシティブな情報が含まれているかどうか判定します。含まれているようであれば、丸印をつけたり、フラグを立てたりすればよいです。

保管形態

 各情報がどのように保管されているかを記述するところです。ここは割と単純に、

・紙
・電子データ
・社内データベース
・会計システム
・外部クラウドサービス(AWSなど)

などとしておけばOKです。

保管場所

 どこに保管されているかを記述します。あまり厳密に書く必要はありません。キャビネットの中のどの位置のここにあるとか、クラウドの中のさらにこのサーバの中のここだ、などと詳細な情報は必要ないためです。以下のような、粒度で十分です。

・AWSクラウド
・Azureクラウド
・外部クラウド
・各人ローカルPC
・総務部キャビネット

保管期間

 この項目は非常に重要な項目で、なおかつ初めて資産管理をされる方がつまづきやすいポイントでもあります。記載する際は「3年」「会社永続中」「契約完了まで」などと記述します。

 ここで重要なのが、「3年以上」とか「最低3カ月」とか「永久保管」といった曖昧な表現を避けることです。情報資産は安全かつ確実に破棄されることが前提です。曖昧な表現は、この“破棄”の部分を曖昧にしてしまいます。必ず言い切り型で記述しましょう。

 とはいえ、実際には、どれぐらいの期間、保管するべきか決められないケースも多いと思います。その場合は「まずはこれくらいだろう」という努力目標値を記述しておき、その値が努力目標値であることを分かるようにしておきます。いずれ関係各所とこの資料を確認する際に、あらためて議論になるはずですが、結局のところ、設定した努力目標が採用されることが多い傾向にあります。

 この保管期間を外部の顧客にアピールしていて、サービスの一部として運用されているならまだしも、あくまで内部の資料ということであれば、経営状況などの変化から保管期間を変更したとして書き直すことも可能です。現時点での状況で構わないので、とにかくはっきりと記述しておくのが大切です。

機密性、完全性、可用性

 こちらは、それぞれの項目について1から5までの値でランク付けをします(1から10の値でランク付けしている企業もあります)。まずは、それぞれの言葉の意味について理解しましょう。

・機密性

正当な権利を持った者だけがアクセスできる状態であるかどうか(アクセス権など)

・完全性

情報の正確性が保たれている状態であるかどうか(改ざん防止・バックアップなど)

・可用性

必要な時に確実にアクセスできる状態であるかどうか(冗長性・バックアップなど)

 ここで割り当てる値は、対象の情報資産がどのレベルにあるべきものかを評価した値を入力します。最高ランクが5だとすると、機密性、完全性、可用性の全ての値が5になるような情報資産は、それはもうとんでもなくセンシティブで、漏えいでもしたら、即刻会社が倒産するレベルの資産だということです。

 では、例えば自社の名刺はどうでしょうか。機密性という観点で見ると、かなり低いですよね。このようにして、それぞれの項目の値を埋めていきます。最終的にこのランクが総合で高いものほど、会社にとって守るべき重要な情報資産だと判定できるのです。

管轄

 どの部署、もしくは誰が管轄の情報資産であるかを記述します。以下のように、管轄が分かる程度に記述すれば問題ありません。

・情報システム部
・営業部
・人事部

リスク所有者

 責任の所在を明確にします。ここは管轄ともひも付きますが、一部そうでないものもあります。以下のように、対象の情報資産を統括的に管理できる人間を記述していきます。

・営業部長
・総務部長
・各人
・最高経営責任者
・情報セキュリティ管理責任者

利用者

 誰がそれらの情報資産を利用するか記述します。利用者が特定できていれば、アクセス権限をどのように割り当てるべきか分かりやすくなります。

・正社員のみ
・関係者全員
・役員のみ
・システム管理者のみ

●情報資産台帳を使い、上司や経営陣を説得せよ

 以上で、情報資産台帳は完成です。

 この情報資産台帳を作成する上でのポイントは、「全てを網羅しようと躍起にならないこと」です。まずは分かる範囲で記述していき、充実させていけばいいのです。こうして作られた情報資産台帳は、ISMS(情報セキュリティマネジメントシステム)をはじめとする各種監査では必ず提示を求められます。完成した情報資産台帳は、最低でも1年に1回の見直しを行うべきです。

 さて、ここで洗い出した「確実に守らなければならない情報資産」のトップ5やトップ10を作ってみましょう。あなたの上司や会社に対して、「私たちはこれらの情報資産を守らなければならないんです!」と言いやすくなったはずです。

 しかし、それらをどのような手段で守ればよいのか、いくらかかるのか、予算の取り方など、課題はまだ残っています。次回からは、実際にいくつかのリスクを対象に、会社の経営リスクを取り去る形でセキュリティを担保しつつ、現場の業務効率もあげていく手法を複数回に分けてご紹介していきます。お楽しみに。

●著者プロフィール:齊藤愼仁(さいとうしんじ)

 アイレット cloudpack事業部にて情報システム、ネットワーク、セキュリティ(cloudpack-CSIRT含む)にわたる3チームを統括。ならびに情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。

 情報システム部門であると同時に自社の監査機能も持ち合わせているため、業務効率化とセキュリティレベルの向上を同時に実現させるべく、日々奮闘中。

・ブログ:「ロードバランスすだちくん」

最終更新:8月18日(木)9時6分

ITmedia エンタープライズ

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]