ホーム
テクノロジ系
C. 技術要素
ⅩⅠ. セキュリティ
2. 情報セキュリティ管理

2.2.2. 情報資産の重要性による分類

1. 概要

 情報資産の重要性による分類は、組織が保有する情報資産を適切に保護するための重要な手順です。ここでの「情報資産」とは、組織が保有するデータ、ドキュメント、システム、ネットワークなど、価値があり保護が必要なすべての情報を指します。この分類プロセスでは、情報資産の機密性、完全性、可用性の観点から評価を行い、定められた基準に基づいて分類します。これにより、組織は限られたセキュリティリソースを効果的に配分し、重要な情報資産を適切に保護することができます。

2. 詳細説明

2.1. 情報資産の分類基準

 情報資産の分類は、以下の3つの主要な基準に基づいて行われます:

  1. 機密性:情報へのアクセスや開示が許可された者のみに制限されている度合い。例えば、顧客データは機密性が高く、アクセス権を持つ者のみが利用できるように制御する必要があります。
  2. 完全性:情報が正確で完全であり、不正な改ざんから保護されている度合い。例えば、取引データや会計記録などは、誤りや不正な改変がないよう、完全性を維持することが求められます。
  3. 可用性:必要なときに情報にアクセスできる度合い。例えば、業務継続に不可欠なシステムのデータは、ダウンタイムを最小限に抑え、常に利用可能であることが重要です。

2.2. 分類プロセス

 情報資産の分類プロセスは、通常以下の手順で行われます:

  1. 情報資産の特定と情報資産台帳の作成:組織が保有する全ての情報資産を一覧にし、それぞれの性質や重要性を特定します。
  2. 各情報資産の機密性、完全性、可用性の評価:情報資産の持つリスクとその影響度を評価し、分類基準に従ってスコアリングを行います。
  3. 評価結果に基づく分類:スコアリング結果に基づき、情報資産を適切な分類レベルに割り当てます。
  4. 分類結果の文書化と定期的な見直し:分類結果を正式な文書として記録し、定期的な見直しを行って情報資産の状況変化に対応します。

2.3. 分類レベルの例

 一般的な分類レベルの例として、以下のようなものがあります:

  • 機密性:極秘、秘、社外秘、社内限り、公開
  • 完全性:重要、一般、参考
  • 可用性:即時、通常、低

3. 応用例

3.1. 金融機関での応用

 金融機関では、顧客の個人情報や取引データなどの重要な情報資産を扱います。これらの資産は、機密性が高く、完全性が極めて重要です。たとえば、顧客の口座情報は機密性が極めて高く、第三者への漏洩が発生すると大きな被害につながります。また、口座残高や取引履歴の完全性が損なわれると、信頼性に関わる問題が発生します。

  • 顧客の口座情報:機密性(極秘)、完全性(重要)、可用性(即時)
  • マーケティングデータ:機密性(社内限り)、完全性(一般)、可用性(通常)

3.2. 製造業での応用

 製造業では、製品設計図や生産計画などの情報資産が重要です。これらの資産は競争力維持のために高い機密性が求められます。新製品の設計図が漏洩すると、競合他社に不正利用されるリスクがあります。また、正確な生産スケジュールの可用性が失われると、サプライチェーンに重大な影響が出る可能性があります。

  • 新製品の設計図:機密性(極秘)、完全性(重要)、可用性(通常)
  • 生産スケジュール:機密性(社内限り)、完全性(一般)、可用性(即時)

4. 例題

例題1

 ある企業の人事部門が管理する以下の情報資産について、適切な分類を行ってください。

  1. 従業員の給与データ
  2. 採用計画書
  3. 社員研修マニュアル

回答例:

  1. 従業員の給与データ:機密性(極秘)、完全性(重要)、可用性(通常)
    理由:給与データは個人情報であり、機密性が極めて高い。また、誤りがあると給与計算に直接影響するため、完全性も重要。日常的なアクセスは頻繁ではないが、必要時に迅速にアクセス可能であることが求められる。
  2. 採用計画書:機密性(秘)、完全性(一般)、可用性(通常)
    理由:採用計画書は組織内で共有する情報だが、外部には秘匿すべき内容が含まれることがある。内容の正確さは必要だが、日常業務に直結しない。
  3. 社員研修マニュアル:機密性(社内限り)、完全性(一般)、可用性(通常)
    理由:研修マニュアルは社内の教育用資料であり、社外には出さないが、社内の多くの人が参照できるようにする必要がある。

例題2

 ある情報資産の分類結果が「機密性(秘)、完全性(重要)、可用性(即時)」となっています。この情報資産に対して、どのようなセキュリティ対策が適切であるか、3つ挙げてください。

回答例:

  1. アクセス制御:許可された者のみがアクセスできるよう、厳格なアクセス管理を実施する。具体的には、多要素認証や役割ベースのアクセス制御(RBAC)を導入する。
  2. データバックアップ:定期的かつ頻繁にバックアップを取り、データの完全性を確保する。データは暗号化して保存し、アクセス可能な場所に配置する。
  3. 高可用性システム:冗長化やロードバランシングを導入し、システムの可用性を高める。例えば、データセンターの分散やクラウドバックアップを活用する。

5. まとめ

 情報資産の重要性による分類は、組織のセキュリティ戦略の基盤となる重要なプロセスです。機密性、完全性、可用性の観点から情報資産を評価し、適切に分類することで、効果的なセキュリティ対策の実施が可能となります。この分類プロセスを通じて、組織は限られたリソースを最適に配分し、重要な情報資産を適切に保護することができます。さらに、定期的な見直しと更新を行うことで、常に変化するセキュリティ環境に対応し、組織の情報セキュリティ態勢を強化することができます。