情報資産とセキュリティ

情報漏えいインシデント、ネットワーク停止インシデント、業務システム停止インシデントなどのニュースを聞かない日がない毎日が続いております。
さまざまなインシデントによって、企業や組織にはどのような影響があるのでしょうか。
情報が取扱いできなくなることや情報が漏れてしまうことが根本原因で、内部においても外部へ多大な影響を及ぼしてしまいます。

情報セキュリティとは、情報に対して「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を維持していくことです。
今回のコラムでは、情報資産管理における3つのポイントをまとめます。

情報を資産としてとらえること

企業における資産とは、ヒト・モノ・カネを言われていますが、ITの活用が必須の現在では情報も資産のひとつです。
資産ということは、何があるのか、どこにあるのか、誰が(どの部門が)管理しているのか、を明確にしておく必要があります。
ヒトの管理のための人事台帳、モノの管理のための固定資産台帳、カネの管理のための会計資料などがあるように、情報についても情報資産管理台帳を作成しておくとよいでしょう。
資産台帳は一度作成したら終わりではありません。
定期的(1回/年をお勧めします。)な棚卸しを行うことが理想です。

情報資産管理台帳については、IPA 中小企業の情報セキュリティ対策ガイドラインの付録7にある「リスク分析シート」の利用をお勧めします。

秘密の情報が何であるか明確にすること

情報資産の洗い出しを行うと、それぞれの情報が秘密であるのかどうかを明確にしておく必要があります。
情報の機密性を取扱い関係者すべての認識を一致させておくことが重要なのです。
それぞれの組織によって評価基準は変わりますが、「公開情報」、「社外秘情報」、「部外秘情報」、「極秘情報」などの評価基準を設けると良いでしょう。

バックアップをとること

ハードウェアやソフトウェアの障害発生の際には、保守サポート対応やリプレイスによって解決しますが、データは戻ってきません。
システム障害によるデータ損傷や昨今のランサムウェア被害についても、データのバックアップがあれば復旧は可能になります。
データバックアップの考え方はRPO(Recovery Point Objective)とRTO(Recovery Time Objective)があります。
どの時点のデータに復旧するか(RPO)、どれくらいの時間で復旧するか(RTO)によって、データバックアップのタイミングや対象を決めます。