企業・団体における情報セキュリティ対策やIT資産管理、サイバー攻撃に関する情報などITに関わるさまざまな情報を随時掲載しています。

Sky株式会社

公開日2024.08.26

情報資産管理台帳とは? 記入すべき内容や作成方法を解説

著者:Sky株式会社

情報資産管理台帳とは? 記入すべき内容や作成方法を解説

IT技術の発展に伴い、組織が保有する情報やIT資産など、情報資産の量が膨大になってきています。情報資産のビジネスへの活用が進む一方で、情報漏洩などのセキュリティリスクも増加しており、組織にとって情報資産の管理は欠かせません。そうしたなか、組織が保有する情報資産の洗い出しに利用されているのが、情報資産管理台帳です。各情報資産のリスクを把握することもでき、情報資産の安全な管理に役立ちます。この記事では、情報資産管理台帳に記入するべき内容や、作成方法などについて詳しくご紹介します。

情報資産とは

情報資産とは経営資源の一種で、組織が保有している情報のほか、情報を扱うソフトウェアやハードウェア、設備やマニュアルなどの情報を扱う仕組みが含まれます。近年、IT技術が発達したことに伴い、「ヒト」「モノ」「カネ」と併せて4大経営資源として扱われるなど、重要性が増しています。情報資産の具体例としては次のようなものが挙げられます。

  • 製品技術情報
  • 財務や人事などに関する経営情報
  • 顧客や従業員の個人情報
  • 特許や著作権などの知的財産
  • USB機器やサーバーなど、情報の保存機器

情報資産管理台帳とは

情報資産管理台帳とは、組織の情報資産を管理するためにまとめてリスト化した台帳です。台帳を作成することで、「どのような情報資産を所有しているのか」「どのように情報資産を保管しているのか」「それぞれの情報資産の重要度の高さ」などを把握しやすくなります。

情報資産管理台帳を作成する目的

情報資産管理台帳を作成する主な目的は、情報セキュリティポリシーを策定するためです。情報セキュリティポリシーとは、組織の情報セキュリティ対策を推進する上での基本方針になるもので、最近ではホームページ上に公開している企業も多くあります。

情報セキュリティポリシーを策定するためには、どのような情報資産が自社の事業継続において重要なのかを把握しておかなければいけません。そのため、資産管理台帳を作成することで情報資産を洗い出し、各情報資産のリスク評価をする必要があります。

なお、情報資産管理台帳は、情報セキュリティ関連の監査において提出が求められる重要な書類です。情報セキュリティに関する認証取得を目指す場合は作成が必須になるため、早めに着手することをお勧めします。

情報資産管理台帳に記入すべき内容

情報資産管理台帳に記載すべき内容として、以下のような項目が挙げられます。

  • 情報資産の名称
  • 管轄(部署や個人)
  • 用途(関連する業務)
  • 責任者
  • 閲覧権限など、利用者の範囲
  • メディアの種類や保管形態
  • 保管場所
  • 保管期間
  • 評価日
  • 個人情報の踏む
  • リスク評価

情報資産をむやみに長期間保有するのは推奨できません。そのため、保管期間については、「~年以上」「最低~年」といった曖昧な表記を避け、正確に記載することをお勧めします。また、情報の重要性によって分類・管理し、「顧客情報」「社外秘」「製品情報」など、分類区分がひと目でわかるように表記することも大切です。

情報資産管理台帳の作成方法

情報資産管理台帳はどのように作成すれば良いのでしょうか。ここでは、作成の手順についてご紹介します。

  • 情報資産の洗い出し
    まず、台帳に記載する情報資産を洗い出します。業務フローを可視化し、プロセスごとに必要な情報資産を確認していくと、記載漏れなどを防ぐことができます。ただ、すべての情報資産を記載する必要はありません。その情報資産が漏洩や紛失した際に生じる組織への影響などを検討し、悪影響を及ぼしうるものや保護が必要なものをピックアップしていきます。
  • 重要度を評価する
    次に、各情報資産の重要度を評価します。この評価方法については、後ほど詳しく解説します。
  • 各項目を入力する
    洗い出した情報資産について、先述した記入すべき項目を台帳に記載していきます。記載漏れや入力ミスがないように注意が必要です。

情報資産管理台帳の重要度を算出する方法

情報資産管理台帳を作成する上で大切なのが、先述した重要度の算出です。重要度は、各情報資産のリスク評価をする判定基準になります。ここでは、重要度の算出方法について詳しくご紹介します。

機密性・完全性・可用性とは

情報資産の重要度は、「機密性」「完全性」「可用性」という3つの観点から算出します。これらは情報セキュリティの3要素とされ、国際標準規格のISO/IEC 27001などでも要件とされています。3要素は、以下のような観点になります。

  • 機密性:アクセス権のある人だけが情報資産にアクセスできる
  • 完全性:情報や情報の処理方法が最新で正確である
  • 可用性:アクセス権のある人が、必要なときにいつでも情報資産にアクセスできる

資産管理台帳におけるリスク評価では、この3つの観点から、各情報資産がリスクにさらされた場合に組織が受ける影響の大きさを数値化します。「機密性」「完全性」「可用性」のそれぞれで算出された評価値を比較し、最も大きい数字を重要度として採用します。

例えば、3要素の評価値がすべて最高レベルだった場合、その情報資産の重要度は最高値になります。一方、2要素の評価値が、リスクがほぼ見当たらない最低レベルだった場合でも、残りの1要素の評価値が最高レベルだった場合、重要度は最高値になるという具合です。なお、評価値や判断基準は各組織で任意に設定できます。

重要度の設定例

具体的に3要素の評価値や判断基準の例を挙げると、以下のようになります。

要素 評価値 評価基準
機密性 2 法律で安全管理が義務づけられている
守秘義務の対象などに指定されている、または漏洩すると取引や顧客に大きな影響がある
自社の営業秘密として管理するべき、または漏洩すると自社に大きな影響がある
1 漏洩すると事業に大きな影響がある
0 漏洩しても事業にはほとんど影響がない
安全性 2 法律で安全管理が義務づけられている
改ざんされると自社、または取引先や顧客に大きな影響がある
1 改ざんされると事業に大きな影響がある
0 改ざんされても事業にほとんど影響はない
可能性 2 利用できなくなると自社や取引先、顧客に大きな影響がある
1 利用できなくなると事業に大きな影響がある
0 利用できなくなっても事業にほとんど影響はない

参考:IPA「中小企業の情報セキュリティ対策ガイドライン 第3.1版

この設定例では、「法的拘束力」「自社や他社への影響」「自社事業への影響」を評価基準にし、影響の大きさを0から2の3段階に分けて数値化しています。こうした評価値の設定には手間がかかりますが、個々の情報資産のリスクを可視化できるという利点があります。

例えば、過去取引のデータについて見ると、「機密性」は今後の事業に大きな影響があるため「1」、「完全性」は改ざんされても事業にほとんど影響がないため「0」、「可用性」は利用できなくても特に問題がないため「0」となり、3つの評価値で最も高い「1」がデータの重要度として算出されます。

情報資産管理台帳の運用方法

社会情勢やセキュリティ脅威などの外部環境が変化をすれば、情報資産に潜むリスクも再評価をする必要があります。昨今は、IT環境が変化するスピードも加速しているため、少なくとも1年に1回は情報資産管理台帳をチェックし、情報資産の精査とリスク評価の見直しを行うのが望ましいです。

定期的に情報資産管理台帳の運用管理を行っていれば、ISMS(情報セキュリティマネジメントシステム)をはじめとする各種のセキュリティ監査で台帳の提示が求められても、迅速に対応することができるはずです。

まと

ここまで、情報資産管理台帳に記載するべき内容や、作成方法などについてご紹介しました。情報資産管理台帳を作成すれば、情報資産の洗い出しやリスク評価、情報セキュリティポリシーの策定など、情報資産の安全な運用管理に活用することができます。この記事の内容をご参考いただき、情報資産管理台帳の作成や、作成方法の見直しをご検討してみてはいかがでしょうか。

情報資産の管理なら「SKYSEA Client View」

クライアント運用管理ソフトウェア「SKYSEA Client View」は、情報資産管理を支援するツールです。PCやサーバーのハードウェア情報、ソフトウェア情報、ルーターといったIT機器の資産情報などを自動収集します。また、セキュリティ対策を支援するさまざまな機能も搭載。近年激化するランサムウェアに対しても、脆弱性対策やエンドポイントセキュリティの強化など、階層的な防御を通じてリスク対策をサポートします。

情報資産の管理にお悩みのお客様は、ぜひ「SKYSEA Client View」の導入をご検討ください。