情報資産管理 じょうほうしさんかんり
情報資産資産台帳リスク管理ISMS機密性インベントリ
情報資産管理について教えて
簡単に言うとこんな感じ!
会社にある「守るべき情報」を全部リストアップして、どれが大事でどれが危ないかを整理しておく活動だよ。家の防犯対策でいえば、まず「家の中に何がある?」を把握しないと守れないよね。それと同じ!
情報資産管理とは
情報資産(Information Asset) とは、企業や組織が業務を通じて保有・利用する情報のうち、「価値があり、守る必要があるもの」の総称です。顧客データ・契約書・設計図・社内システムのアカウント情報など、形のある書類からデータベースの中身まで幅広く含まれます。
情報資産管理とは、こうした情報資産を「どこに何がある?」「どれくらい重要?」「誰がアクセスできる?」という観点で一覧化・分類し、継続的に把握・維持する活動です。セキュリティ対策の出発点となる最重要プロセスで、「守るものを知らずして守れない」という原則に基づいています。
情報セキュリティの国際規格である ISMS(ISO/IEC 27001) でも、リスク管理の第一歩として情報資産の洗い出しと評価が義務づけられています。システム発注や外部委託の際に取引先から「ISMSを取得していますか?」と聞かれることがありますが、その根幹を支えるのがこの情報資産管理です。
情報資産管理の4ステップ
情報資産管理は、次の4つのフェーズで回していきます。
| ステップ | 内容 | 具体例 |
|---|---|---|
| ① 洗い出し(識別) | 組織が持つ情報資産をすべてリストアップする | 顧客名簿・契約書・バックアップデータ・社内Wiki |
| ② 分類・評価 | 重要度・機密レベルを付与する | 機密/社外秘/社内限/公開 の4分類など |
| ③ リスク評価 | 各資産への脅威・脆弱性を評価する | 「持ち出しリスクが高い」「アクセス制御が弱い」 |
| ④ 管理・維持 | 台帳を更新し続け、対策を実施する | 廃棄記録・アクセスログ監視・棚卸し |
覚え方:「洗・分・リ・管」
「洗い出して、分けて、リスクを見て、管理する」で4ステップを覚えよう。「洗分リ管(せんぶんりかん)」と読むと記憶に残りやすいです。
情報資産の種類
情報資産は「データだけ」ではありません。次のように幅広く分類されます。
| 分類 | 具体例 |
|---|---|
| 電子情報 | データベース・メール・ファイルサーバー上の文書 |
| 紙媒体 | 契約書・設計書・顧客台帳・請求書 |
| ソフトウェア | 業務システム・ライセンス・ソースコード |
| ハードウェア | PC・サーバー・USBメモリ・スマートフォン |
| 人的資産 | 従業員の専門知識・ノウハウ |
| サービス | クラウドサービス・外部委託先のサービス |
歴史と背景
- 1990年代前半:企業の情報化が進むにつれ、「情報も財産だ」という考え方が普及しはじめる
- 1995年:英国規格 BS 7799 が策定。情報セキュリティ管理の体系化が始まる
- 2000年:ISO/IEC 17799 として国際規格化。情報資産の識別がリスク管理の出発点として明確に位置づけられる
- 2005年:ISO/IEC 27001 が制定。ISMS認証制度の国際標準となり、情報資産台帳の作成が認証取得の必須要件に
- 2013年:ISO/IEC 27001:2013 に改訂。クラウドやモバイル環境など現代の資産形態に対応
- 2022年:ISO/IEC 27001:2022 に再改訂。「テクノロジー資産の構成管理」が新たな管理策として追加され、クラウド上の情報資産管理がより重視される
情報資産管理と関連する概念の全体像
情報資産管理は単独で機能するものではなく、リスク管理やセキュリティ対策全体の「土台」として機能します。
情報資産台帳(インベントリ)のサンプル
実務では、Excelやスプレッドシートで次のような台帳を作成します。
┌────────┬──────────────┬──────────┬──────┬──────┬──────────────┐
│ 資産ID │ 資産名 │ 種別 │重要度│機密度│ 管理責任者 │
├────────┼──────────────┼──────────┼──────┼──────┼──────────────┤
│ A-001 │ 顧客マスタDB │ 電子情報 │ 高 │ 機密 │ システム部長 │
│ A-002 │ 契約書(紙) │ 紙媒体 │ 高 │社外秘│ 法務担当 │
│ A-003 │ 社内Wiki │ 電子情報 │ 中 │社内限│ 情報システム │
│ A-004 │ 開発用PC │ ハード │ 中 │社内限│ 開発部長 │
└────────┴──────────────┴──────────┴──────┴──────┴──────────────┘関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| ISO/IEC 27001:2022 | ISMSの国際規格。情報資産の識別・リスク評価を要求 |
| ISO/IEC 27002:2022 | ISMSの実施ガイドライン。資産管理の具体的な管理策を規定 |
| ISO/IEC 27005 | 情報セキュリティリスクマネジメントの規格 |
| NIST SP 800-53 | 米国政府系のセキュリティ管理策カタログ。資産管理が主要ドメインの一つ |
| 経済産業省 サイバーセキュリティ経営ガイドライン | 国内企業向け。情報資産の把握を経営者の重要責務として明記 |
関連用語
- ISMS — 情報セキュリティマネジメントシステム。情報資産管理を含む組織全体のセキュリティ管理体制
- リスクアセスメント — 情報資産ごとの脅威・脆弱性・影響度を評価するプロセス
- 機密性・完全性・可用性 — 情報セキュリティの3大原則(CIA)。資産の重要度評価に使う軸
- アクセス制御 — 情報資産へのアクセス権限を管理する仕組み
- データ分類 — 情報を機密レベルで分類する手法。資産管理の分類ステップに直結