• このエントリーをはてなブックマークに追加

情報資産とは?分類や脅威、リスクへの対策

「情報資産」は情報が価値あるものと認識されるようになってから生まれた言葉です。情報資産は英語で“Information Asset”と呼ばれています。

情報資産とはいったい何なのか、また情報資産の分類やリスク、脅威、適切な管理方法などについて解説していきます。

【目次】

情報資産とは?

情報資産とは、企業や組織が収集した「ヒト・モノ・カネ」に関する情報全てを指します。
情報は紙の資料やUSBメモリカード、CD-ROM、ボイスレコーダー、データベース、サーバーに保管されているものなど多岐に渡ります。また蓄積された経営や営業活動に関するノウハウも情報資産と見なされます。

一方で、重要でない情報は一般向けに公開されている情報、たとえば企業の電話番号や所在地など誰でも入手可能なものを指します。

情報資産の分類・ラベル付け

情報資産を適切に管理するためには、情報の重要度によって分類し管理方法を決定します。

情報の種類によって「極秘」「社外秘」「コピー厳禁」などラベル付けを行うことで情報の取り扱いの重要度が一目でわかります。

また情報資産の分類ごとに管理方法も決めておくことも大事です。情報資産の管理方法は次のようなものがあります。

  • 重要書類や極秘資料は所定の管理場所に保管し鍵をかける
  • 保管場所には特定の人物しか出入りできないようにする
  • USBメモリスティックなどの保存媒体は責任者が管理する

このように管理する場所や責任者を決めておくことで、何かが起こった場合でも慌てることなく対処できます。

情報資産の具体例

情報資産の具体的な例を示すと、次のようなものが挙げられます。

  • 顧客の個人情報、クレジットカード情報、購入履歴
  • 商品の仕入先や販売先情報
  • 企業間で交わした契約書
  • 社員のメールアドレス
  • 企業の人事情報
  • 社内で利用しているシステムのソースコード

情報資産は外部に漏れると悪用される危険性があるため、厳重に保管されなければいけません。情報が一旦漏れてしまうと、取引先や顧客の信頼を失うことにつながります。

情報資産を管理する上でのリスク

企業の情報漏洩に関してのニュースが報じられることがありますが、情報漏洩の原因は情報の管理体制が不十分であることがほとんどです。

情報漏洩はやっかいなもので、たとえば個人のクレジットカード情報が流出した場合、不正利用されてしまうリスクがあります。情報漏洩が発覚してすぐに直接的な被害に結びつかなくても、情報が悪意ある第三者に渡ってしまった場合は情報を利用されてしまうかもしれない脅威がいつまでも残ります。

近年は企業を狙ったサイバー攻撃も増えており、実際に取引のある企業名に似せたドメインを使用して社員宛にメールが送られるなどして手口も巧妙化しています。

メールを開くとウイルスに感染してしまったり、メール本文に記載されているURLがフィッシングサイトに誘導するものであったり、メールの内容が十分確認されないまま指示通りに振込を行ったりというケースも起こっています。

情報漏洩につながる原因の洗い出し

情報漏洩というと紙の資料を誤ってどこかに忘れたり、USBスティックなどの保存媒体を落としたりするイメージがありますが、実際は何が原因で起こっているのでしょうか。

情報漏洩が起きる原因は、ほとんどが企業内部で起こるヒューマンエラーによるものです。

以下のデータはNPO日本ネットワークセキュリティ協会と長崎県立大学が2018年6月に発表した共同調査「情報セキュリティインシデントに関する調査報告書【速報板】」から抜粋しています。この報告書では情報漏洩が起きる原因について次のようにまとめています。

画像出典:JNSA
https://www.jnsa.org/result/incident/data/2017incident_survey_sokuhou_ver1.1.pdf

【企業内部で起こるミス】
誤操作・・・25.1%
紛失・置き忘れ・・・21.8%
管理ミス・・・13.0%
不正な情報持ち出し・・・6.5%
設定ミス・・・4.7%
内部犯罪・内部不正行為・・・2.1%
計73.2%

この結果から分かるように、情報漏洩の原因は7割以上が企業内部の人間によって引き起こされていることがわかります。

【外部からのサイバー攻撃や物理的盗難】
不正アクセス・・・17.4%
盗難・・・6.5%
バグ・セキュリティホール・・・1.3%
ワーム・ウイルス・・・0.5%
計: 25.7%

【その他の原因】
その他・・・0.8%
不明・・・0.5%
計1.3%

また、漏洩媒体については次のような結果となっています。

画像出典:JNSA

紙媒体の紛失が38.9%と一番多く、インターネットが22.5%、電子メールが19.9%、USB等可搬記録媒体が10.6%、PC本体が4.1%、その他が1.8%、不明が1.6%、携帯電話・スマホが0.8%という結果となっています。

情報資産を守るための対策

上記では情報漏洩や媒体・経路についての原因がどのようなものであるのかがわかりましたが、これらを引き起こさないためにはどのような対策を行えば良いのでしょうか。

漏洩媒体は外部に持ち出すことで紛失する可能性があるため、面倒ではあっても持ち出す際に①誰が②いつ③どの目的で資料を外部に持ち出す必要があるのかを都度記録すると良いでしょう。またパソコンは常時ワイヤーロックと暗証番号付きの鍵を取り付けることで物理的な盗難のリスクを減らすことができます。

USBといった記録媒体はひとつずつ番号を割り振り、適切な場所に保管し施錠します。持ち出す際は記録帳に都度書くなどして管理を徹底することで、社員のセキュリティ意識を高めることができます。

企業や組織において情報資産を守るためには、社内で情報の管理体制を構築して周知することと、システムのセキュリティを強化することの2つを徹底しなければいけません。

社内での情報管理体制の徹底は各部門で情報セキュリティの責任者を決め、部署ごとに情報管理体制の周知を行います。

情報セキュリティ責任者を決定した後は、定期的に情報セキュリティについての会議を行います。会議では次のことについて現状確認と対策について議論します。

  • どのような原因で情報流出が起きるのか
  • どの媒体で情報流出が起きるのか
  • 社内の情報管理体制はどうなっているのか
  • 社内で利用しているシステムにセキュリティホールがないか
  • 社内の情報管理で適切なラベルづけと管理ができているか
  • 部署ごとでのセキュリティに関する周知事項の徹

システムのセキュリティ強化については、各部署の情報セキュリティ担当者から構成される委員会を設けるなどして、社内システムの強化のために新しいシステム導入を検討します。

また、社員に周知徹底しなくてはいけないことは以下の点です。

  • 怪しいメールを開かない。もし開いてしまった場合はセキュリティ担当者に相談する
  • 紙やパソコン、スマートフォンの電子媒体やUSBなどの保存媒体は基本的に持ち出さない
  • システムにログインするためのID・パスワードを見えやすいところに置かない
  • ID、パスワード設定をする際は他人が容易に予測できそうなものは避ける
  • 定期的なパスワード変更を促す

情報漏洩の原因は社内の人間が引き起こすことがほとんどのため、社員のセキュリティ意識を高めることは非常に重要です。

まとめ

情報資産は企業・組織内で適切に管理が行われていないと重要な情報が外部に流出してしまい、取り返しのつかないことになります。

また情報漏洩が発覚したときの報告ルートや対応が定まっていないと現場が混乱してしまうことになるため、情報漏洩が起こってしまったときの報告ルートを事前に明確にしておきましょう。情報漏洩が発覚した際の対応フローが適切だと被害を最小限に抑えることができるため、普段から対策について十分議論しておくことも必要です。

情報資産はお金や信用と同じくらい価値あるものです。
普段からセキュリティに関しての教育や管理方法を徹底することで、情報漏洩のリスクを減らしていくことが重要です。

PR:「EC-ORANGE」のパッケージ販売に加え、多くの構築ノウハウを生かした受託開発をおこないます。

>>お問合せはこちらから

関連記事

アーカイブ

S-cubism ニュースレター登録

S-cubism ニュースレターとは

ページ上部へ戻る