情報資産とは？関連脅威や管理の方法、ISMSとの関係などについて解説

情報資産とは、企業/組織などで保有している情報全般や、その情報を格納する機器類などのことを言います。「サイバー攻撃」や「情報漏洩」といった言葉がニュースなどで頻繁に聞かれるようになっている今、組織にとって情報資産を把握し、適切に管理することは非常に重要です。本記事ではまず、情報資産とは何かについて具体例を交えて説明し、情報資産に関わるリスクや脅威、管理が重要な理由、適切な管理方法などについて解説します。

情報資産とは？概要を簡単に

情報資産とは、簡単に言うと企業や組織などで保有している情報全般のことです。また、情報やデータ自体に加えて、データが保存されているPCやサーバーなどの機器、SDカードやUSBメモリなどの記録媒体、そして紙の資料なども情報資産に含まれます。

情報資産の具体例

• 組織が保有する情報：顧客情報、人事情報、財務情報、技術情報、販売情報など。
• 情報が記載されたEメールや電子ファイルなどのデータ：顧客とやり取りしたEメール、従業員の履歴書の電子データなど。
• データや情報を扱うためのハードウェア：PC、スマートフォン、サーバー、ネットワーク機器など。
• データや情報の記録媒体：CD-ROM、USBメモリ、SDカードなど。
• 紙の資料
• 開発に関する資料：要件定義書やソースコードなど

など

情報資産と個人情報の違い

情報資産と混同されがちなものに「個人情報」がありますが、個人情報が生存する個人に関する情報に限定されるのに対し、情報資産は上述の通り多様な情報や機器などを指しています。つまり、情報資産の方がより広い概念であると考えることができます。

一方で個人情報は、組織が保有しているものであれば情報資産に含まれます。したがって、「個人情報は情報資産の一部である」とは言えるかもしれませんが、「情報資産とは個人情報のことである」というのは必ずしも正確ではありません。

なお個人情報とは、「生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報」のことです。この定義に該当する情報であれば、顧客の情報だけでなく従業員の情報も個人情報とみなされます。その機密性や漏洩時の影響の大きさ（※）などから、個人情報は情報資産の中でも特に重要度が高いです。

＜個人情報に該当する情報＞

※個人情報漏洩の原因や実際の事例、対策などについては以下の記事で詳しく解説しています：

情報資産管理の重要性

日々のニュースなどを見ても実感できるように、情報漏洩などの情報セキュリティ事故（インシデント）は近年多発しています。インシデントを起こした企業は、復旧費用や調査費用をはじめとする経済的損失を被るだけでなく、対応に伴う人的コストの発生、顧客や取引先からの信頼低下、企業イメージの悪化など、多大なダメージに苦しむことになる恐れがあります。

こうした事態を防ぐため、情報資産を適切に管理してインシデントが発生しないようにすること、また発生したとしても被害を最小限に抑えられるように備えておくことが重要になります。

情報資産に関連するリスクや脅威

では、管理が適切になされていない情報資産にはどのような危険が及び得るのでしょうか？情報資産に関連する主なリスクや脅威を以下に挙げました。

漏洩

不正アクセスやマルウェアなどのサイバー攻撃、内部犯による持ち出し、記録媒体の紛失や盗難といった脅威は、情報資産の漏洩を招く恐れがあります。また、不注意によるWebサイトなどへの誤公開、メールの誤送信、公開範囲の誤設定といった人為的なミスも、漏洩の原因になり得ます。

喪失/破壊

情報資産には外部へ流出する、つまり漏洩してしまうリスクがあるだけでなく、資産そのものが失われてしまうというリスクもあります。その原因となり得る脅威としては、ランサムウェアによる暗号化、マルウェアによるデータ破壊、機器の故障によるデータ喪失、火災や地震などの天災による機器の物理的な破損といったものが挙げられます。

改ざん

例えばWebサイトは組織にとって情報資産の一部ですが、これを改ざんされると、サイトの外観や内容を書き換えられたり、不正なプログラムを設置されたりすることに繋がります。また、通販サイトなどを標的とする攻撃者は、不正アクセスによりペイメントアプリケーションを改ざんすることがあります。この結果、クレジットカード情報などが漏洩する恐れがあります。

サービス妨害

後述する「情報資産の可用性」に影響を与えるような、DoS攻撃やDDoS攻撃といったサービスの運用を妨害するような攻撃も、情報資産を脅かす脅威であると言えます。

情報セキュリティの基本＝情報資産の機密性、完全性、可用性を守ること

そもそも総務省は、「企業や組織における情報セキュリティとは、企業や組織の情報資産を『機密性』、『完全性』、『可用性』に関する脅威から保護すること」であると定義しています。これを噛み砕いて考えると、情報資産を洗い出し、各資産ごとに機密性、完全性、可用性を考慮して重要度の評価を行ってリスクや脆弱性を特定し、それに応じた対策を講じるというのが情報セキュリティ対策の基本であると言えます。

＜機密性、完全性、可用性＞

情報資産の管理方法

情報資産の管理は、大きく分けて以下の4つのステップで行われるのが一般的です。

①情報資産の洗い出し

情報資産を管理するためにはまず、自組織がどんな資産を保有しているかを把握しなければなりません。業務で使用している電子データや書類などを一通り洗い出します。

②情報資産管理台帳（目録）の作成

洗い出した情報資産は、「情報資産管理台帳」と呼ばれる目録に一覧化してまとめます。この台帳は、情報資産を「見える化」するための方法の1つです。

＜記入項目の例＞

（IPAのサンプルを参考に作成）

③機密性・完全性・可用性に応じた重要度の判断

台帳に記入した資産それぞれについて、機密性、完全性、可用性を評価し、その評価をもとに重要度を判断します。これは、優先的に保護策やセキュリティ対策を講じなければならない資産を特定するために大切な工程です。

＜機密性、完全性、可用性の評価基準の例（IPA）＞

（IPA「中小企業の情報セキュリティ対策ガイドライン（第3.1版）」を参考に作成）

＜重要度判断基準の例（IPA）＞

（IPA「中小企業の情報セキュリティ対策ガイドライン（第3.1版）」を参考に作成）

情報資産の分類

IPAは、機密性に応じて情報資産を以下の3種類に分類する方法を紹介しています。

①極秘

②社外秘

③公開

また先ほど紹介したように、重要度に応じて分類するという方法もあります。このように情報資産を分類しておくと、情報資産管理台帳への記入時や、取り扱いルールの決定時に役立つ場合があります。

④リスク分析と対策の特定

各資産についてどのようなリスクが想定されるのかを評価・分析します。また、リスクありと判断された資産について、被害が発生した場合の影響範囲や度合い、想定される被害発生の確率や頻度、復旧に要するであろう推定時間などについて評価します（※）。このようにリスクを特定・分析することにより、被害を防ぐために必要なセキュリティ対策を特定していきます。

※IPAの「中小企業の情報セキュリティ対策ガイドライン（第3.1版）」では、より詳しいリスク分析やリスク値算定の方法が紹介されていますので、こちらも併せてご覧ください。

セキュリティ対策の例

✔️不正アクセス対策の例

• 多要素認証の導入
• ファイアウォールの設置
• 通信の暗号化　など

関連記事：不正アクセスとは？事例や対策を関連法と併せて解説

✔️マルウェア対策の例

• マルウェア対策ソフトの利用
• 従業員へのセキュリティ教育　など

✔️情報資産に関するルールの整備

• 管理責任者の指定
• 分類や重要度に応じた利用可能者の指定
• 社外持ち出し時の規定（暗号化やセキュリティロック等）
• 記録媒体の廃棄・再利用ルール
• バックアップ取得の取り決め　など

情報資産管理台帳のサンプル（IPA）

先ほど触れた情報資産管理台帳ですが、どんなものなのかイメージが湧きにくいという場合は、IPAやJNSAが提供しているものをサンプルとして参照することも可能です。

• IPAのサンプル：「中小企業の情報セキュリティ対策ガイドライン」というページから「付録7：リスク分析シート（全7シート）(Excel:98 KB)」という資料をダウンロードすると、「情報資産管理台帳」というシートでサンプルを確認できます。また、「台帳記入例」というシートもあり、実際に記入する際の参考になります。

ISMSにおける情報資産管理

情報資産管理はどんな組織にとっても重要ですが、情報セキュリティに関する認証であるISMS認証を取得する場合は特に、重点的な取り組みが求められます。ISMSの取得に必要な要求事項を定めた国際規格ISO/IEC 27001（日本版：JIS Q 27001）には、ISMS構築において実施すべき管理策が記載されていますが、これには、以下のような情報資産に関する管理策がいくつか含まれています。

＜情報資産管理に関連するISMSの主な管理策＞

【5.9 情報及びその他の関連資産の目録】

「情報及びその他の関連資産の目録を、それぞれの管理責任者を含めて作成し、維持しなければならない」

【5.10 情報及びその他の関連資産の利用の許容範囲】

「情報及びその他の関連資産の許容される利用に関する規則及び取扱手順は、明確にし、文書化し、実施しなければならない」

【5.12 情報の分類】

「情報は、機密性、完全性、可用性及び関連する利害関係者の要求事項に基づく組織の情報セキュリティのニーズに従って、分類しなければならない」

※なおISMSの規格では「情報資産」という用語は使われておらず、上記の通り「情報及びその他の関連資産」という表現が採用されています。

このほか、ISMS認証やISO/IEC 27001について詳しくは以下の記事で解説しています：

最後に

自組織の情報資産を守ることは、情報セキュリティの基本となります。 先ほど紹介したIPAやJNSAのサンプル等の公開資料なども上手く活用しながら、適切な情報資産管理を行いましょう。

またISMS認証の取得を目指す企業の場合は特に、情報資産管理台帳の作成やリスク評価といった工程が重要になります。自社のみで取り組むのが不安な場合には、外部のセキュリティ会社などのコンサルサービスを利用するのがお勧めです。

弊社マキナレコードでも、ISMS認証などのセキュリティ認証取得をお手伝いしています。ISMS認証だけでなく、ISMSクラウドセキュリティ認証（ISO 27017）やプライバシーマークの取得もご支援いたします。サービスについて詳しくは、弊社ホームページをご覧ください。