【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方：今日から始める「性悪説セキュリティ」（3）（1/3 ページ）

cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。今回は情報セキュリティ対策の第一歩、「情報資産リスト」の作り方をcloudpackの実例を基にシンジが解説していく。

[齊藤愼仁，ITmedia]

　こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。

　セキュリティ対策に手を付けたいが、何からはじめていいか分からない、何が効果的かどうかも分からない――そんな読者の皆さんに向け、前回に引き続き、今回はcloudpackで行った事例の一部を基に、情報資産の可視化と評価を解説していきます。

まずはここから始めよう、「情報資産リスト」

　情報資産リストとは、監査用語っぽく表現すると「情報資産台帳」と言います。早速ですが、cloudpackの情報資産台帳をお見せします。

cloudpackで実際に運用している「情報資産台帳」（クリックで拡大）

　これはExcelで作成していますが、形式は特に問いません。ただし、この資料そのものは非常にセンシティブな資料になるので、保管管理体制は整えましょう。記述されている内容を左側から説明していきます。

採番

　これは、実はあってもなくても構いません。採番そのものはセキュリティ対策の本質ではありません。皆さんが管理しやすい形式で記述されると良いでしょう。

分類

　パッと見て、その情報がどんな情報で誰が保有しているのかを分かりやすく分類付けをします。例えば、以下のような項目です。

• 顧客情報
• 社内資料
• 開発ソースコード
• 人事資料
• 総務部社外秘
• 人事部社外秘
• 社外秘

情報資産名

　各資産にどのように名前をつけるのか、というのは難しい点もあるとは思いますが、ある程度まとめられそうなものは、まとめてしまって構いません。例えば、以下のように書きます。

• 見積書・注文書・請求書
• 秘密保持契約書・個別契約書
• メール
• サーバ接続情報・秘密鍵・ログイン情報
• 監視カメラログデータ

　初めてこのリストを作る場合、ここに書くべき情報か迷うこともあるかもしれません。そんなときの判断基準は「直感的に、社外に漏れたらヤバそうな情報」であるかどうかです。少しでも“ヤバそうだな”と思ったら書くべきです。後から消すのは簡単なので、どんどん書きましょう。

個人情報

　対象の情報資産に、個人情報、クレジットカード番号、マイナンバーなどのセンシティブな情報が含まれているかどうか判定します。含まれているようであれば、丸印をつけたり、フラグを立てたりすればよいです。