TOP
コラム
情報資産とは何か？情報資産管理のリスクと把握しておくべきこと

情報資産とは何か？情報資産管理のリスクと把握しておくべきこと

2022.02.28

INDEX

ITやICT、IoTやAI、ビックデータなど、技術革新が進むにつれて企業や組織において情報資産を守ることの重要性が高まっています。しかし、情報資産について意識できていない人や、周知徹底されていない事柄があるのも事実でしょう。今回は、情報資産に関する基礎知識や情報資産を失わないために把握しておくべきことをご説明します。

情報資産及びIT資産とは何か

まずは情報資産及びIT資産に関する基礎知識を抑えておきましょう。

情報資産に含まれるものとは

情報資産とは、ひと言で言えば「データ」です。紙の書類だけでなく、パソコンのSSDやHDD、USBメモリやSDカードなどに保存されているデータ及び情報すべてが情報資産と言えます。例えば、企業や組織の活動において日々蓄積されるもの、顧客やパートナー企業とのやり取りで発生するものなど、それらの履歴・ログも含めて何らかの形で資産価値を生むものが情報資産であり、一見無意味そうなデータも蓄積されることで資産価値を生む可能性があります。具体的には顧客の個人情報、従業員の人事情報、会社の財務情報、契約書、社内システムのソースコード等があり、いずれも非常に重要で、一度漏洩すると組織の安定を揺るがすほどの大きなダメージをもたらしかねません。

IT技術の進化に伴う情報資産管理の重要性とリスクについて

IT技術の進化に伴い情報資産の管理が重要視されています。今までは紙ベースでしか閲覧できなかったような情報さえも、デジタル化されることにより、悪意のある第三者によるサイバー攻撃、情報漏洩や内部不正等の脅威にさらされることになります。また、今までよりデータの蓄積がしやすくなったこと、蓄積したデータを活用する技術が進化したことも、情報資産管理が重要視される理由と言えます。例えば、単なる顧客の購入情報さえも、ビックデータとして分析・解析することで、利益や新たな価値を生み出すことができるようになるからです。さらには、企業や組織で業務を遂行する上で蓄積される書類やメール、メッセージなどをマイニングすることで、同じく利益や新たな価値を生み出すことも少なくないからです。

サイバー攻撃、情報漏洩、内部不正は対岸の火事ではない

前述したサイバー攻撃、情報漏洩、内部不正についても決して対岸の火事ではありません。インターネットを通じて企業・組織と顧客・ユーザーがつながることで、利便性や恩恵を受けられる反面、悪意のある第三者ともつながってしまうからです。特にサイバー攻撃については、技術の進化とともに新たな手法が日々生み出されていることもあり、単に機械的にシステムの脆弱性を突くようなものだけではなく、人間の心理を悪用し、不安を煽ることで自らが知らずにその拡散に加担してしまうような、悪質な手口も増えてきました。意識すべきは、常に情報資産は狙われ続けているということ、何らかの対策を講じなければ、それらを失う・奪われる可能性があるということです。

もっと知りたい！ "統合型IT運用管理「AssetView」製品資料" はコチラ >>

情報資産やIT資産を失わないために把握しておくべきこととは

次に、情報資産やIT資産を失わないために把握しておくべきことをご紹介します。

情報資産を「保存する」媒体の把握、管理

まずは情報資産、すなわちデータを保存する媒体の把握、管理を行いましょう。単純に紙、CD、DVD、HDD、SSD、SDカード、USBメモリ、外付けドライブやパソコン、スマートフォン、タブレット、その他の電子的に記録できる装置、または電子的でないものも含めて、社内や組織内における保存媒介をチェックし把握します。可能であれば管理の簡素化や一元化しやすいように、いくつかの媒介に絞り込むのもおすすめです。情報資産を管理する意識が低い場合、単純に「何」の「どこ」に保存されているのかさえ把握されていないことがあります。例えば、廃棄予定のパソコン、HDDに個人情報が含まれていることを想像してみると、その危険性がわかるでしょう。

データの読み書きや移動、保存などの動作ログの保存や監視

媒体によらず、データや情報の読み書きや移動、保存などの動作ログの保存や監視を行うことも大切です。紙ベースの書類の場合でも可能な限り電子化すること、検索や保存、管理しやすくしておくようにしましょう。その他にも、業務に関連するすべてのPC操作ログの保存や監視とまでは言いませんが、個人情報や機密情報、社外秘のデータについてはすべてログの保存や監視をすべきです。同時に、立場や役職に応じてデータへの閲覧やアクセスなどの権限を適宜割り振ることも忘れてはいけません。

物理的なデバイスと扱う人間のセキュリティ性の把握

データに関する管理が定まれば、次は運用するためのデバイスやデータを扱う人間のセキュリティ性を把握しましょう。どんな情報資産であれ、うっかりミスやヒューマンエラーによって情報漏洩する可能性があれば、決して安全とは言えません。何よりデバイスのアップデートがされていなかったり、セキュリティ対策を講じていなかったりすることで、サイバー攻撃による被害を受けてしまっては元も子もありません。並行して考えるべきなのは内部不正がハイリスクノーリターンであることの周知徹底、システム的に安易にデータをUSBメモリなどにコピーできたり、印刷できたりしないようにしておくことです。意識的かつシステム的に内部不正を防ぐことを意識し、同時に監視や管理が情報資産を守るだけでなく、従業員を守るためであることも理解してもらうべきです。

情報資産やIT資産を管理するために必要なこと

最後に情報資産やIT資産を管理するために必要なことをご紹介します。

多角的な視野を持ち、なるべく「すべて」を可視化する

情報資産とは価値を生む、もしくは価値のある情報を指しますが、将来的にどのデータが情報資産となるのか現時点ではわからないこともあるでしょう。情報資産になるとは思えないようなデータも、将来的に役に立つ可能性もあります。まずはどのようなデータでも情報資産であるという前提で蓄積するべきか、もしくは取捨選択しながら蓄積するかを選ぶ必要があります。どちらにしても、まずは多角的な視野を持ち、すべてを可視化し、把握することから心がけてみましょう。

適切なソフトウェアの導入とルールの策定を

情報資産及びIT資産を管理するためには、適切なソフトウェアの導入とルールの策定が必須です。前時代的な形でExcelによる目視によるチェックや手動更新ではなく、リモートで一元管理が可能なソフトウェアを選ぶべきです。情報資産の保守・運用ルールの策定についても、社内規定や法令遵守による文章での周知徹底だけでなく、システム的に情報資産を守れるような仕組みを業務プロセスに組み込むべきと言えます。当社の提供するIT資産管理ソフト「AssetView」であれば、物理的なデバイスの管理やOSやソフトウェアのアップデート、プロダクトキーの管理、PC操作ログの監視や保存、Webフィルタリングやセキュリティ性の確保も含めて多角的にIT資産管理が可能です。情報システム部やセキュリティ担当の方が管理しやすいような機能やUIを兼ね備えておりますので、ぜひともこの機会に導入をご検討ください。

企業や組織に携わる全員への理解と周知徹底も大事

日々の業務や作業で扱っていると、そのデータが情報資産であると意識しにくい方もいらっしゃいます。また、ひとりひとりが自分自身が行った作業、更新したファイル、参照したデータが情報資産であると考えないことで、思わぬうっかりミスやヒューマンエラーが発生し、インシデントとなることも少なくありません。どのようなデータであっても情報資産であるという意識を持つこと、データの質や重要性を問わず情報資産として扱うべきであるということを理解、周知徹底することが大事です。

さらに一歩踏み込んだセキュリティの強化を行いたい場合のポイント

次に、さらに一歩踏み込んだセキュリティの強化を行いたい場合のポイントをご紹介します。

情報システム部やセキュリティ担当などセキュリティ人材へのバックアップ

既に情報システム部やセキュリティ担当を配置している状態であれば、セキュリティ人材への支援を進めましょう。可能な限り、必要とするシステムを導入すること、不満や不備となる部分があれば改善することなど、「他の部門や部署と同じように」必要に応じて予算を割り当てるべきです。セキュリティ人材の雇用や契約についても「他社の方が条件が良いから」と給与を理由に離職されないよう精査することも大切です。実際、日本国内においてはセキュリティ人材が不足しており、引く手あまた、買い手市場と言っても過言ではありません。まずは既存のセキュリティ人材を大切にし、要望をしっかりと受け入れて、人材的な面での強化を意識するのを忘れないようにしてください。

常に最新の状態にしておくためのセキュリティ体制の構築

セキュリティインシデントは突発的かつリアルタイムに発生します。そのため、どのタイミングで攻撃を受けるか、もしくは内部不正を起こされるか予測できません。だからこそ、進行形の事態に対応できる状態にしておくためのセキュリティ体制の構築が必要になります。業界や業種によるものの、いつ何時、セキュリティインシデントが起きても対応できるようにすること、セキュリティ人材の不足によって対応する人員が不足することがないようにしておくべきということです。同様に時間を問わず、監視や管理を行えるシステムとその体制、攻撃や障害を検知できる仕組みなど、後手にならず、受身ながらも先手になるようなイメージが大切です。

ゼロトラストセキュリティに基づいた作業および業務の流れに再構築

セキュリティシステムやセキュリティ人材によってセキュリティを強化しつつ、通常の作業や業務を行う他の従業員のセキュリティも強化しましょう。例えば、日常的にUSBメモリを多用するような場合、紛失や盗難の恐れがあります。そのため、そもそもUSBメモリででデータを持ち運びするような作業手順をなくしてしまえば、紛失や盗難の恐れはなくなります。同様に日常の作業においても、必要ではないデータやファイルにアクセスできない、させないようにすることで、内部不正をおきにくくすることにもつながります。どの場合においても、ゼロトラストセキュリティに基づいた作業および業務の流れに再構築すること、データやネットワークのアクセスも簡易的なものではなく、役職や権限に基づいて厳格にすることをおすすめします。

セキュリティインシデントについて全社的な情報共有を進める

情報資産を守るために必要なのは、セキュリティシステム、セキュリティ人材、そして全社的なサイバー攻撃に関する危機意識・当事者意識です。例えば、誰しも車の運転で違反をしたいとは思いませんが、人によっては気にならない人も存在します。もし、違反が気にならず、かつ事故を起こす可能性がある人が業務上で同じようにサイバー攻撃も気にならないとなれば、人為的な脆弱性・セキュリティホールになってしまいます。自分も事故を起こすかもしれない、サイバー攻撃の被害にあうかもしれないという危機意識・当事者意識を育てるためにも、各種サイバー攻撃、セキュリティインシデントなど情報共有を行うこと、物理的な怪我や事故と同じように「危機意識を持たなければ、被害を受ける」ということを徹底しておきましょう。

情報システム部およびセキュリティ担当への連絡体制や権限の再設定

情報システム部やセキュリティ担当はあるものの、上司や正社員を通さなければ伝わらない、またはどこに連絡すれば良いのかわからないことがあります。結果的に「すぐに異常を連絡すればセキュリティインシデントにならなかったこと」がセキュリティインシデントになってしまう可能性が高まります。些細な異常、軽微なミスや思い違いであったとしても、連絡さえ受けていれば対応できるということでもあります。企業や組織に属する人間であれば、誰でも情報システム部やセキュリティ担当に連絡できる体制を確立すること、同時にセキュリティ担当が権限を持って、しっかりと話を聞いて、対応できる体制を整えましょう。

セキュリティ対策にありがちな誤解や勘違いと解決方法

次にセキュリティ対策にありがちな誤解や勘違いと解決方法について解説します。

「セキュリティは難しい」という誤解

情報資産管理も含めて、セキュリティは難しいと誤解されがちです。実際、目に見えない電子データを守るというのですから、空想やSFのようなイメージを持って、専門的過ぎてわからないと考えてしまうのは自然なことです。確かにセキュリティは難しく、専門性が高いものではありますが、同時に誰もが実践できることとも言えます。例えば「添付ファイルを安易に開かない」や「安易にデータをコピーして放置しない」または「会社のデバイスやネットワークを私物化しない」など、どれも簡単なことですが、実質的にセキュリティ性を高めることであり、非常に大切です。誰もが当事者意識を持って、簡単なセキュリティ対策から始めること、難しい部分は情報システム部やセキュリティ担当、もしくはセキュリティ専門のベンダーに任せるという形がベストです。

「セキュリティは利益にならない」という勘違い

今までサイバーセキュリティを必要としない、情報資産管理を意識していないようが場合ですと、セキュリティは利益にならない、むしろコストとして利益を目減りさせるというような勘違いに陥りがちです。昨今ではセキュリティは経営に関わる問題として扱われており、CIOやCISOなど、経営陣に情報やセキュリティに関する役職を設置する企業や組織も珍しくありません。言い換えれば、セキュリティに投資しない、コストとしか見ていないということは、経営に対する責任を取りきれていないということです。これらは顧客やユーザーも注目する部分であり「安全でないところに個人情報は預けられない」というネガティブな結果をもたらします。そのため、セキュリティに対する責任を取ること自体が利益を確保することであると理解するのが正解です。

「うちには狙われるようなデータがない」という思い込み

業界や業種によっては、情報資産という意識がなく、狙われるようなデータがないだろうという思い込みがあります。悪意のある第三者が狙う情報とは必ずしも機密情報や価値のあるような情報ばかりを指しません。情報自体に価値はなくても、デバイスを乗っ取ることで、踏み台としてさらなるサイバー攻撃に悪用したり、取引先や顧客、ユーザーとの関係性を悪用して騙したりする手法など、情報の質には関係ない部分にリスクや脅威があるということです。そのため、狙われるようなデータがなくても、セキュリティ対策をしっかりと行うことで、自社への被害だけでなく、取引先や顧客、ユーザーを守ることにもつながります。安心・安全、そして信頼のためにもセキュリティ対策が必須であるのは明白と言えます。

「よくわからないものに、お金は出せない」という勘違い

セキュリティ対策の難関とも言えるのが、よくからないものにお金は出せないという勘違いです。今や、オンラインでつながったシステムがある企業や組織であれば、セキュリティに投資しないというのは「会社のビルや事務所、倉庫に玄関も窓も鍵もない状態」でしかありません。現実問題として、そのようなことはあり得ませんし、考えられないような状況です。物理的な警備やセキュリティと同じく、サイバーセキュリティに対しても、身を守るために必要であり、お金を出す、出さないという問題ではないと理解しましょう。実際に自宅やご実家が玄関も、窓も、鍵も何もないと考えたら不安なように、サイバー攻撃に対しても不安を感じること、その不安を取り除くために対策をするのだと考えることが大切です。

「セキュリティ人材がいないから無理だ」という思い込み

どのような業界や業種にも言えることですが、セキュリティ人材がいないから無理だ、という思い込みがあります。事実、セキュリティ人材を今まで必要としていないのなら、セキュリティ人材が不在なのはごく当然と言えます。しかし、セキュリティ人材においても、いきなり生まれてくるようなものではありません。言い換えればITに強い、またはITに興味を持つ人材を育てることで、セキュリティ人材を得ることができます。同時に、必ずしもすべてのセキュリティシステムが、セキュリティ人材でなければ扱えないように設計されていることもありません。雇用する側、管理する側の人間がITに疎くても、ITが苦手でも、セキュリティを高められるように設計されているものもありますので、不安を感じず、自分自身がセキュリティ人材になるという位の勢いでセキュリティに取り組むことも視野に入れてみましょう。

まとめ：情報の重要性によらず徹底した情報資産管理を

今回は、情報資産に関する基礎知識や情報資産を失わないために把握すべきことをご説明しました。企業や組織に属する人間として、業務を遂行する中で個人情報や機密情報を扱うことはあるでしょう。日々流れゆく作業や業務においてデータの大切さや重要性を見失わないようにすること、情報資産を守ることが企業や組織だけでなく、属する従業員として自分自身を守ることだと理解してもらうことで、社内や組織内全体で情報資産を大切にすることが可能になるでしょう。

もっと知りたい！ "統合型IT運用管理「AssetView」製品資料" はコチラ >>