情報資産とは、企業などの組織や個人が保有する情報やデータ、それに関連する資源のことです。IT化やDXが進む現代のビジネス環境において、情報は企業にとって適切に管理すべき重要な資産といえます。仮に、情報資産が外部に漏洩した場合には、企業の社会的信用を大きく損なう恐れがあるため、企業は情報資産を管理・保護する対策が必要です。この記事では、情報資産の具体例や分類方法をはじめ、企業にとって情報資産の管理が必要な理由についてわかりやすく解説。情報資産を守るためにすべきことや、管理する際のポイントもご紹介します。
情報資産とは、組織や個人が保有する情報やデータ、関連資源のこと
情報資産(Information Asset)とは、組織や個人が保有する「ヒト・モノ・カネ」に関する情報やデータ、それに関連する資源のことです。紙で保存されている資料はもちろん、サーバーやUSBメモリなどの外付けストレージに保存されているデータ、ネットワーク機器などのハードウェア、ソフトウェア、通信インフラなどもすべて情報資産とされています。また、取引先との間で交わされる契約書や、社内システムのソースコードなども情報資産です。
仮に、単体では意味を持たないデータであっても、さまざまなデータと組み合わせたり、関連づけたりすることで資産価値が生まれる可能性もあるため、情報資産に含まれます。
企業が守るべき情報資産
企業が持つ情報資産が、サイバー攻撃などで外部に漏洩した場合には、その企業のブランドイメージや社会的信用の低下、損害賠償など大きなダメージは避けられません。そのような事態にならないためにも、企業は日頃から自社の守るべき情報資産を把握し、それぞれに適切なセキュリティ対策を講じることが重要です。企業が守るべき情報資産の具体例は下記のとおりです。
企業が守るべき情報資産の具体例
- 顧客情報(購入履歴なども含む)
- 人事情報(従業員の個人情報)
- 財務情報
- 事業計画書
- 企業間契約書類
- 製品技術情報
- 仕入れ先、販売先
- 自社システムに関する情報(システム構成、ネットワーク情報、ユーザーID・パスワードなど)
- 営業活動などに関するノウハウ
- 企業ブランドや製品ブランド
- サーバー・ネットワーク機器
- クラウド・通信サービス
- ソフトウェア・ツール
情報資産の分類方法
一般的に、企業が保有する情報資産は情報資産管理台帳によって分類・管理されています。分類方法に特定のルールは存在しませんが、JNSA(Japan Network Security Association:特定非営利法人日本ネットワークセキュリティ協会)は下記の分類方法を例示しています。
■情報資産の分類例
情報資産 分類 |
対象の情報資産の例 |
---|---|
情報 | 電子ファイル、紙 ほか |
ソフトウェア | 業務用ソフトウェア、事務用ソフトウェア、開発ソフトウェア、システムツール ほか |
物理的資産 | サーバー、ネットワーク機器、媒体、収容設備 ほか |
サービス | クラウドサービス、通信サービス、電気・空調サービス ほか |
※特定非営利法人日本ネットワークセキュリティ協会「情報セキュリティポリシーサンプル 改版(1.0版)概要」(2016年3月)
情報資産の管理が必要な理由
前述のとおり、企業が情報資産を適切に管理できなければ、ビジネスにおける重大な損失や信頼の失墜、法的な責任問題に直面するリスクが避けられません。例えば、顧客情報の流出は顧客からの信頼や競合他社に対する優位性を失うだけでなく、法的制裁や損害賠償の対象となる可能性があります。
加えて、近年は情報のデジタル化により情報量が飛躍的に増加し、情報を活用するシーンも拡大。サイバー攻撃の手口も複雑化・巧妙化しています。情報資産への脅威を未然に防ぐために、情報資産の管理の重要度はより一層高まっています。
実際に起きた情報漏洩事故には以下のような事例があります。こうした脅威から情報資産を守るためにも、企業はさまざまなリスクに備えておくことが重要です。
情報資産を脅かす具体的な脅威の事例
- 不正アクセス:複数のサーバーが不正アクセスの被害に遭い、顧客情報が流出
- メール誤送信:BCCで送るべきメールをCCで送ったことにより、会員のメールアドレスが漏洩
- 人的ミス:公開範囲の設定ミスにより、個人情報が閲覧可能なURLを誤って公開
- 端末の紛失:医療機関で患者の個人情報や撮影画像データが保存されているPCが紛失
- 関係者による不正行為:グループ会社の業務委託先の元従業員が顧客情報を名簿業者へ売却
情報資産を管理するためにすべきこと
企業が情報資産を守る上で、具体的にどのような取り組みが求められるのでしょうか。ここでは、情報資産を守るために必要な対策について解説します。
情報資産の管理方法を決める
情報資産を適切に管理・保護するには、管理方法についてルールを定めることが大切です。まずは情報資産管理台帳を作成し、自社がどのような資産を保有しているのかを記載した上で一元管理できるようにします。次に、情報資産の種類と重要度に応じて適切な保存期間や保管規定を決めていきます。保存期間が過ぎた際の廃棄・削除の方法も含めて決めておくことが重要です。
また、それぞれの情報資産にアクセスできる権限についても検討し、必要に応じてアクセス制限をかけます。情報漏洩を防ぐためにもアクセス権限は必要最小限にとどめるのが理想ですから、情報資産へのアクセスが業務上不可欠な部門やポジションに限定するなど、実態に即して決定することが大切です。同時に、暗号化やバックアップの必要性など、情報資産の種類に応じた取り扱い方法も定めておきます。
情報資産を守るためのセキュリティ対策を行う
情報資産管理を適切に行うには、セキュリティ対策が欠かせません。下記のようなルールを策定し、組織内で周知徹底を図ることが大切です。
適切な情報資産管理のためのセキュリティ対策ルールの例
- セキュリティ担当者の配置:各部門に情報資産の管理担当者を配置して窓口とする
- 記憶メディアの管理:業務での利用持ち出しの可否、使用時のルールについて決めておく
- ログの取得と監視:アクセスログや操作ログを取得し、トラブルや不正の原因を分析できるようにしておく
- 従業員へのルール徹底:守るべきルールとその理由を周知する
ほかにも、IT資産管理ツールによりユーザー別に記憶メディアを無効化したり、USBメモリをPCに差しても反応しない設定にしたりすることで、外部からの脅威の侵入や、内部からの情報の持ち出しといったリスクを軽減することができます。また、セキュリティ対策は、事故を未然に防ぐことだけを考慮するのではなく、万が一事故が発生した場合の対応についても想定しておくことが重要です。不審な通信や動作を発見した際には端末をネットワークから遮断するなど、初動対応も組織内で周知しておきます。
情報資産を管理するツールを導入する
アクセス権限の設定や記憶メディアの管理、ログの取得・監視といった対策は、人間が手動で行うには限界があります。そのため、適切な情報資産の管理は、IT資産管理ツールの導入によって実現するのが現実的です。組織内の情報資産をツールによって一元管理し、情報セキュリティの「穴」が生じないようにしておく必要があります。
組織内で使用されている機器や端末のうち、一台でも管理者が把握していないものがあれば、脅威の発生源となる可能性があります。従って、管理下にない機器・端末がネットワークに接続された際、警告のアラートを発出したり、機器・端末をネットワークから遮断したりできる機能が重要です。社内のあらゆる情報資産を一元管理できる仕組みを実現するためには、搭載機能を確認し、適切なツールを導入・活用していくことが大切です。
情報資産を管理する際のポイント
情報資産を管理する際に、意識しておきたいポイントについて解説します。情報資産管理では、次の2点を押さえることが大切です。
情報資産のすべてを可視化すること
組織内で扱う情報は基本的にすべて管理対象と考え、あらゆる情報資産をもれなく可視化しておくことが大切です。現時点では資産価値があるかどうか判断できない情報についても、将来的にデータが蓄積されていけば重要な資産となる可能性があるため、適切に管理する必要があります。
また、工数やコストとの兼ね合いにより、日々の業務で蓄積されていく全データを管理することは難しいかもしれません。そのような場合は、管理するデータを取捨選択するのも一つの方法です。その際でも、管理しなくなったデータについて、後になって「情報資産の存在自体を把握していなかった」といったことが起こらないよう注意します。
ルールを作成し、組織全員に周知すること
情報資産管理における明確なルールを定めて、組織内の全員に周知徹底しておくことが大切です。管理システムで情報セキュリティ対策を適切に行っていても、従業員がルールを守っていなければ、人為的な情報漏洩事故が起きてしまう可能性があります。仕組みと人の両面から対策を講じることで、情報資産の適切な管理・運用を実現できます。
情報資産管理を支援する「SKYSEA Client View」
情報資産を守るためには、情報資産を適切に管理し、セキュリティ脅威に対する対策を行う必要があります。
クライアント管理運用ソフトウェア「SKYSEA Client View」は、情報資産管理を支援するツールです。PCやサーバーのハードウェア情報、ソフトウェア情報、プリンター、ルーターといったIT機器の資産情報などを自動収集します。USBメモリなどの記憶メディアについても、一台ごとに使用制限を細かく設定することが可能です。また、PCの操作を記録するログ管理機能で情報漏洩リスクを早期発見し、他社製品との連携でウイルスを検知したPCをネットワークから遮断するなど、セキュリティ対策を支援するさまざまな機能を搭載しています。
情報資産の適切な管理にお悩みのお客様は、ぜひ「SKYSEA Client View」の導入をご検討ください。