情報資産管理(情報セキュリティ対策)の上手な進め方と管理台帳を作る方法を紹介
情報資産管理を上手に進められないとお悩みですか?現代社会においては、インターネットなしでは仕事ができないほど技術革新が加速しています。企業が保有する情報資産を適切に管理する取り組みの重要性は、年々高まってきています。適切な情報資産管理は、従業員の業務効率を向上させ、情報セキュリティ保護により、サイバー攻撃から企業を守ることが期待できます。
情報資産管理の導入は今までの業務内容を刷新するものなので、上手に導入を進められないと悩んでいる方も多いでしょう。そもそもまず、何から進めればいいかわからないという方も少なくありません。情報資産管理の導入を上手に進めたいと考えている方は、この記事を参考にしてみてください。
情報資産管理が進まない理由
企業が保有する顧客情報や従業員の人事情報、社内資料などの情報資産は、適切に管理することで業務効率化が図れます。さらに、外部流出や非常時の備えとなる情報セキュリティ対策にも効果的です。サイバー攻撃などの被害に遭っているのは大企業が中心と思っているかもしれませんが、実はそうではありません。攻撃者の狙いは、情報セキュリティ対策が甘い中小企業をまず狙い、そこから大企業へ攻撃するケースが非常に多いのです。
中小企業は大企業に比べて情報セキュリティ対策を実施している割合が総じて2割程度少ないと、中小企業庁は発表しています。さらに、全体の5割弱の中小企業は監視体制を整えていないという結果になりました。はじめに、情報資産管理が進まない理由を解説していきます。
費用を捻出できない
適切な情報資産管理を進めていけば、当然費用はかかります。情報資産管理の進まない企業が二の足を踏んでしまう理由に費用が絡んでいることは明白です。当然インターネットの利用でリスクがあることは把握しています。そのリスクが顕在化していない現状では、わざわざ多額の費用を投じてセキュリティ対策に取り組む必要性があるのかと考えてしまっているのです。
サイバーセキュリティクラウドが経営層600人へ行った調査結果を見ると、情報セキュリティ対策をしていない経営者の27.9%が「対策にあてる費用がないから」と回答しており、それよりも多い43.6%が「個人情報漏洩被害に遭う可能性が低いから」と回答しています。情報資産管理によるセキュリティ対策はリスクを未然に予防するものなので、サイバー攻撃に遭う確率を考えると費用対効果が悪いと考えている経営者の多いことが、中小企業による適切な情報資産管理が進んでいない大きな理由であると言えるでしょう。
何をすれば良いかわからない
具体的に何をすればよいのかわからないというのも、情報資産管理が進まない大きな理由です。前述したサイバーセキュリティクラウドの調査でも、情報セキュリティ対策をしていない25%の経営者が「具体的な取り組み方法がわかりにくいから」と回答しています。管理者や部門間で、把握できていない部分や現状把握でズレが生じていることも多々あります。IT資産が爆発的に増えてしまっているケースで、適切な方法で進められないことが良くあります。
情報資産管理とは情報セキュリティ対策を実現させるだけではなく、顧客情報や請求書などの電子文書の検索性を高められ、膨大なデータを分析することで経営利益の高めるヒントを見つけられるかもしれません。何をすればよいのかわからないという問題は、情報資産管理により何をしたいのかを明確にすれば解決できます。詳しい進め方に関しては、以下の項目で説明していきます。
情報資産管理の進め方
①検索性向上による業務効率アップ②セキュリティレベルの向上③ムダなコストの削減が可能 など、情報資産管理には多くのメリットがありますので、インターネットを使って企業活動を行っている企業は推し進めるべき施策です。ここからは、具体的な情報資産管理の進め方を解説していきます。
洗い出し
まずはじめに、守るべき情報資産をすべて洗い出してください。情報資産を洗い出すことで、利用場所や保管形態、重要度などを明確化できるので、どのようにその資産を管理すればよいのかを決められます。情報資産を洗い出す具体的な方法としてオススメしたいのは、部署または業務グループごとに洗い出してセキュリティ対策を検討するという方法です。洗い出すべき主な要素は、以下の通りです。
- 情報資産名
- 用途
- 責任者
- 保管形態
- 保管場所
- 保管期間
- 評価値
- 個人情報の種類
- 利用者範囲
情報セキュリティ業務担当者に洗い出しを一任してしまうと、通常業務で利用している情報資産を見落としてしまうリスクがあります。業務担当者に一任するのは効率がよいというメリットはあるものの、情報資産の洗い出しで重要な「すべての資産を洗い出す」項目を満たせませんので、エクセルファイルなどで各部門、各業務グループに任せ情報資産の洗い出しを行いましょう。
評価値を決める
続いて重要なのが、対象となる情報資産の評価値を決めるという作業です。評価値は管理方法を決定するための非常に重要な項目なので、細かく記載していきます。情報資産の価値を決める項目は、以下の3つです。
- 機密性⇒その情報が漏洩した時の影響度
- 安全性⇒その情報が改竄された時の影響度
- 可用性⇒その情報が利用できない時の影響度
一般的には、それぞれを1から4段階の評価としてスコアリングして評価値を決めていきます。
- 1⇒事業にほとんど影響はない
- 2⇒事業に大きな影響がある
- 3⇒取引先や顧客に大きな影響がある
- 4⇒法律で防止が義務付けられている
とくに3と4は厳しい情報資産管理をすべき項目で、漏洩してしまった場合は企業に深刻なダメージを与え社会的信用度が低下するものです。3と4は同じ位置付けで考え、1と2は漏洩しても、比較的大きな影響を与えない情報資産とは差別化した管理が求められます。
情報資産管理台帳を作る方法
企業が保有する情報資産を管理する上で重要なのが、情報資産管理台帳の作成です。情報資産管理台帳とは企業全体で情報資産を管理するためのもので、守るべき情報資産を明確にして共有する目的です。上記で洗い出しと評価値の策定方法を紹介しました。基本的にはそれに沿って作成を進めます。
IPAが策定した『中小企業の情報セキュリティ対策ガイドライン』の付録に分析シートが、用意されていますので、その表を参考にエクセルシートなどで共有することをオススメします。IPAの分析シートに記載されている台帳記入例で用いられている項目は、以下の通りです。
- 業務分類
- 情報資産名称
- 備考
- 利用者範囲
- 管理部署
- 媒体、保存先
- 個人情報の種類
- 評価値
- 保存期間
- 登録日
- 現状から想定されるリスク
重要な情報資産がどこにありどのように保管されているかを一元管理できるのが、情報資産管理台帳です。今現在の情報セキュリティをチェックするという観点から、同じくIPAが作成した対策状況チェックシートも活用してみましょう。IPAが作成した対策状況チェックシートは非常に細かい55個の質問からなるもので、これに回答すると今現在どれだけ情報セキュリティへの脅威に対策が取れているかがわかりますので、対策しなければいけない箇所も明白になります。
まとめ
情報資産管理が進まない理由、上手な進め方、情報資産管理台帳の作り方を紹介していきましたが、参考になりましたか?
企業の重要な経営資源である情報は、常に流出の脅威があると考えてください。顧客情報や従業員の人事情報が万が一漏洩してしまえば、企業の信用は地に落ちます。企業コンプライアンスの価値を高めるという意味においても適切な情報資産管理は重要なので、リスクが顕在化していない今だからこそ、脅威を想定した対策が必要です。いきなり精巧な対策が難しい企業でも、まずはOSやソフトウェアを最新の状態にする、ウイルス対策ソフトを導入する、パスワードを強化するといった基本的なものから実践し、情報セキュリティに対する意識を持ち続けることが重要です。
企業の重要な経営資源である情報を守りたいけど、何をどうしたらよいかわからない…そんな悩みを抱えている方は、レコードマネジメント(記録情報管理)を日本でサービス化した、パイオニア企業である日本レコードマネジメントへご相談ください。専門の精鋭スタッフがあらゆる状況やニーズに合わせて、柔軟に情報資産管理システムを構築し、運用までのすべてを支援いたします。一部の管理だけお願いしたいなどの相談も可能なので、情報資産管理に関するお悩みがある方は、お気軽にお問い合わせくださいませ。