ISMS(ISO27001)情報資産の洗い出し方法と手順:実務で迷わない具体例と粒度の基準
「情報資産の洗い出し」の目的は、組織が保有する情報資産とその価値を明確にし、適切な管理策を決定することにあります。ISMSを確立する上で、守るべき対象を特定することは不可欠なプロセスです。
しかし、実際に洗い出し作業をする際、「ISMSにおける情報資産とは何?」や「どこまで洗い出せばいいのか?」、「管理が大変にならないか?」といった疑問を抱く方は少なくありません。
この記事では、定義や判断基準から、効率的な洗い出し手順、リスクアセスメントとの連携まで、実務目線で解説します。
この記事で解決できること
- ISMSにおける「守るべき対象」の具体的な判断基準が分かる
- 管理台帳が破綻しないための「適切な細かさ(粒度)」が掴める
- 自社の業務(ビジネスフロー)に沿った、漏れのない洗い出し手順が身につく
- 「グループ化」と「平準化」により、リスクアセスメントの手間を大幅に削減できる
目次
1. ISMSにおける「情報資産」とは
組織にとって価値があり、保護すべき「情報」、およびそれを扱う「媒体・仕組み」のことです。これには単なるデータだけでなく、情報を保存・処理・伝送するための物理的な環境も含まれます。
- 情報そのもの: 製品・技術情報、人事・財務情報、顧客・仕入れ先情報など
- 記録媒体: PC、外部記憶媒体、書類(紙)など
- 処理・伝送の仕組み: サーバー、ネットワーク、クラウドサービス、ソフトウェア、認証情報など
2. 情報資産洗い出しの対象と判断基準
原則としてISMSの適用範囲内のすべてが対象ですが、網羅的なリスト作成は負担が大きいため、「自組織にとって価値のあるもの」に絞るのがコツです。
価値あるものとは、以下のいずれかが損なわれた場合に事業継続や信用に影響を及ぼすものです。
- 機密性: 外部への漏えい防止(外部に漏れるとまずい)
- 完全性: 改ざん・破損の防止(改ざんや破壊されるとまずい)
- 可用性: 必要な時に利用可能であること(紛失やアクセス不可になるとまずい)
※洗い出しの体制:
- 中小企業であれば、全社員を対象に各自が管理している資産を列挙してもらうのがベターです。大規模組織では、課(係)単位で代表者が判断して洗い出すのが効率的です。
3. 情報資産洗い出しの粒度(情報の細かさ)
情報資産の洗い出しの粒度に厳密な決まりはありませんが、細かすぎると管理が煩雑になり、大雑把すぎると適切なリスクアセスメントができません。
おすすめの方法は、「保管場所、保管期間、機密分類などの補足情報が同じもの」を一つにまとめるやり方です。例えば、見積書や契約書、仕様書、計画書、納品書などを「○○業務に関する書類」などとして1つにまとめます。
- 推奨方法: 保管場所、保管期間、機密分類などの補足情報が同じものを一つにまとめます。
- ヒント: 迷った際は「フォルダ分けする際の名称」をイメージすると分類しやすくなります。
- 注意点: 情報資産の更新時に、登録した名称から情報資産の内容が分かるようにしておく必要があります。
4. 情報資産洗い出しの手順と具体例
洗い出しの方法としては、日々の業務フローに着目し、個々のプロセスでどういう情報資産が発生するのかを考えます。全社で共通して所有する情報資産に関しては、セキュリティ委員会などで洗い出しを行います。
- ビジネス機能の分類:
対象とするビジネス機能に分類します。例えば「システム開発」「顧客サポート」「営業」「総務」等に分けます。 - フローごとの列挙:
機能ごとにビジネスフローを検討。例えば、「システム開発」の場合、「① 企画、設計」「② 開発」「③ 運用」「④ 管理」「⑤ その他」という流れになるので、各プロセスにおける資産を「情報資産シート」に記載します。 - 物理的環境の確認:
オフィスやサーバー室を巡回し、PCや保管庫を確認し、物理的な見落としが無いか確認します。 - ヒアリング:
また、部門ごとに聞き取りを行い、漏れを防ぎます。
5. 情報資産管理台帳の作成と管理
ISO/IEC 27001:2022の附属書A「5.9 情報及びその他の関連資産の目録」では、情報資産の目録をそれぞれの管理責任者を含めて作成し、維持することが、管理策として定められています。
洗い出した情報資産は、以下のような事項を含めた目録(管理台帳)として作成・維持します。
- 識別情報
- 所有者
- 利用範囲
- 保管(場所・形態・期間)
- 廃棄方法
- 資産価値(C:機密性 / I:完全性 / A:可用性)
- リスクの所有者
※注意点:所有者(オーナー)の明確化:
- 各情報資産には必ず「所有者」を割り当てます。所有者は、資産の『アクセス権の付与・剥奪』や『不要になった際の廃棄判断』について、セキュリティ担当者と連携して判断を下す役割です。
- なお、所有者は資産を管理する部署の責任者、リスク所有者はその資産から発生するリスクに対して責任を持つ役割を指します。
情報資産台帳(サンプル)
独自の視点:効率的なリスクアセスメント手法
資産管理台帳に「グループ名」という項目を設けて、登録した資産をグループ化することで効率的にリスクアセスメントを行うことができます。保管形態、保管場所、保管サイトが同一であるものを同一グループとして、すべての資産にグループ名をつけます。
グループ化のポイント:
- 同じグループであれば直面する脅威は共通していることが多いため、このグループごとにリスクアセスメントを行います。
- グループ化した資産は、機密性・完全性・可用性(CIA)の評価において「最も価値の高い資産(最大値)」に合わせてランクを平準化します。これにより、グループ全体に対して効率的かつ適切なセキュリティ対策を講じることが可能です。
- 注意点として、最初から(洗い出しの粒度の段階で)グループ化しすぎると、個別の資産が把握できなくなるため注意が必要です。
6. まとめ
資産特定の本質は「詳細な台帳を作ること」ではなく、「適切な対策を決定すること」です。初期の洗い出しはもちろん重要ですが、情報資産は日々追加・変更されます。
組織の事業継続や信用に影響を及ぼすかを意識しながら行うことで、適切なリスク対応へつながります。組織変更やシステム導入時には必ず台帳を更新し、実効性のある運用を継続してください。
更新のタイミング:
- 定期更新: 年1回、全体の見直しを実施
- 随時更新: 組織や業務の変更、システムなどの導入、セキュリティインシデント発生
【本記事の手順を今すぐ実践できるツール】
解説通りの「情報資産管理台帳」や「リスクグループ分析対策表」、情報資産の洗い出しからリスク対応までの対応手順を記した「リスクマネジメント管理規程」をパッケージ化した「ISMSサンプル文書集」を販売しています。具体的な手順をゼロから構築する時間を大幅に削減できます。
7. よくある質問(お客様の声)
- Q. ISMS情報資産一覧への記載方法について敷地や建物、部屋も資産として登録すべきですか?
- A. 「敷地や建物自体」を独立した資産として登録するかは、その場所特有の物理的脅威(災害や不法侵入など)を個別に評価したいかによって決まります。
→ ISMS情報資産一覧への記載方法についてはこちら - Q. 外部メールやクラウド上のデータも、情報資産台帳への記載が必要ですか?
- A. メールデータやWebサイトのデータは、原則としてすべて「情報資産台帳」への記載が必要です。
→ 外部メールやクラウド上のデータについてはこちら - Q. 情報資産台帳の「保有者」と「リスク所有者」への記載方法
- A. 「保有者」を部署名にすることは可能ですが、責任の所在を具体化する工夫が必要です。また、「リスク所有者」の一元化は一般的ですが、最終的な決定権限との整合性がポイントとなります。
→ 「保有者」と「リスク所有者」についてはこちら - Q. 情報資産洗出し作業で、情報の数量(件数)は把握してないとまずいものなんでしょうか?
- A. 「厳密な1件単位の把握」は必須ではありませんが、「資産の影響度を測るための目安としての数量」の把握は不可欠です。
→ 情報の数量(件数)についてはこちら
