【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方：今日から始める「性悪説セキュリティ」（3）（2/3 ページ）

[齊藤愼仁，ITmedia]

保管形態

　各情報がどのように保管されているかを記述するところです。ここは割と単純に、

• 紙
• 電子データ
• 社内データベース
• 会計システム
• 外部クラウドサービス（AWSなど）

などとしておけばOKです。

保管場所

　どこに保管されているかを記述します。あまり厳密に書く必要はありません。キャビネットの中のどの位置のここにあるとか、クラウドの中のさらにこのサーバの中のここだ、などと詳細な情報は必要ないためです。以下のような、粒度で十分です。

• AWSクラウド
• Azureクラウド
• 外部クラウド
• 各人ローカルPC
• 総務部キャビネット

cloudpackで実際に運用している「情報資産台帳」（クリックで拡大）

保管期間

　この項目は非常に重要な項目で、なおかつ初めて資産管理をされる方がつまづきやすいポイントでもあります。記載する際は「3年」「会社永続中」「契約完了まで」などと記述します。

　ここで重要なのが、「3年以上」とか「最低3カ月」とか「永久保管」といった曖昧な表現を避けることです。情報資産は安全かつ確実に破棄されることが前提です。曖昧な表現は、この“破棄”の部分を曖昧にしてしまいます。必ず言い切り型で記述しましょう。

　とはいえ、実際には、どれぐらいの期間、保管するべきか決められないケースも多いと思います。その場合は「まずはこれくらいだろう」という努力目標値を記述しておき、その値が努力目標値であることを分かるようにしておきます。いずれ関係各所とこの資料を確認する際に、あらためて議論になるはずですが、結局のところ、設定した努力目標が採用されることが多い傾向にあります。

　この保管期間を外部の顧客にアピールしていて、サービスの一部として運用されているならまだしも、あくまで内部の資料ということであれば、経営状況などの変化から保管期間を変更したとして書き直すことも可能です。現時点での状況で構わないので、とにかくはっきりと記述しておくのが大切です。

機密性、完全性、可用性

　こちらは、それぞれの項目について1から5までの値でランク付けをします（1から10の値でランク付けしている企業もあります）。まずは、それぞれの言葉の意味について理解しましょう。

• 機密性

正当な権利を持った者だけがアクセスできる状態であるかどうか（アクセス権など）

• 完全性

情報の正確性が保たれている状態であるかどうか（改ざん防止・バックアップなど）

• 可用性

必要な時に確実にアクセスできる状態であるかどうか（冗長性・バックアップなど）

　ここで割り当てる値は、対象の情報資産がどのレベルにあるべきものかを評価した値を入力します。最高ランクが5だとすると、機密性、完全性、可用性の全ての値が5になるような情報資産は、それはもうとんでもなくセンシティブで、漏えいでもしたら、即刻会社が倒産するレベルの資産だということです。

　では、例えば自社の名刺はどうでしょうか。機密性という観点で見ると、かなり低いですよね。このようにして、それぞれの項目の値を埋めていきます。最終的にこのランクが総合で高いものほど、会社にとって守るべき重要な情報資産だと判定できるのです。