【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方:今日から始める「性悪説セキュリティ」(3)(2/3 ページ)
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。今回は情報セキュリティ対策の第一歩、「情報資産リスト」の作り方をcloudpackの実例を基にシンジが解説していく。
保管形態
各情報がどのように保管されているかを記述するところです。ここは割と単純に、
- 紙
- 電子データ
- 社内データベース
- 会計システム
- 外部クラウドサービス(AWSなど)
などとしておけばOKです。
保管場所
どこに保管されているかを記述します。あまり厳密に書く必要はありません。キャビネットの中のどの位置のここにあるとか、クラウドの中のさらにこのサーバの中のここだ、などと詳細な情報は必要ないためです。以下のような、粒度で十分です。
- AWSクラウド
- Azureクラウド
- 外部クラウド
- 各人ローカルPC
- 総務部キャビネット
保管期間
この項目は非常に重要な項目で、なおかつ初めて資産管理をされる方がつまづきやすいポイントでもあります。記載する際は「3年」「会社永続中」「契約完了まで」などと記述します。
ここで重要なのが、「3年以上」とか「最低3カ月」とか「永久保管」といった曖昧な表現を避けることです。情報資産は安全かつ確実に破棄されることが前提です。曖昧な表現は、この“破棄”の部分を曖昧にしてしまいます。必ず言い切り型で記述しましょう。
とはいえ、実際には、どれぐらいの期間、保管するべきか決められないケースも多いと思います。その場合は「まずはこれくらいだろう」という努力目標値を記述しておき、その値が努力目標値であることを分かるようにしておきます。いずれ関係各所とこの資料を確認する際に、あらためて議論になるはずですが、結局のところ、設定した努力目標が採用されることが多い傾向にあります。
この保管期間を外部の顧客にアピールしていて、サービスの一部として運用されているならまだしも、あくまで内部の資料ということであれば、経営状況などの変化から保管期間を変更したとして書き直すことも可能です。現時点での状況で構わないので、とにかくはっきりと記述しておくのが大切です。
機密性、完全性、可用性
こちらは、それぞれの項目について1から5までの値でランク付けをします(1から10の値でランク付けしている企業もあります)。まずは、それぞれの言葉の意味について理解しましょう。
- 機密性
正当な権利を持った者だけがアクセスできる状態であるかどうか(アクセス権など)
- 完全性
情報の正確性が保たれている状態であるかどうか(改ざん防止・バックアップなど)
- 可用性
必要な時に確実にアクセスできる状態であるかどうか(冗長性・バックアップなど)
ここで割り当てる値は、対象の情報資産がどのレベルにあるべきものかを評価した値を入力します。最高ランクが5だとすると、機密性、完全性、可用性の全ての値が5になるような情報資産は、それはもうとんでもなくセンシティブで、漏えいでもしたら、即刻会社が倒産するレベルの資産だということです。
では、例えば自社の名刺はどうでしょうか。機密性という観点で見ると、かなり低いですよね。このようにして、それぞれの項目の値を埋めていきます。最終的にこのランクが総合で高いものほど、会社にとって守るべき重要な情報資産だと判定できるのです。
関連記事
- 「セキュリティ対策、何から始める?」 その答えはただ1つだ!
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。皆さんは、情報セキュリティ対策を始めようとしたら何をするだろうか。シンジによれば、まず行うべきことは1つしかないという……。 - “性善説”で考えるセキュリティ、もうやめませんか?
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載がスタート。国際的には浸透しつつある監査だが、その内容は徹底的に“性悪説”を基準にしているのが特徴なのだとか……。 - ウチの情シスはアルファブロガー!? cloudpackのシンジ流「情シスPDCA」
「パスワードの定期変更は無駄だし、もはやパスワードなんて覚える気もない」「シングルサインオン? やめとけやめとけwww」――。IT企業の一情シスが、自社の取り組みを赤裸々に出しまくるようになったのはなぜか。 - 勉強嫌い、元ゲーマーの「なりゆき情シス」が「スーパー情シス」になるまで
「大学も行ってないし、そもそもエンジニアじゃない。勉強嫌いで、本も読みたくない」――。元ゲーマー、勉強嫌いの情シスは、なぜ、周囲に信頼され、愛される情シス兼情報セキュリティ管理責任者になれたのか……。 - マイナンバーの“お漏らし第一号”になったら?
マイナンバー、お漏らししちゃったらどうなる? 発覚したらどんな対策をすればいい? そんな疑問を持っている人は要チェック!
Copyright © ITmedia, Inc. All Rights Reserved.