2.2.1. 情報資産の調査

1. 概要

 情報資産の調査は、組織のセキュリティリスク管理において極めて重要な第一歩です。この過程で、組織が保有する全ての情報資産を特定し、その価値と重要性を評価します。これにより、適切なセキュリティ対策を講じるための基盤が形成されます。

 情報資産の調査の主な目的は以下の通りです:

  1. 組織内の全ての情報資産を把握する
  2. 各資産の価値と重要性を評価する
  3. セキュリティリスクアセスメントの基礎を構築する
  4. 効果的なリスク対応策の策定に貢献する

2. 詳細説明

2.1. 情報資産の定義

 情報資産とは、組織にとって価値のある情報や、それを処理・保管するシステムを指します。具体的には以下のようなものが含まれます:

  • データ(顧客情報、財務データ、研究結果など)
  • ソフトウェア(業務用アプリケーション、オペレーティングシステムなど)
  • ハードウェア(サーバー、パソコン、バックアップデバイスなど)
  • ネットワーク機器(ルーター、スイッチ、ファイアウォールなど)
  • 文書(紙媒体、電子媒体の両方)
  • 人的資源(従業員の知識やスキル)

2.2. 調査プロセス

 情報資産の調査は以下のステップで実施されます:

  1. 調査範囲の決定
    まず、調査の対象となる範囲(部門、拠点、情報の種類など)を明確にし、リソースの最適な配分を行います。
  2. 資産の洗い出し
    既存のデータベースやインベントリリスト、部門からの報告などを活用し、全ての情報資産を網羅的に収集します。
  3. 資産の分類
    収集した情報資産を、データ、ソフトウェア、ハードウェアなどのカテゴリーに分類します。
  4. 資産の評価
    各情報資産の価値や重要性、リスクを評価し、優先度を付けます。これには定量的および定性的な評価方法が含まれます。
  5. 資産台帳の作成
    調査結果を基に、資産台帳を作成し、継続的に更新していきます。

2.3. 調査手法

 情報資産の調査には、以下の手法が一般的に使用されます:

  • インタビュー:部門責任者や従業員へのヒアリングを通じて、情報資産の現状を把握します。インタビューは、直接的なコミュニケーションを通じて資産の詳細情報を取得するのに有効です。
  • 質問票:標準化された質問票を使用し、従業員からのフィードバックを集めます。大規模な組織で効率的に情報を収集する手段として活用されます。
  • 現地調査:物理的な資産の実地確認を行い、実際の配置状況や使用状況を確認します。データベースに存在しない資産の特定に有効です。
  • 自動スキャン:ネットワーク上の資産を自動で検出し、一覧化します。ネットワーク資産の網羅的な調査に有効です。
  • 文書レビュー:既存の資産リストや設計図書を確認し、未登録の資産や更新が必要な資産を特定します。

2.4. 調査手法の利点と欠点

  • インタビュー
  • 利点:詳細で正確な情報が得られる。
  • 欠点:時間がかかるため、多くの人に対して行うのは難しい。
  • 質問票
  • 利点:短期間で多くの情報を収集できる。
  • 欠点:回答の精度が質問の設計に依存する。
  • 現地調査
  • 利点:実際の使用状況を確認できる。
  • 欠点:物理的な移動が必要で、コストがかかる。
  • 自動スキャン
  • 利点:大量のネットワーク資産を短時間で確認できる。
  • 欠点:物理的な資産は検出できない。
  • 文書レビュー
  • 利点:既存の情報を有効活用できる。
  • 欠点:最新の情報が反映されていない場合がある。

3. 応用例

3.1. 金融機関での適用

 銀行などの金融機関では、顧客の個人情報や取引データが最も重要な情報資産となります。例えば、顧客情報データベースや取引記録のバックアップシステムがこれに該当します。これらの資産を適切に特定し、管理することで、データ漏洩リスクを低減し、顧客の信頼を維持することができます。具体的には、データの暗号化、アクセス制御、バックアップ体制の強化が行われます。

3.2. 製造業での活用

 製造業では、設計図面や製造プロセスに関する情報が重要な資産となります。これには、CADデータや製造工程のマニュアルが含まれます。これらの資産を正確に把握し、適切な保護措置を講じることで、企業の競争力を維持することができます。例えば、特許情報の保護や、機密情報へのアクセス制御が適用されます。

3.3. 医療機関での実践

 病院などの医療機関では、患者の診療記録や医療画像データが重要な情報資産となります。これらを適切に管理することで、患者のプライバシーを守り、医療サービスの質を向上させることができます。具体的には、電子カルテシステムのセキュリティ強化や、画像データの暗号化といった措置が取られます。

4. 例題

例題1

問題:ある企業で情報資産の調査を行う際、最初に実施すべき手順は次のうちどれか。

  1. 資産の評価
  2. 調査範囲の決定
  3. 資産台帳の作成
  4. 資産の分類

回答:2. 調査範囲の決定

解説:情報資産の調査を効率的かつ効果的に行うためには、まず調査の範囲を明確にする必要があります。これにより、調査の対象となる部門や系統を特定し、調査リソースを適切に配分することができます。

例題2

問題:情報資産の調査において、「データ」に分類されるものを以下から2つ選びなさい。

  1. サーバー
  2. 顧客情報データベース
  3. ファイアウォール
  4. 財務諸表
  5. ルーター

回答:2. 顧客情報データベース、4. 財務諸表

解説:「データ」に分類される情報資産は、組織が保有する各種情報を指します。顧客情報データベースと財務諸表は、重要なデータ資産です。一方、サーバー、ファイアウォール、ルーターはハードウェアまたはネットワーク機器に分類されます。

5. まとめ

 情報資産の調査は、組織のセキュリティリスク管理の基礎となる重要なプロセスです。主なポイントは以下の通りです:

  1. 全ての情報資産を特定し、その価値と重要性を評価する
  2. データ、ソフトウェア、ハードウェア、文書など、様々な形態の資産を考慮する
  3. インタビュー、質問票、現地調査などの手法を組み合わせて実施する
  4. 調査結果を基に資産台帳を作成し、継続的に更新する
  5. 業界や組織の特性に応じて、重点的に管理すべき資産を明確にする

 適切な情報資産の調査を実施することで、効果的なリスクアセスメントとリスク対応が可能となり、組織全体のセキュリティレベルの向上につながります。