Eビジネスを推進するORANGEシリーズ

EC-ORANGE
お役立ち資料ダウンロード ニュースレター登録

情報資産とは?身近な具体例で簡単にわかりやすく解説します

「情報資産」は情報が価値あるものと認識されるようになってから生まれた言葉です。情報資産は英語で“Information Asset”と呼ばれています。
情報資産とはいったい何なのか、また情報資産の分類やリスク、脅威、適切な管理方法などについて解説していきます。
【目次】

情報資産とは企業の「ヒト・モノ・カネ」に関する情報全て

情報資産とは、企業や組織が収集した「ヒト・モノ・カネ」に関する情報全てを指します。 情報は紙の資料やUSBメモリカード、CD-ROM、ボイスレコーダー、データベース、サーバーに保管されているものなど多岐に渡ります。また蓄積された経営や営業活動に関するノウハウも情報資産と見なされます。

一方で、重要でない情報は一般向けに公開されている情報、たとえば企業の電話番号や所在地など誰でも入手可能なものを指します。

情報資産の分類・重要度分け

情報資産を適切に管理するためには、情報の重要度によって分類し管理方法を決定します。

情報の種類によって「極秘」「社外秘」「コピー厳禁」など重要度で分けたラベル付けを行うことで情報の取り扱いの重要度が一目でわかります。

また情報資産の分類ごとに管理方法も決めておくことも大事です。情報資産の管理方法は次のようなものがあります。
  • 重要書類や極秘資料は所定の管理場所に保管し鍵をかける
  • 保管場所には特定の人物しか出入りできないようにする
  • USBメモリスティックなどの保存媒体は責任者が管理する
このように管理する場所や責任者を決めておくことで、何かが起こった場合でも慌てることなく対処できます。

情報資産の身近な具体例

情報資産の身近な具体的には、次のようなものが挙げられます。
  • 顧客の個人情報、クレジットカード情報、購入履歴
  • 商品の仕入先や販売先情報
  • 企業間で交わした契約書
  • 社員のメールアドレス
  • 企業の人事情報
  • 社内で利用しているシステムのソースコード
情報資産は外部に漏れると悪用される危険性があるため、厳重に保管されなければいけません。情報が一旦漏れてしまうと、取引先や顧客の信頼を失うことにつながります。

情報資産を脅威にさらす原因は?

情報漏洩というと紙の資料を誤ってどこかに忘れたり、USBスティックなどの保存媒体を落としたりするイメージがありますが、実際は何が原因で起こっているのでしょうか。

情報漏洩が起きる原因は、ほとんどが企業内部で起こるヒューマンエラーによるものです。
以下のデータはNPO日本ネットワークセキュリティ協会と長崎県立大学が2018年6月に発表した共同調査「情報セキュリティインシデントに関する調査報告書【速報板】」から抜粋しています。この報告書では情報漏洩が起きる原因について次のようにまとめています。

画像出典:JNSA
https://www.jnsa.org/result/incident/data/2017incident_survey_sokuhou_ver1.1.pdf


【企業内部で起こるミス】
誤操作・・・25.1%
紛失・置き忘れ・・・21.8%
管理ミス・・・13.0%
不正な情報持ち出し・・・6.5%
設定ミス・・・4.7%
内部犯罪・内部不正行為・・・2.1%
計73.2%

この結果から分かるように、情報漏洩の原因は7割以上が企業内部の人間によって引き起こされていることがわかります。

【外部からのサイバー攻撃や物理的盗難】
不正アクセス・・・17.4%
盗難・・・6.5%
バグ・セキュリティホール・・・1.3%
ワーム・ウイルス・・・0.5%
計: 25.7%

【その他の原因】
その他・・・0.8%
不明・・・0.5%
計1.3%

また、漏洩媒体については次のような結果となっています。

画像出典:JNSA


紙媒体の紛失が38.9%と一番多く、インターネットが22.5%、電子メールが19.9%、USB等可搬記録媒体が10.6%、PC本体が4.1%、その他が1.8%、不明が1.6%、携帯電話・スマホが0.8%という結果となっています。


情報資産管理で考えるべきセキュリティ対策

企業の情報漏洩に関してのニュースが報じられることがありますが、情報漏洩の原因は情報の管理体制が不十分であることがほとんどです。
情報漏洩はやっかいなもので、たとえば個人のクレジットカード情報が流出した場合、不正利用されてしまうリスクがあります。情報漏洩が発覚してすぐに直接的な被害に結びつかなくても、情報が悪意ある第三者に渡ってしまった場合は情報を利用されてしまうかもしれない脅威がいつまでも残ります。

近年は企業を狙ったサイバー攻撃も増えており、実際に取引のある企業名に似せたドメインを使用して社員宛にメールが送られるなどして手口も巧妙化しています。

メールを開くとウイルスに感染してしまったり、メール本文に記載されているURLがフィッシングサイトに誘導するものであったり、メールの内容が十分確認されないまま指示通りに振込を行ったりというケースも起こっています。

対策としては以下の3つがあります。
  1. 技術的な対策:ウイルス対策ソフトウェアなど
  2. 物理的な対策:社用スマホの持ち出し制限など
  3. 人的な対策:セキュリティポリシーの設定など
詳しくはこちらの記事でも紹介しているので、気になる方はご一読ください。


また、独立行政法人の情報処理推進機構(IPA)では「中小企業の情報セキュリティ対策ガイドライン」をまとめているので、こちらもチェックしてみてください。

情報資産を守るためのISMS(情報セキュリティマネジメントシステム)とは

情報漏えいを引き起こさない社内体制をつくるためには、どのような対策を行えば良いのでしょうか。

端的に言えば、ISMS(情報セキュリティマネジメントシステム)の構築が欠かせません。

以下のような具体的な対策をまとめて、なおかつセキュリティ対策に抜け漏れがあればその都度修正できるような体制がISMSなのです。

ISMSの構築で取り入れるべきセキュリティ対策の例

ISMSでは、企業全体のセキュリティ対策をいかに運用していくか考えて、社内のルールを整備・改善していきます。

例えば、契約書やパソコン、スマホなどの情報媒体は持ち出す際に①誰が②いつ③どの目的で資料を外部に持ち出す必要があるのかを都度記録するとよいですよね。またパソコンは常時ワイヤーロックと暗証番号付きの鍵を取り付けることで物理的な盗難のリスクを減らすことが可能です。

他にもUSBといった記録媒体はひとつずつ番号を割り振り、適切な場所に保管し施錠します。持ち出す際は記録帳に都度書くなどして管理を徹底することで、社員のセキュリティ意識を高めましょう。

そして、社内での情報管理体制の徹底は各部門で情報セキュリティの責任者を決め、部署ごとに情報管理体制の周知を行います。

情報セキュリティ責任者を決定した後は、定期的に情報セキュリティについての会議を行います。会議では次のことについて現状確認と対策について議論します。
  • どのような原因で情報流出が起きるのか
  • どの媒体で情報流出が起きるのか
  • 社内の情報管理体制はどうなっているのか
  • 社内で利用しているシステムにセキュリティホールがないか
  • 社内の情報管理で適切なラベルづけと管理ができているか
  • 部署ごとでのセキュリティに関する周知事項の徹底
システムのセキュリティ強化については、各部署の情報セキュリティ担当者から構成される委員会を設けるなどして、社内システムの強化のために新しいシステム導入を検討します。

また、社員に周知徹底しなくてはいけないことは以下の点です。
  • 怪しいメールを開かない。もし開いてしまった場合はセキュリティ担当者に相談する
  • 紙やパソコン、スマートフォンの電子媒体やUSBなどの保存媒体は基本的に持ち出さない
  • システムにログインするためのID・パスワードを見えやすいところに置かない
  • ID、パスワード設定をする際は他人が容易に予測できそうなものは避ける
  • 定期的なパスワード変更を促す
情報漏洩の原因は社内の人間が引き起こすことがほとんどのため、社員のセキュリティ意識を高めることは非常に重要です。
情報セキュリティ対策を社内マネジメントに浸透させてPDCAを回していくことが、ISMSの最終的なゴールとなります。


管理体制を整えて、情報資産の保護を万全に!

情報資産は企業・組織内で適切に管理が行われていないと重要な情報が外部に流出してしまい、取り返しのつかないことになります。

また情報漏洩が発覚したときの報告ルートや対応が定まっていないと現場が混乱してしまうことになるため、情報漏洩が起こってしまったときの報告ルートを事前に明確にしておきましょう。情報漏洩が発覚した際の対応フローが適切だと被害を最小限に抑えることができるため、普段から対策について十分議論しておくことも必要です。

情報資産はお金や信用と同じくらい価値あるものです。

普段からセキュリティに関しての教育や管理方法を徹底することで、情報漏洩のリスクを減らしていくことが重要です。

PR:「EC-ORANGE」のパッケージ販売に加え、多くの構築ノウハウを生かした受託開発をおこないます。

>>お問合せはこちらから