情報資産とはいったい何なのか?

情報資産とはいったい何なのか?

情報資産とは何か、会社内の何が情報資産と考えられるのか、当たり前に使われる情報資産とその資産としての決め方をご紹介します。

情報資産とは?

情報資産と言うと、個人情報、ノウハウといった機密情報を思い浮かべる方が多いと思いますが、それだけではありません。パソコンやサーバなどの情報機器、LANなどのネットワーク設備、SEやオペレータなどのIT人材、販売管理システムや会計システムといったソフトウェア資産も情報資産に含まれます(下図参照)。

さらに、情報資産には申込書や契約書などの紙に書かれた情報なども含まれる点に注意しなければいけません。最近では、会議やミーティングなどでホワイトボードに書かれた情報をスマホで写真に撮ったり、電子黒板を用いてそのまま電子化されたりすることもありますが、これも情報資産です。

情報資産は、情報セキュリティで保護する対象となるものであることから、情報セキュリティ対策を講じる際には、守るべき情報資産が何かを明らかにすることが前提となります。机の上に書類が山積みされているような場合には、何が重要な情報なのかがよくわかりませんし、書類がなくなってもそれに気づかないかもしれません。

したがって、自社にどのような情報資産があるのかを明らかにすることは、情報セキュリティにおいて常に重要なのです。また情報資産の把握をしたら、情報資産管理台帳に記載して管理できるようにしましょう。

情報資産を取り巻くリスク

情報資産の機密性、可用性、インテグリティを阻害するリスクには、例えば、次のようなものがあります。不正アクセス、盗難、紛失、破壊、滅失など、、例えば、盗難というリスクに対しては、入退出管理システムのほかに、サーバラックの施錠、などの対策を講じることになります。

繰り返しになりますが、適切なセキュリティ対策を講じるためには、報資産についてどのようなリスクがあるのかを分析することが肝要でリスクに対するセンスが重要だと言ってもよいかもしれません。

そこで、日ごろからどのようなリスクがあるのかを想像力を働かせて認識する能力が必要になってきます。そのためには、社内だけではなく、他社でどのような情報セキュリティインシデントが発生しているのか、その原因は何かということに関心をもつことが大切です。

情報資産のリスク評価

情報資産およびそのリスクの存在を把握した後は、そのリスクの大きさを評価します。これが情報資産のリスク評価です。リスクの大きさは、「影響度×発生可能性」で評価します。リスクには、顧客に影響を及ぼさない軽微な入力ミスのように、影響度、つまり損失額が小さくても発生する可能性が高いものがあります。

一方、地震のように影響度は非常に大きいものの、発生する可能性が小さいリスクもあります。そこで、影響度と発生可能性の掛け算でリスクの大きさを評価する手法が多く採用されています。外部に影響を及ぼすような情報資産については影響度を高く評価することになります。

情報資産のリスク評価の難しさは、プログラミングミスなどを考えるとわかりやすくなります。プログラミングミスの発生可能性は、過去のシステム開発の経験から数値化することは可能ですが、そのミスの影響度を計価することは容易ではありません。

セキュリティカテゴリの最新記事