日々の業務において、資産価値の高い情報を意味する「情報資産」が発生し、意識せずにそれを扱っている状況も多くあるかと思います。今回は基礎的な内容となりますが、「情報資産」について、バランスよく管理してリスク軽減に繋げるための考え方に触れていきます。

管理すべき情報資産

情報資産とはどのようなものか、具体例を社内・社外とのやり取りで発生するもので分類した一例を以下に挙げます。

社内で発生する情報資産

• メールアカウント情報
• 各PCのログイン情報やログ情報
• 人事情報
• 財務情報
• 社内利用ツールのアカウント
• 自社製品の機密情報等

社外のやりとりから発生する情報資産

• お客様やパートナー企業等の顧客情報
• 販売条件や個人情報保護等を記載した契約書
• サービス提供のためにお客様から預かる情報等

これらの情報は、紙書類だけではなく、最近では扱いが便利なデータファイルとして利用されることが多く、PCやサーバのハードディスク内等に保管され、時にはUSBメモリやSDカード、CD-RやDVD-Rに取り込んで移動させることも多くあります。

情報資産に対する脅威

これらの情報はインターネット等を通して便利に扱えるようになった一方で、思いもよらぬ脅威にさらされる機会も増えています。例えば、サイバー攻撃で顧客情報が流出する情報漏洩や、自社内の情報を持ち出して情報を売買に利用するような内部不正等、価値の高い情報資産が狙われるニュースもよく目にします。

技術の進歩と共に新たな脅威が日々生まれるため、どんなに強力なセキュリティ対策を行っても、その脆弱性を狙った攻撃がイタチごっこのように繰り返されます。
残念ながら、完璧なセキュリティ対策は不可に等しいといえます。

情報資産の管理の必要性

また、脅威から情報資産を守る重要性は理解していても、なかなか対応できない現状もあります。情報セキュリティに対する知識不足や、管理するための費用等、特に中小企業には負担が大きく難しい側面も否めません。

そこで、情報資産を管理する基礎知識として、情報セキュリティの三つの要素であるCIAという考え方について触れながら、今後の管理についてご検討いただけるよう紹介させていただきます。

情報セキュリティの3要素「CIA」

CIAは「機密性（Confidentiality）」、「完全性（Integrity）」、「可用性（Availability）」の頭文字を略した表記です。それぞれの意味は以下をご確認ください。

C：機密性（Confidentiality）

機密性とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。

I：完全性（Integrity）

完全性とは、保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊されたりしないことを指します。

A：可用性（Availability）

可用性とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。

CIAを活用する

では、どのようにCIAを意識して情報資産を管理できるのでしょうか。CIAを活用するには、現在自社で保有している情報資産に対して、それぞれCIAのどの要素を満たしているか、または不足しているかをリストに書き出して把握することが有効です。

リストを作成することで、今までぼんやりしていたリスクが見える化できたり、形のない情報資産の扱いを定義しやすくなるので、内容を確認しながら自社の運用ルールをどのように定め、バランスよく設定管理していくか、検討しやすくなります。

情報資産リストの作成については、作成紹介しているサイト等も多くありますので、参考にされると良いかと思いますが、一例としてIPA（独立行政法人 情報処理推進機構）が提示しているフォーマットをご紹介します。

情報資産管理台帳 - IPA

このCIAの活用については、実は情報セキュリティマネジメントの認証規格であるISMS（認証規格JISQ：27001、国際規格の認証ISO27001と同等の認証規格）で管理方法として利用されており、この考え方で管理する運用を行うとISMSを取得しやすくなることにも繋がります。

さらにCIAの視点を高める

例えばニュースでサイバー攻撃による事故を見たときには、CIAに照らし合わせた対策を検討してみましょう。Webサイトが改ざんされる事例では、問題箇所をすぐに復旧させられるようにバックアップを取っておき、完全な状態に戻せるよう完全性（I）を高めた方が良いとか、自社で在宅ワーク等に切り替えるタイミング等で、会社よりも対策性の弱い自宅から情報漏洩が出ないように機密性（A）を確保する対策を取ろう。等のように、様々な場面でセキュリティ対策の指針になります。

他にも、昨今の社会情勢の中で、社員のマイナンバー管理、営業担当の外出時におけるモバイルデバイス活用、社内でのクラウドツール利用等、数年前に比べて情報セキュリティ対策を必要とする取り組みが増えています。

その際の管理手法や考え方として、バランスよく情報資産を管理するためのCIAという考え方について身につけてみてはいかがでしょうか。

さいごに

以上、今回は情報資産を把握・評価する手法の一つとしてCIAという基礎的な3要素の内容をお伝えしましたが、最近ではさらに4つの要素を加えた7要素の考え方もあるようです。

また、企業によってはリスクの把握や評価を行う上で、大きくリソースを要する作業にもなりますし、できるなら専門家による精度の高いリスク評価を行いたい部分もあるかと思います。

当社では、専門家の観点でリスクを評価して全体像を可視化する「サイバーリスクアセスメント」サービスも提供しておりますので、よろしければこちらもご検討ください。

参考サイト：
総務省が公開する「国民のための情報セキュリティサイト」
IPA「守るべき情報資産・情報リスクの考え方」
IPA「組織的取り組みと情報セキュリティマネジメントシステム」