企業のセキュリティ対策の基礎となる「資産」とは
セキュリティを高めたい
先生、「情報セキュリティにおける資産」って、具体的にどんなものを指すんですか?パソコンやスマホのことですか?
情報セキュリティ専門家
良い質問だね!パソコンやスマホも情報セキュリティの資産に含まれるけど、それだけじゃないんだ。組織にとって価値のあるもの全てが資産になるんだよ。例えば、顧客の情報や会社の重要な書類、プログラムなども資産になるんだ。
セキュリティを高めたい
なるほど!顧客情報や書類も資産になるんですね。でも、なんでそれが情報セキュリティと関係があるんですか?
情報セキュリティ専門家
それはね、これらの資産が悪意のある人に盗まれたり、壊されたりしたら、その組織は大きな損害を受けてしまうからなんだ。だから、情報セキュリティは、これらの大切な資産を守るために必要なんだよ。
資産とは。
「情報セキュリティ」の分野で「資産」と言ったら、それは会社にとって大切なものを指します。どのようなセキュリティ対策を講じるか、どのような基準を設けるかは、守るべきものが何なのかによって変わってきます。ですから、何を守らなければならないのかを明確にし、その重要度や状況に合わせて適切に管理していくことが非常に大切です。例えば、コンピューターやシステム、ソフトウェアといったものが「資産」に当たります。会社は、まずどんなものが「資産」に当たるのかを洗い出し、一覧表を作成します。そして、それぞれの「資産」の責任者を決めて、どれくらい重要なのかを判断します。その上で、どのように守っていくのかを決め、その対策がしっかり機能しているのかを定期的に確認します。このように、「資産」を適切に守るためには、決まった手順に沿って管理していくことが重要です。もし、「資産」が何なのか把握できていなかったり、適切に管理されていなかったりすると、会社が把握していないところで勝手にシステムが使われてしまう「シャドーIT」といった問題が発生し、セキュリティ対策が全く意味をなさなくなってしまう危険性があります。例えば、会社が従業員の使うパソコンに対してセキュリティ対策を施したとしても、部署が独自にパソコンを導入していた場合、攻撃者はこの管理されていないパソコンを突破口として、簡単に攻撃を仕掛けてくる可能性があります。
守るべきもの、それが資産
情報保護の取り組みを始めるにあたって、最も重要な第一歩は「何を保護すべきか」を明確にすることです。企業にとって守るべき価値のあるもの、それがすなわち「資産」です。 顧客情報や売上データ、独自の製造技術、重要な取引先との契約内容など、企業の事業活動や競争上の強みを支えるあらゆるものが資産となりえます。これらの資産は、形のない情報として存在する場合もあれば、機器や書類のような形のあるものとして存在する場合もあります。
情報保護の取り組みは、まさにこれらの貴重な資産を様々な脅威から守るための活動と言えるでしょう。脅威は、外部からの不正アクセスやサイバー攻撃、内部関係者による情報漏えい、災害や事故によるデータ消失など、様々な形で企業に損害をもたらす可能性があります。
そのため、自社の資産を洗い出し、それぞれの資産の重要度や抱えるリスクを分析することが重要です。その上で、限られた資源を有効活用するために、どの資産にどのような対策を講じるべきかを検討していく必要があります。
項目 | 説明 |
---|---|
保護対象 | 企業にとって価値のある「資産」 -顧客情報、売上データ、製造技術、契約内容など -情報、機器、書類など |
脅威 | -外部からの不正アクセス、サイバー攻撃 -内部関係者による情報漏えい -災害や事故によるデータ消失 |
対策 | -資産の洗い出しと重要度、リスクの分析 -分析結果に基づいた、適切な対策の実施 |
多種多様な資産とその例
企業がその活動を行う上で、価値を生み出すために必要なもの、それが資産です。資産は大きく「情報資産」「物理的資産」「人的資産」の3つに分類されます。
まず「情報資産」ですが、これは文字通り情報そのものに価値があるものを指します。顧客の氏名や住所、購入履歴などの顧客データや、製品の設計図、製造方法などが挙げられます。また、企業の財務状況や、今後の事業計画といった経営に関わる情報も、情報資産に含まれます。これらの情報は、外部に漏洩した場合、企業の信用を失墜させたり、競争力を低下させたりする可能性があるため、厳重に保護する必要があります。
次に「物理的資産」ですが、こちらは情報システムを構成する機器や、オフィス、工場など形のあるものを指します。具体的には、コンピュータやサーバ、ネットワーク機器などの他に、建物や設備なども含まれます。これらの物理的資産が損壊した場合、事業活動が停止するだけでなく、情報資産が漏洩するリスクも高まります。そのため、災害対策やセキュリティ対策を講じておくことが重要になります。
最後に「人的資産」ですが、これは企業活動に関わる「人」すべてを指します。社員はもちろんのこと、顧客や取引先、株主なども人的資産に含まれます。社員のスキルや知識、経験は企業にとって重要な資産です。また、顧客との良好な関係や、取引先との信頼関係も、企業の成長には欠かせません。これらの人的資産を最大限に活かすため、社員教育や人材育成、顧客満足度向上のための取り組みなどが重要になります。
資産の種類 | 説明 | 具体例 | リスク | 対策 |
---|---|---|---|---|
情報資産 | 情報そのものに価値があるもの | 顧客データ、設計図、製造方法、財務状況、事業計画 | 情報漏洩による信用失墜、競争力低下 | 厳重な情報管理、セキュリティ対策 |
物理的資産 | 情報システムを構成する機器や、オフィス、工場など形のあるもの | コンピュータ、サーバ、ネットワーク機器、建物、設備 | 事業活動の停止、情報資産の漏洩 | 災害対策、セキュリティ対策 |
人的資産 | 企業活動に関わる「人」すべて | 社員、顧客、取引先、株主 | スキルや知識、経験の不足、顧客や取引先との関係悪化 | 社員教育、人材育成、顧客満足度向上のための取り組み |
資産の洗い出しと重要度の評価
あらゆる組織にとって、情報資産は事業の要であり、その安全を確保することは最優先事項です。しかし、情報資産は多岐にわたり、その重要度も様々であるため、一律な対策では効果が期待できません。そのため、適切なセキュリティ対策を講じるためには、まず自社が保有する情報資産をくまなく特定し、一覧化する「資産の洗い出し」が不可欠です。
資産の洗い出しでは、パソコンやサーバーなどの機器だけでなく、顧客情報や設計図、財務諸表といった電子データ、さらには紙媒体の書類や従業員の知識・経験といった無形資産まで、あらゆるものを対象に含める必要があります。
洗い出した資産は、事業への影響度や、漏洩した場合の損害額などを基準に、重要度を評価します。例えば、顧客情報データベースは事業の根幹に関わるため重要度が非常に高く、機密情報を含む契約書も高い重要度が想定されます。一方で、社内業務用の資料など、公開されても事業に大きな影響を与えない情報は、比較的低い重要度と判断できます。
このようにして資産の重要度を明確化することで、限られた資源を有効活用し、本当に守るべき情報資産に重点を置いた、効率的かつ効果的なセキュリティ対策を講じることが可能になります。
情報資産の種類 | 例 | 重要度 | セキュリティ対策 |
---|---|---|---|
機器 | パソコン、サーバー | – | – |
電子データ | 顧客情報、設計図、財務諸表 | 高 | 強固なアクセス制御、暗号化 |
紙媒体 | 契約書 | 高 | 厳重な保管、アクセス制限 |
無形資産 | 従業員の知識・経験 | – | – |
社内資料 | – | 低 | 適切なアクセス管理 |
資産のライフサイクル管理
情報資産を安全に守るためには、その資産が生まれてから姿を消すまでの過程全体を適切に管理することが欠かせません。この一連の流れを「資産のライフサイクル管理」と呼びます。
まず初めに、守るべき対象を明確にする必要があります。具体的には、パソコンやサーバー機器、ソフトウェア、重要な書類やデータなど、組織にとって価値のある情報資産を全て洗い出し、それぞれに識別番号を付けて台帳に記録します。この時、情報資産の種類や保管場所、利用者などを合わせて記録しておくことで、後の管理が容易になります。
次に、各情報資産に責任者を設定します。誰がどの情報資産を管理し、誰が利用しているかを明確にすることで、責任を持って情報資産を扱うことができます。そして、情報資産の重要度に応じて、アクセスできる人を制限したり、パスワードを設定したりするなど、適切なセキュリティ対策を講じることが重要です。例えば、極めて重要な情報資産には、複数の認証を組み合わせた強固なアクセス制御を適用するなど、厳重なセキュリティ対策が必要です。
情報資産は、いつまでも使い続けるわけではありません。不要になった情報資産は、適切な方法で廃棄する必要があります。廃棄する際には、情報漏えいのリスクを考慮し、データの消去や物理的な破壊など、安全な方法を選択しなければなりません。
このように、情報資産のライフサイクル全体を通して、適切なセキュリティ対策を継続的に実施することが、組織の大切な情報資産を守る上で非常に重要です。
段階 | 説明 | 具体的な対策 |
---|---|---|
情報資産の特定と棚卸し | 保護対象を明確にするために、組織内の情報資産を全て洗い出し、台帳に記録する。 |
|
責任者の設定 | 各情報資産の管理者と利用者を明確にする。 | 情報資産ごとに責任者を割り当て、責任を持って管理運用させる。 |
セキュリティ対策の実施 | 情報資産の重要度に応じた適切なセキュリティ対策を講じる。 |
|
廃棄 | 不要になった情報資産を適切な方法で廃棄する。 |
|
適切な管理の重要性:シャドーITの脅威
情報システムの安全性を確保するには、企業が所有する機器やソフトウェアをきちんと管理することが非常に重要です。しかし、現状は必ずしもそうなっていないケースも見られ、思わぬところに危険が潜んでいることがあります。
近年、問題視されている「シャドーIT」もその一つです。これは、社員が会社の許可を得ずに、私物のパソコン、スマートフォン、ソフトウェアなどを業務で使用することを指します。許可を得ていないということは、会社の管理下にない機器やソフトウェアが業務に利用されていることとなり、そこにセキュリティ上の大きなリスクが潜んでいると言えるでしょう。
例えば、会社のセキュリティ対策が施されていない私物のパソコンを業務で使用した場合、ウイルス感染や情報漏えいのリスクが高まります。また、業務内容によっては、特定のソフトウェアの使用が禁止されている場合もあるでしょう。社員が会社の許可なく、そうしたソフトウェアを私物の機器にインストールして使用すれば、意図せず情報漏えいやコンプライアンス違反を引き起こす可能性もあります。
このような事態を防ぐためにも、企業は、今一度、自社の資産管理体制を見直し、適切な管理体制を構築することが重要です。具体的には、社員に対して、私物の機器やソフトウェアの業務利用に関する明確なルールを定め、周知徹底を図る必要があります。また、ヘルプデスクを設置するなどして、社員が安全なIT環境を気軽に相談できる体制を構築することも重要です。
問題点 | リスク | 対策 |
---|---|---|
シャドーIT:社員が会社の許可を得ずに、私物のパソコン、スマートフォン、ソフトウェアなどを業務で使用すること。 | ・ウイルス感染や情報漏えいのリスク ・意図せず情報漏えいやコンプライアンス違反を引き起こす可能性 |
・社員に対して、私物の機器やソフトウェアの業務利用に関する明確なルールを定め、周知徹底を図る。 ・ヘルプデスクを設置するなどして、社員が安全なIT環境を気軽に相談できる体制を構築する。 |