【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方：今日から始める「性悪説セキュリティ」（3）（3/3 ページ）

[齊藤愼仁，ITmedia]

管轄

　どの部署、もしくは誰が管轄の情報資産であるかを記述します。以下のように、管轄が分かる程度に記述すれば問題ありません。

• 情報システム部
• 営業部
• 人事部

リスク所有者

　責任の所在を明確にします。ここは管轄ともひも付きますが、一部そうでないものもあります。以下のように、対象の情報資産を統括的に管理できる人間を記述していきます。

• 営業部長
• 総務部長
• 各人
• 最高経営責任者
• 情報セキュリティ管理責任者

cloudpackで実際に運用している「情報資産台帳」（クリックで拡大）

利用者

　誰がそれらの情報資産を利用するか記述します。利用者が特定できていれば、アクセス権限をどのように割り当てるべきか分かりやすくなります。

• 正社員のみ
• 関係者全員
• 役員のみ
• システム管理者のみ

情報資産台帳を使い、上司や経営陣を説得せよ

完成した情報資産台帳は、最低でも1年に1回の見直しを行うべき（写真はイメージです）

　以上で、情報資産台帳は完成です。

　この情報資産台帳を作成する上でのポイントは、「全てを網羅しようと躍起にならないこと」です。まずは分かる範囲で記述していき、充実させていけばいいのです。こうして作られた情報資産台帳は、ISMS（情報セキュリティマネジメントシステム）をはじめとする各種監査では必ず提示を求められます。完成した情報資産台帳は、最低でも1年に1回の見直しを行うべきです。

　さて、ここで洗い出した「確実に守らなければならない情報資産」のトップ5やトップ10を作ってみましょう。あなたの上司や会社に対して、「私たちはこれらの情報資産を守らなければならないんです！」と言いやすくなったはずです。

　しかし、それらをどのような手段で守ればよいのか、いくらかかるのか、予算の取り方など、課題はまだ残っています。次回からは、実際にいくつかのリスクを対象に、会社の経営リスクを取り去る形でセキュリティを担保しつつ、現場の業務効率もあげていく手法を複数回に分けてご紹介していきます。お楽しみに。

著者プロフィール：齊藤愼仁（さいとうしんじ）

　アイレット cloudpack事業部にて情報システム、ネットワーク、セキュリティ（cloudpack-CSIRT含む）にわたる3チームを統括。ならびに情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。

　情報システム部門であると同時に自社の監査機能も持ち合わせているため、業務効率化とセキュリティレベルの向上を同時に実現させるべく、日々奮闘中。

• ブログ：「ロードバランスすだちくん」