Written by 夏野ゆきか
情シス1,000人はここを見ていた!
情シスの課題から紐解く
IT資産管理ツールの選定ポイントとは?
情シス1,000人の実態調査から見えた
IT資産管理ツール選定時に抑えてたい4つのポイントを解説!
目 次
情報資産管理台帳とは、企業や組織が保有する重要な情報資産を、一元的に管理することを目的にリスト化してまとめたものを指します。台帳には、各情報資産の名称、所有者、場所、価値、リスク評価、セキュリティ対策状況などが記載され、情報資産を適切に管理し、セキュリティリスクの低減やコンプライアンスの遵守を目的としています。
「情報資産」の具体例としては、以下のようなものが挙げられます。
- 顧客情報
- 契約書
- 人事情報
- 知的財産権
- 通信インフラ
近年、企業・組織が扱う情報はデータ化されることが基本となり、インターネット上に保管されることが当たり前となりました。情報のデータ化は利便性を向上させる一方、サイバー攻撃や内部不正による情報漏洩被害も問題となっています。
大切な情報資産を保護するためにも、「情報資産管理台帳」を作成し、情報資産を適切に管理することは重要です。この記事では、情報資産管理台帳の作成手順や作成に役立つツールを解説します。
▼この記事を要約すると
- そもそも情報資産とは、顧客情報や契約書、人事情報など組織や個人が持つ価値のある情報および関連するリソースを指す
- 企業・組織が扱う情報のデータ化・クラウドの普及によって、外部攻撃による情報漏洩のリスクが高まっているため適切な情報資産管理は今や必須
- 情報資産管理台帳とは、企業や組織が保有する重要な情報資産を一元的に管理するための台帳で、情報セキュリティポリシーを策定するために作成される
- 情報資産管理台帳を作成するためには、「1. 情報資産の洗い出し」「2. 情報資産の重要度を評価」「3. 各項目の入力」という手順で進める
- 情報資産管理台帳の作成に活用できるツールには、「IT資産管理ツール」「MDM」「UEM」などがある
情報資産とは
情報資産とは、組織や個人が持つ価値のある情報および関連するリソースを指します。単なるデータに限らず、ソフトウェアやハードウェア、関連するドキュメント、技術ノウハウなども含まれます。
情報資産の具体例としては、以下のようなものが挙げられます。
- 顧客情報
- 契約書
- 人事情報
- 知的財産権
- 通信インフラ
これらの情報資産は、組織が持続的に発展するために欠かせないリソースであり、適切な管理と保護が重要です。
ただし、どの情報を重点的に保護するかは、各組織が直面するリスクや業務の特性に応じて決定します。
業界や企業規模によって管理対象となる情報資産も異なり、たとえば金融業では顧客の資産情報が最も重要視され、IT業界ではソースコードや技術データが主な資産とされます。
情報資産管理はなぜ必要?
近年、企業・組織が扱う情報は、紙ではなくデータで保管されることが一般的です。またクラウドサービスの普及により、これらのデータ化された情報は、社外ネットワーク上に保管されるようになりました。
これらの環境変化は、情報へのアクセスや共有の利便性を大幅に向上させた一方で、サイバー攻撃による情報漏洩のリスクにも繋がっています。
「東京商工リサーチ」の調査結果によると、国内上場企業における2023年の情報漏洩・紛失事件の件数は175件(前年比6.0%増)であり、2012年の調査開始以来、3年連続で最多件数を更新しています。
出典:東京商工リサーチ|2023年「上場企業の個人情報漏えい・紛失事故」調査(2024年1月19日)
企業のDX推進やクラウドサービスの利用といった変化に伴い、セキュリティリスクも増大している昨今、自社の情報資産を正しく把握することは、重要なデータやシステムに対するセキュリティリスクを適切に評価・対策する上で欠かせません。
情報資産管理台帳とは
今回のテーマである「情報資産管理台帳」とは、企業や組織が保有する重要な情報資産を一元的に管理するための記録帳簿を指します。
情報資産管理台帳を作成することで、以下のような項目が把握しやすくなります。
- 保有している情報資産
- 情報資産の保管方法、保管場所
- 情報資産の重要度
情報資産管理台帳を作成する目的
情報資産管理台帳を作成する目的は、組織内のすべての情報資産を把握し、適切に管理・保護することです。そして情報資産管理台帳の作成は、企業・組織はこれから実施する情報セキュリティ対策の方針や行動指針である「情報セキュリティポリシー」を策定に役立ちます。
企業・組織が保有している情報資産を洗い出し、それを取り巻くリスク分析と最適な対策案を検討することが可能です。
また「個人情報保護法」のようなデータの取り扱いに関する法令準拠や「監査対応」の際なども、個人情報や機密情報といった資産が適切に管理されていることを確認・証明する際に、台帳の作成が役立つことがあります。
情報資産管理台帳に記載する項目
情報資産管理台帳に記載すべき内容として、以下のような項目が挙げられます。
| 項目 | 概要・記入例 |
|---|---|
| 情報資産名 |
情報資産の正式名称(正式名称がないものは社内通称)を記入 例 「社員名簿」「顧客リスト」など |
| 備考 |
情報資産名称だけでは個人情報の有無などがわからない場合に記入 例 社員名簿の場合、「社員基本情報」など |
| 業務分類 |
情報資産に関連する業務や部署名を記入 例 「経理」「人事」「営業」など |
| 利用者の範囲 |
その情報資産を利用できる部署を記入 例 「人事部」「経理部」「営業部」など |
| 管理部署 |
その情報資産を管理している部署を記入 例 「人事部」「経理部」「営業部」など |
| 媒体・保存先 |
情報資産の媒体や保存場所を記入 例 「書類」「サーバー」「クラウドストレージ」など |
| 個人情報の有無 |
個人情報が含まれるかどうか、含まれる場合は以下のように個人情報の種類を記入 例 「個人情報」「マイナンバー」など |
| 重要度 |
情報資産の機密性、完全性、可用性のそれぞれの評価値(1~3)を記入さらに3つの評価値から重要度(3~1) を記入 例 「機密性:3、完全性:1、可用性:1、重要度:3 」など |
| 保管場所 |
情報資産が保管されている場所を記入 例 「人事部書庫」「IT部門サーバー室」など |
| 保管期間 |
廃棄、消去が必要となる期限を記入 例 「5年」「7年」など |
これらの項目は定期的に更新し、常に最新の情報を反映させることが重要です。
適切に管理された情報資産管理台帳は、組織の情報セキュリティ戦略の基盤となり、効果的なセキュリティ対策の実施を可能にします。
情報資産管理台帳を用いたリスク分析の実施方法
ここからは、情報資産管理台帳を作成し「リスク分析」を行うための手順について、「中小企業の情報セキュリティ対策ガイドライン」の内容を基に解説します。
1. 情報資産を洗い出す
まずは、組織内に存在する情報資産を洗い出します。業務の流れを可視化してから、その過程で使用される情報資産を確認すると抜け漏れが発生しづらくなります。
すべての情報資産を洗い出す必要はありません。選定基準として「この情報が漏洩・紛失した場合、組織にどのような影響があるか」という視点で考えると良いでしょう。
例えば「顧客情報」や「財務データ」のような、漏洩することで大きな被害が予想される資産はリストに加えます。
2. 情報資産の重要度を評価する
次に、洗い出した情報資産の「重要度」を評価します。
この評価では、情報セキュリティの3要素である「機密性」「完全性」「可用性」のリスク度合いを数値化し、それをもとに重要度(1~3)を評価します。
出典:IPA|中小企業の情報セキュリティ対策ガイドライン第3.1版
ちなみに重要度は、機密性、完全性、可用性いずれかの最大値で評価します。
出典:IPA|中小企業の情報セキュリティ対策ガイドライン第3.1版
例えば、「自社製品の設計図」の重要度を評価するとします。
出典:IPA|中小企業の情報セキュリティ対策ガイドライン第3.1版
自社製品の設計図は、一般に公開されるものではなく、仮に流出してしまった場合は競合他社に技術などを真似され、自社製品が売れなくなることも考えられます。また、協力会社にも影響が出ることが懸念されるため、機密性は最大の「3」とします。
次に、設計図のデータが何者かに改ざんされた場合、製造に支障をきたします。
そのため、完全性は「2」とします。
最後に、自社製品の設計図はサーバーにデータを保存しているだけでなく、オフラインで原本を保管していることから、仮にサーバーが利用できなくなったとしても、閲覧や印刷は可能であったとします。この場合、影響は小さいことから、可用性は「1」とします。
上記のように、機密性「3」、完全性「2」、可用性「1」とした場合、重要度は機密性、完全性、可用性いずれかの最大値で評価されるので「3」となります。
機密性、完全性、可用性の評価基準や重要度の詳しい算出方法は、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」に掲載されています。
このガイドラインには、付録としてリスク分析シートが入っており、情報資産管理台帳のテンプレートや記入例などがまとめられています。
3. 各項目の入力を行う
最後に洗い出した情報資産の情報を、情報資産管理台帳の各項目に入力します。項目の内容は、業務分類、利用者の範囲、保管場所、重要度など多岐にわたります。
また情報資産は時間の経過とともに変化します。新たな情報資産が発生する場合や、既存の資産が不要になることもあるため、情報資産管理台帳は定期的に見直し、更新する必要があります。
具体的には、年に1回はリスク評価を実施し、最新の状況に合わせた修正を行うことが望ましいでしょう。
情報資産管理台帳の作成に活用できるツール
IT資産の数が多くなると、手動での管理は非効率かつ、抜け漏れが発生しやすくなるので、ツールの活用が効果的です。
ここでは、情報資産管理台帳の作成に活用できる代表的なツールについて解説します。
IT資産管理ツール
IT資産管理ツールとは、事前に登録した従業員のPC・スマートフォンなど「IT資産」を、一元管理するためのシステムです。
IT資産管理ツールには、デバイスの情報(端末の種類、OSのバージョン、インストールされているソフトウェアなど)を自動で取得する機能があるため、情報資産管理台帳を効率的に作成することができます。
IT資産管理ツールは「情報資産管理台帳の作成」以外に、以下のような機能が備わっています。
- セキュリティパッチの適用・配布
- アプリケーションの配布
- ライセンス管理
導入することで管理者の工数を大幅に削減し、効率的でセキュアな資産管理を目指すことができます。
MDM
MDM(Mobile Device Management)は、スマートフォンやタブレットといった「モバイルデバイス」の一元管理を目的としたツールです。
MDMは、登録したモバイルデバイスのハードウェア情報や設定情報を自動で取得し、それぞれのデバイスの利用状況を把握することができるので、情報資産管理台帳の作成に活用できます。
また、MDMを導入することで、これまで利用者に依存していたデバイス管理(私的利用の禁止、定期的なアップデート、セキュリティ管理など)を管理者側で管理することが可能です。
業務の効率化だけでなく、従業員の不正防止・セキュリティレベルの向上といった効果も得られます。
UEM
UEM(Unified Endpoint Management)は、自社のネットワークにつながっているあらゆるデバイスを管理するためのソリューションです。PC、スマホ、タブレットだけでなく、IoTデバイスやその他の端末も一元的に管理できるのが特徴です。
デバイスをUEMの管理下に置くことで、デバイス名、使用者、OSの種類やバージョンなどのデバイス情報を把握することができるので、情報資産管理台帳の作成に大いに役立ちます。
UEMにはこのほかにも、アプリケーションの利用制御などのセキュリティポリシーの設定、デバイスを紛失した際に情報漏洩を防ぐリモートロック・ワイプといった機能も提供されています。
情シス1,000人はここを見ていた!
情シスの課題から紐解く
IT資産管理ツールの選定ポイントとは?
情シス1,000人の実態調査から見えた
IT資産管理ツール選定時に抑えてたい4つのポイントを解説!
情報資産管理なら「LANSCOPE エンドポイントマネージャークラウド版」にお任せ
ここまで「情報資産管理」について解説しましたが、MOTEXが提供する「LANSCOPE エンドポイントマネージャークラウド版」は、PC・スマホをクラウドで一元管理できる「IT資産管理・MDMツール機能」が1つとなったセキュリティソリューションです。
管理下のデバイス(PC・スマホ・タブレットなど)のハードウェア情報、設定情報を自動取得し、管理コンソール上で最新の情報資産台帳を自動作成することが可能です。
(自動取得できない項目は、任意項目として管理コンソール上で作成、編集できます)。
また「LANSCOPE エンドポイントマネージャークラウド版」では、プリンターやルーターなどの周辺機器も、 PC・スマホと一元管理できます。「IT 資産管理ツールのエージェントをインストールできない機器については、表計算ソフトなどの台帳で別途管理する必要があり、煩わしい」という企業様の悩みも解決できます。
さらに、LANSCOPE エンドポイントマネージャー クラウド版には、機密情報の漏洩対策に有効な以下の機能が備わっています。
▼機能の一例
- PC・スマホの「操作ログ」を自動で取得
- PC・スマホ・タブレットの利用状況を「レポート」で見える化
- あらかじめ決めたポリシーに基づく、「利用制限」や「アラート通知」
- 万が一の紛失時に役立つ「リモートロック」「リモートワイプ」や「位置情報」の取得
- Windowsアップデートの管理
など
内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能。またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員の PC の利用状況を、簡単に把握できます。
情報漏洩に繋がりそうな従業員の不正操作を、早期に発見し、インシデントを防止することが可能です。詳しい機能は、以下のページよりご覧ください。
まとめ
本記事では「情報資産管理台帳」をテーマに、その必要性や作成手順などを解説しました。
本記事のまとめ
- 「情報資産」とは、顧客情報や契約書、人事情報など組織や個人が持つ価値のある情報および関連するリソースを指す
- 企業・組織が扱う情報のデータ化・クラウドの普及によって、外部攻撃による情報漏洩のリスクが高まっているため適切な情報資産管理は必須
- 情報資産管理台帳とは、企業や組織が保有する重要な情報資産を一元的に管理するための台帳で、情報セキュリティポリシーを策定するために作成される
- 情報資産管理台帳を作成しリスク分析を行うには、「1. 情報資産の洗い出し」「2. 情報資産の重要度を評価」「3. 各項目の入力」という手順で進める
- 情報資産管理台帳の作成に活用できるツールには、「IT資産管理ツール」「MDM」「UEM」などがある
情報資産が漏洩した場合、企業・組織は社会的信用を失うだけでなく、業務の継続が困難になることも考えられます。組織は情報資産管理台帳を作成し、適切に情報資産を管理できる体制を整えましょう。
情シス1,000人はここを見ていた!
情シスの課題から紐解く
IT資産管理ツールの選定ポイントとは?
情シス1,000人の実態調査から見えた
IT資産管理ツール選定時に抑えてたい4つのポイントを解説!
おすすめ記事
