現役ハッカーが教える情報セキュリティ入門 第3回~情報資産とは? 情報資産の洗い出しから分類・管理の仕方を解説~
企業においてセキュリティを確保することは非常に重要な施策になっています。
政府からのレポートや方針を確認していても「重大な経営リスク」や「経営者が責任をもって行う」など会社として組織として行っていく項目として扱われています。
実際近年では情報セキュリティに関するインシデントが増加しています。ランサムウェアといったウイルスへの感染、不正アクセスによる情報流出、内部犯行による機密情報の持ち出し、人的ミスによる情報流出など事例を挙げていくとキリがありません。ある調査によると「2020年情報セキュリティに関連するインシデントを日本国内全体の4分の3の企業・組織が経験した。」というものも発表されています。
高度な情報化社会となっている現代では「情報」は非常に重要なものになっています。会社・組織においては経営・営業活動を行う上で重要な指針にも武器にもなります。重要な情報をどれだけ多く保有し活用出来るかがこれからの会社存続・拡大において大切になります。個人においては誰が何を買ったかからどんな病気に罹患したことがあるのか、何に対して興味を示してるのか、など多くの事を情報から読み解くことが出来る世の中になっています。
このような観点からに情報を守るためにセキュリティを確保するという事は非常に重要なものなっていると言えるでしょう。
しかし、セキュリティの確保は一人で出来ません。そして一朝一夕で出来るものでもありません。一人一人が「情報セキュリティとは何なのか」「なぜ行うのか」と言ったことをしっかりと把握しておかなければいけません。そして長い時間をかけて確保していくものになります。
そこで、「現役ハッカーが教える情報セキュリティ入門」と題して情報セキュリティについてITの知識が乏しい方や初心者の方、新社会人の方、会社の情報セキュリティ担当になった方などにも分かるように簡単に解説していきます。
第2回では「情報セキュリティ対策」と「サイバーセキュリティ対策」の語句が持つ意味の違いについて説明させていただきました。
第3回の今回は「情報資産」についてお話していきましょう。
※現役ハッカーが教える情報セキュリティ入門 第1回 ~情報セキュリティはなぜ必要??~
※現役ハッカーが教える情報セキュリティ入門 第2回 ~「情報セキュリティ」と「サイバーセキュリティ」の違いは??~
情報資産とは?? 一覧から見る身近な情報資産
情報セキュリティにおいて何を保護するのか考えたことはありますか?
会社・組織などを運営していくためには「ヒト」「モノ」「カネ」に加えて「情報」も守っていく必要があります。
例えば、企業・組織で取り扱う情報には、顧客情報や従業員の個人情報、設計書や会計情報などがあり、これらを「情報資産」と呼びます。企業・組織には多くの情報資産がありますが、コンピュータで取り扱うものだけではなく、紙や人の記憶などに保存されている内容もあります。
そこで、それらを分類し、管理担当者を任命して、適切に保護しなければなりません。担当者が責任をもって管理していないと、取引先や顧客から預かっている情報が適切に管理されない可能性があります。
情報資産をなぜ把握しなければいけないのか?情報セキュリティ対策の第1歩!!
組織・会社・個人関係なく情報セキュリティ対策を考える際に何を守るのか・守る物がどこにあるのかを把握することは非常の重要な事です。
守る物・場所を把握せずに対策を講じても適切な対策とは言えません。そして、予算やリソースを無駄に浪費するだけの表面的で効果のない対策になってしまいます。
情報セキュリティ対策を実施する際に第一に行うべき項目は自組織がどのような情報資産をどれだけ・どこに有しているのかを把握する事です。
資産一つ一つによって守り方・管理の仕方が異なります。それらに適した対策の方法があります。一括で守る事は到底無理な話であり、そのような便利なソフトは存在しません。
情報資産を把握することは対策を始める第1歩だと考えてください。適切な手順で対応を行うことで予算やリソースを有効に活用できるはずです。
また、情報資産を洗い出し、把握する事は万が一インシデントが発生した際にどの情報がどれだけ漏洩したかを適切に把握する事に役立ちます。また、早い段階でインシデントの拡大を抑える事が出来るだけでなく、なぜインシデントが発生してのかを究明するのに役立ちます。
情報資産を適切に把握する事により無駄なく情報セキュリティ対策を行うことが出来、インシデントが発生した際は適切な対処を瞬時に行う事が出来るようになります。
情報資産の洗い出しの方法は??
情報資産とは何かを上記で確認していきました。
情報資産にどのような物があるのかを理解したところで、どのようにしてそれら情報資産を探していけばよいのでしょうか?
いわゆる「情報資産の洗い出し」の方法です。
この「情報資産の洗い出し」の作業において私が重宝しているツールがIPA(独立行政法人情報処理推進機構)が配布している「リスク分析シート」内に付属している「情報資産管理台帳」です。
この「情報資産管理台帳」を作成するために情報資産の洗い出しを行っていきます。
日々の業務を振り返りながら情報資産を洗い出す方法
情報資産を洗い出しうえで大切なのは日々の業務でどのようなことを行っているのかを考えるという事です。
例えば、顧客や取引先と電話・メール・ラインなどで連絡を取る。顧客情報を利用して、マーケディングを行う。社内技術を応用して商品を開発する。働いている社員の人事を考える。など日々の業務では多くの情報資産を利用しています。
そのため、日々どのような情報を利用して業務を行っているのかを考えることで情報資産を容易に洗い出すことが出来ます。
一言で情報資産台帳を作成すると言いましたが簡単には完成しません。逆に情報資産台帳は永遠に完成しません。なぜなら会社運営を行っていくと必ず情報資産が追加されていくからです。ですので、一度情報資産台帳を作成させたから良いという訳ではありません。
各部署ごとに洗い出しを行ってもらう方法
日々の業務は部署によって異なります。つまりは触れる情報資産も違うという事です。
その為、情報資産の洗い出しを行う際には各部署ごとに取りまとめてもらうことで細かな情報資産台帳の作成を行う事が可能になるでしょう。
しかし、この方法には落とし穴が存在しています。それは情報資産に対する知識がない故の情報資産の見落としです。また、作業を行う時間がないと部署によっては拒否されてしまう可能性があるというです。
情報資産の見落としに対する解決策としては、①情報セキュリティ教育によって情報資産について正しく理解してもらう。②情報セキュリティ対策を担う部署で情報資産が正しく洗い出せているかをチェックする。
この2点を行う事で情報資産の見落としという落とし穴は解決することが出来るでしょう。
部署によって拒否されるという落とし穴は経営者や上役への報告やトップダウンで情報セキュリティ対策を行うことで解消できるのではないでしょうか。
情報資産の保存場所を明確にする
情報資産の洗い出しが出来たら次に行う事はその洗い出された情報資産がどこに保存されているのか、どこに保存しなければいけないのかを明確にすることです。
IPAが提供している「情報資産管理台帳」では媒体・保存先として書類・可搬電子媒体・事務所PC・モバイル機器・社内サーバー・社外サーバーが選択できるようになっています。
しかし、この選択肢では少し不十分だと感じています。
例えば、書類での保存であればその書類をどこに保管するのか、可搬電子媒体であれば私物の持ち込みが可能であるのかなど詳細が抜けています。ただ、保存先を明記しているに過ぎません。
その為、私の業務では「情報資産管理台帳」に別紙で詳細な保管場所や可搬電子媒体・モバイル機器に関する規定を明記しています。(社内の情報セキュリティポリシーなどに持ち込み等の記載があればそれを記載。)
可能であればより細かなところまで保存場所は明記したほうが良い考えています。
※可搬電子媒体とはUSBなどを指します。
情報資産の管理方法
情報資産の洗い出し・保存場所を明確に行うことができたら、次は情報資産の管理の仕方が重要になってきます。
管理とは・・・良い状態をたんつように処置すること。財産の保存・利用・改良を計ること。(「広辞苑」より)
情報資産を管理するで情報資産を適切に安全に利用することができます。では、どのように管理していけばよいかを考えていきましょう。
情報資産の棚卸しを実施する
日々の業務を行っている際に在庫状況などの確認するために棚卸しを行うことは多いのではないでしょうか?
それらと同じように情報資産に対しても棚卸しを行うという管理方法は有効です。
簡単な例を挙げると社内で使用しているUSBの紛失がないかを毎週もしくは毎日終業時にチェックする。社内用情報端末(スマホなど)が確実にあるかどうかのチェックを行います。
紙媒体で保存されている書類に対しても規定されている保存場所以外に存在していないかを確認する事で紛失・流出に対して敏感に反応することが出来るようになります。
棚卸しを行う事で情報資産管理台帳で明確にした保存場所が的確ではないといった事例も確認する事が出来、改善していきことで、業務と情報セキュリティ対策のバランスをうまく保てるようになり効率よく対策を行える環境になっていくはずです。
情報セキュリティ監査を行う
情報セキュリティ監査を行うで強権を発動して情報資産の利用・保存が適切になされているのかを確認するのは有効です。
普段の棚卸しで問題がないように見えて第3者の目で見ると問題だらけといったことは多く存在しています。
自分たちだけでは見落としがちな問題を監査を通して炙り出すことは非常に有効です。
電子媒体に対するバックアップの確認
電子媒体。事務用のPCや社内サーバー・社外サーバーなどに保存している情報資産に対しては適切にバックアップが行われているのかを確認する必要があります。
突然パソコンが使えなくなる。サーバーが落ちる。などといった事例に早急に対応できる体制を整えておくことも情報資産を管理する上では非常に大切なことになります。
また、ウイルスやランサムウェアといった攻撃からの復旧もスムーズに行うことが出来るようになります。
バックアップを常日頃から適切に取得しておくことで大切な情報を守ることが出来るでしょう。
電子媒体のログの取得・確認
電子媒体に保存されている情報資産に対して操作が行われてたログの取得・確認を行う必要があります。
一見、情報資産の管理には無関係そうなログの取得・確認。
ですが、電子媒体に保存されているデータに対してどのような操作が行われたのかを管理することは非常に重要です。
内部犯行による情報の改ざんや持ち出しを抑制することが出来ます。また、万が一内部犯行が発生した場合にどのデータをどれだけ持ち出されたのかといった追跡調査を容易に行う事が出来るようになります。
また、ログを日ごろから確認することで情報資産の流れを明確にすることもできるようになるでしょう。
情報資産管理台帳のアップグレード
情報資産は常に増減していきます。そして、管理場所が変更にされることも多くあります。
そのような情報資産の増減・管理方法・場所の変更が発生して際には迅速に情報資産管理台帳に対する変更を行わなければいけません。
そして、この変更は対象の情報資産だけでなく関連した情報資産すべてに対して行う必要があるでしょう。変更に伴い関連した資産も変更されるのか検証が必要でしょう。
また、一定期間(1年スパン)で情報資産管理台帳の全てに対しての確認作業を実施することで常に精度の高い情報資産管理台帳にしておくことが出来ます。
情報資産管理台帳をそのままにせずアップデートしていく。非常に大切な管理方法です。
まとめ
情報資産の洗い出しの最終目標は情報資産管理台帳を作成することです。
そして、情報資産管理台帳の最終目標は情報の漏洩を防ぐ、万が一漏洩しても拡大させないための環境作りです。
つまりは情報資産管理台帳を作成しても、情報資産を的確に管理・保存・活用しなければ意味がありません。情報資産管理台帳を作成しただけ満足してはいけません。ここからが情報セキュリティ対策の始まりです。
意外と面倒くさいて難しい情報資産の洗い出しと管理ですが情報セキュリティ対策を適切に行う上では非常に大切なことです。このような地道な環境づくりが堅牢な情報セキュリティを構築するうえで大切なことです。上辺だけの情報セキュリティ対策とは言わせないように頑張りましょう。
次回は情報セキュリティにおける脅威とリスクについてお話していきます。
今回の情報資産の洗い出しで活用した「情報資産管理台帳」のURLを下記に記載しておきますのでご活用ください。(ファイルデータになりますのでクリックすると端末へのダウンロードが始まります。)
https://www.ipa.go.jp/files/000055518.xlsx
※業務で使用している情報資産管理台帳も下記に添付しておくのでご活用ください。
