情報資産とは？情報資産のリスク評価や洗い出しについて

情報資産とは、企業や組織が保有している価値のある情報
保有する情報資産のうち、何かしらの対応が必要になる可能性のある情報資産を洗い出す
保護すべき情報資産をカテゴリー別に分類し、価値付け（格付け）する

企業や組織が所有する「顧客の個人情報」、「従業員の人事情報」、「会社の財務情報」のことを“情報資産”といいます。
この情報資産は、悪意のある第三者に狙われてしまえば、顧客の個人情報流出などリスクを追うことになるので、資産価値のある情報は情報セキュリティで保護すべきなのです。

今回の記事では、情報資産とは具体的にどのようなものなのか、この情報資産を守るために具体的にどのような行動を行えば良いのか解説していきます。

情報資産とはどのようなものか
情報資産のリスクアセスメントの流れ
情報資産のリスク評価
- 情報資産価値の評価例
- 情報漏洩の例
まとめ

情報資産とはどのようなものか

企業や組織が収集する情報には、顧客情報(個人情報含む)や製品技術情報等のように情報資産として価値ある情報もあれば、企業の公式Webサイト掲載の所在地や電話番号、拠点情報、製品情報、設備情報などのように情報が公開されており、情報として資産価値の低いものも含まれます。企業・組織にとって資産価値のある情報は、情報セキュリティにおいて保護すべき対象となり、大概の企業では、以下、≪企業／組織が保有する情報資産≫に示す情報資産を保有しています。

≪企業／組織が保有する情報資産≫

生産計画、製品の設計図面・仕様書・部品表・作業手順など製品技術情報
経営や事業計画、新製品情報、情報セキュリティなど戦略情報、企業間契約書類等
企業／組織の経営状況を把握するための財務情報
顧客情報（個人情報含む）顧客名や住所、電話番号、クレジットカード情報、注文履歴、仕入先・販売先等
人事情報（個人情報含む）従業員個人の携帯番号やメールアドレス、自宅住所、採用時の応募情報、給与・昇給・勤怠情報、マイナンバー等
設備機械や施設、車有車など「物理的資産
情報システム、ソフトウェア、社内ネットワーク（サーバー／パソコン、通信機器等）、ＤＢ、ＩＴ技術ノウハウ等
製品ブランドや企業イメージなど「無形資産」

また、情報資産の種類は様々で、分類方法は企業によって異なりますが、一般的に大別すると「情報」と「情報システム」に分類され、「情報」には音声や映像のように「無形資産」と「有形資産」の形で両方に存在するものもあります。

情報資産
情報					情報システム
有形資産		無形資産			ソフトウェア	ハードウェア
紙情報	電子情報（音声・映像含む）	音声	映像	知識	ソフトウェア	ハードウェア
紙媒体	外部記憶媒体	音声	映像	ノウハウ等	業務アプリケーション、クライアントサービス等	ネットワーク機器・情報機器

情報資産のリスクアセスメントの流れ

保有する情報資産のうち、何かしらの対応が必要になる可能性のある情報資産を洗い出します。抽出された情報がリスクアセスメント（リスク分析・評価）の対象となり、機密性・完全性・可用性の観点で対策の有無を検討する情報資産となります。情報資産の特定が済んだら、企業や組織においてどのような形態で情報資産が保管され、利用場所、利用者、どのように管理されているかなど確認し、情報資産管理台帳を作成して、適切に資産管理します。

関連記事：ISO27001におけるリスクアセスメントの流れについて理解しよう

情報資産の洗い出し

情報資産を洗い出す工夫の一つとして、業務フローを可視化してから行うことが挙げられます。実際の業務に沿い、上記に記載した情報資産のリストを確認しつつ行うことで、重要な情報資産が洗い出しから漏れてしまう可能性が減ります。
ただし、すべての情報資産を洗い出さなければならないというわけではありません。日々、組織が保持している情報資産は変わっていくため、現状で守るべき情報資産をピックアップします。そのため、業務フローを確認しながら行うことがおすすめなのです。

情報資産の選別が難しい場合には、その情報資産が漏洩・改ざん・紛失した際に、組織に影響があるのかを考えてみてください。組織に悪影響がある場合には、リストに加えておきます。
その後、その情報の性質や重要度、脆弱性といった観点から分類していくため、洗い出しの時点でその情報の価値を深く考えるのではなく、自社に影響があると考えられるのであれば洗い出しておきましょう。

情報資産管理台帳の管理項目例

業務分類　：人事・経理・営業・調達・共通など
情報資産名：給与ｼｽﾃﾑﾃﾞｰﾀ、請求書控え、ﾒｰﾙﾃﾞｰﾀ、社員名簿、受注契約書等
利用範囲　：部署名、処理担当名など
管理部署／管理責任者：部署名および管理責任者
媒体の種類：書類・電子データなど
保存先：社内サーバー、外部記憶媒体、モバイル機器、クライアントＰＣなど
個人情報の有無：有無
評価値（機密性／完全性／可用性）・重要度：評価値は、「■情報資産価値の評価(例)」より、機密性・完全性・可用性のそれぞれの評価値を入力し、重要度は機密性・完全性・可用性のうち、最も高い値を入力します。
保存期間：文章保管規定など企業・組織の社内規程参照
登録日（更新日）

洗い出した情報資産の価値の分類

洗い出した情報資産の価値を判断し、分類します。
その際、資産として重大な損失につながる顧客情報、経営計画の情報などは資産として極めて価値のある情報となります。一方、四季報やWebページに公開する情報などは、価値の低い情報です。

情報資産のラベリング

価値ある情報として分類した情報はさらにラベル付けをし、評価基準を作成します。例えば、経済的価値のある情報、情報漏えいがあった際に確実に損失がある情報、社会的信用が低下する可能性のある情報、個人情報などがあります。
こうした情報に分けて、その重要度をランク分けします。機密度や秘密度といった指標を設けてください。ランク分けを行うことで、それぞれのランクに合ったセキュリティ対策を立てることができます。また、情報を使用するときにもランクに合わせて有効に活用することが可能になります。

情報資産の脆弱性や脅威の洗い出し

ランク付けした情報資産ごとに、どのような脆弱性や脅威があるかを洗い出します。例えば、「機密性の高い情報に、誰でもアクセスできる」などの状態は、情報セキュリティの対策ができておらず、リスクが高い状態であると言えます。

情報資産のリスク評価

次に保護すべき情報資産をカテゴリー別に分類し、価値付け（格付け）します。分類と価値付けの基準については、政府機関の統一基準や各府省庁の定めるガイドラインを参照ください。

以下に、機密性・完全性・可用性（3要素）の観点から分類・格付けした「情報資産価値の評価例」を掲載しました。情報資産が３要素を確保できなかった場合に、当該事業への影響度について情報資産価値の評価例を利用して段階的評価をします。

※「重要度評価」は４段階評価を採用、重要度評価の数値が大きい程、価値の高い情報資産であることを示しています。

情報資産価値の評価例

重要度評価	判断基準	レベル付け
機密性（アクセス権限付与者のみアクセス可）	4 漏えいした場合、取引先・顧客への影響が大きい。あるいは経営に深刻な影響がある。	極秘
	3 漏えいした場合、当該事業への影響が大きい	部外秘
	2 漏えいした場合、当該事業への影響は殆どない	秘
	1 漏えいした場合、当該事業への影響なし	一般公開
完全性（情報や情報ｼｽﾃﾑが正確で完全である）	4 改ざんされた場合、取引先・顧客への影響が大きい。あるいは経営に深刻な影響がある。	－
	3 改ざんされた場合、当該事業への影響は大きい	－
	2 改ざんされた場合、当該事業への影響は殆どない	－
	1 改ざんされた場合、当該事業への影響なし	－
可用性（アクセス権限付与者が必要時にいつでも情報資産にアクセス可）	4 利用停止の場合、取引先・顧客への影響が大きい。あるいは経営に深刻な影響がある。	－
	3 利用停止の場合、当該事業への影響は大きい	－
	2 利用停止の場合、当該事業への影響は殆どない	－

情報漏洩の例

情報漏洩の事例の多くは、以下の3つに分類されます。
まず、人為的なミスによるものです。仕事で使用しているHDDやUSBなどを電車などに置き忘れる、メールアドレスやFAXを間違えて送信するといったものです。この場合、他社との連絡における社内ルールを決める、信用できるクラウドサービスを利用するなどの対策を取ることができるでしょう。

次に、外部攻撃によるものです。不正アクセスやサイバー攻撃などが挙げられます。使用しているIDやパスワードが簡易的なものになっていないか、使い回していないかといった点や、ソフトウェアは最新バージョンにアップデートされているかといった点についてはすぐに管理できる点と言えます。

最後に、内部の犯行によるものです。組織内部の人間が故意に情報を流出させる事例が挙げられます。機密情報へのアクセス管理など全社的な管理体制を確認することが必要になるでしょう。

まとめ

企業・組織が取り扱う情報資産には、資産価値の低い情報資産もあれば顧客情報(個人情報含む)や製品技術情報のように価値のある情報資産もあります。まずは、①保有するすべての情報資産を洗い出し、②その中から保護すべき情報資産を特定します。その際、②で特定した情報資産に対し、③情報資産価値の評価（分類と格付け）まで考慮することで、その後のプロセス(PDCAサイクル)運用が効率的に行えるでしょう。