cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。今回は情報セキュリティ対策の第一歩、「情報資産リスト」の作り方をcloudpackの実例を基にシンジが解説していく。
こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。
セキュリティ対策に手を付けたいが、何からはじめていいか分からない、何が効果的かどうかも分からない――そんな読者の皆さんに向け、前回に引き続き、今回はcloudpackで行った事例の一部を基に、情報資産の可視化と評価を解説していきます。
情報資産リストとは、監査用語っぽく表現すると「情報資産台帳」と言います。早速ですが、cloudpackの情報資産台帳をお見せします。
これはExcelで作成していますが、形式は特に問いません。ただし、この資料そのものは非常にセンシティブな資料になるので、保管管理体制は整えましょう。記述されている内容を左側から説明していきます。
これは、実はあってもなくても構いません。採番そのものはセキュリティ対策の本質ではありません。皆さんが管理しやすい形式で記述されると良いでしょう。
パッと見て、その情報がどんな情報で誰が保有しているのかを分かりやすく分類付けをします。例えば、以下のような項目です。
各資産にどのように名前をつけるのか、というのは難しい点もあるとは思いますが、ある程度まとめられそうなものは、まとめてしまって構いません。例えば、以下のように書きます。
初めてこのリストを作る場合、ここに書くべき情報か迷うこともあるかもしれません。そんなときの判断基準は「直感的に、社外に漏れたらヤバそうな情報」であるかどうかです。少しでも“ヤバそうだな”と思ったら書くべきです。後から消すのは簡単なので、どんどん書きましょう。
対象の情報資産に、個人情報、クレジットカード番号、マイナンバーなどのセンシティブな情報が含まれているかどうか判定します。含まれているようであれば、丸印をつけたり、フラグを立てたりすればよいです。
Copyright © ITmedia, Inc. All Rights Reserved.