ISMS資産管理で「ラック・机」などが一括りの場合、グルーピングでは分けるべきですか?
ISMS認証取得支援パッケージを利用させていただいておりますが、ISMS認証取得ガイドの「4.2グルーピングする」について質問がございます。
グループ化での注意点として
「保管場所による分類で同じ情報形態であっても、保管場所が異なるとグループ化できません」
とありますが、
分類コード表には「ラック、キャビネット、机…」というふうに1つに分類されています。
これはグルーピングの際には分けた方がいいのでしょうか?
情報資産のグルーピング、および分類コード表の解釈について回答申し上げます。
結論から申し上げますと、「保管場所が異なるとグループ化できない」というルールは、場所の名前の違いではなく、「セキュリティレベル(リスクの大きさ)の違い」を指しています。
1. グルーピングの本来の目的
ISMSのリスクアセスメントにおいて資産をグループ化するのは、膨大な数の資産を一つひとつ評価する手間を省き、「同じリスク対策を適用できるものをまとめて効率的に管理するため」です。
「同じ情報形態であっても、保管場所が異なるとグループ化できません」というのは、保管場所の違いにより、情報漏えいの危険が大きく異なる場合は、リスク対応も異なってくるためです。
ガイドにある「保管場所による分類で同じ情報形態であっても、保管場所が異なるとグループ化できません」の記述は、例えば「施錠された金庫」と「誰でも触れる机の上」のように、リスクの大きさが明らかに異なる場合は、適用すべき対策も変わるため、一括りにはできないという意味で記載しています。
2. 分類コード表の解釈と実務的な判断
設置・保管場所は、企業様のオフィス等の状況により異なるかはと思います。例えば、鍵が常にかけられているラックやキャビネットと自由に取り出せる机では、情報漏えいのリスクは異なり、リスク対応も異なってきます。
分類コード表で「ラック、キャビネット、机」がまとめられているのは、一般的なオフィス環境において、それらが「同等のセキュリティレベル(例:同じ執務室内にある)」にあると想定しているためです。
言い方を変えると、「ラックとキャビネット、どちらに保存してもたいして変わらない」ということです。なので、ラックやキャビネットなど、それぞれ分けてグルーピングするのではなく、同じレベルのものとして、同じ分類コードにグルーピングしています。
- 分けるべきケース:
保管場所によって「施錠の有無」や「入退室制限の有無」などのルールが明確に異なる場合。 - まとめるべきケース:
同じエリア内にあり、同程度の機密性を持つ情報を、共通のルール(クリアデスク等)で管理する場合。
なお、例えば、同じ執務室内に並んでいる「ラック」と「キャビネット」と「脇机」をグループ化した場合、部屋自体に入退室管理があり、かつ保管されている情報の重要度が同程度であれば、それらを細かく分ける必要はありません。これらを個別に管理すると、かえってリスクアセスメントが煩雑になり、運用の負担が重くなってしまいます。
3. 運用のポイント
ISMSにおいて詳細に分けすぎることは、リスクアセスメントを煩雑にし、運用の形骸化を招くリスクがあります。まずは「同じ対策ルールを適用できるか」という視点で、できるだけシンプルにまとめることを推奨いたします。
もし現状のオフィス環境で「机」と「キャビネット」のリスクに明らかな差があるならば、その時に初めて分類コードを見直すのが実務的です。
現在のオフィス状況に照らし合わせて、以下の基準で判断されることをお勧めします。
- 対策を使い分けるか?:
「キャビネットは施錠管理するが、机の上はそこまで求めない」という運用ルールにするのであれば、これらは別グループとして分ける必要があります。 - 同じルールで運用するか?:
「このエリアのラック、キャビネット、机に置くものはすべて施錠(またはクリアデスク)を徹底する」というルールであれば、同じ分類コードでまとめて問題ありません。
サンプル文書の「分類コード表」にある「ラック、キャビネット、机、脇机」の記述通りにしていただく必要はありません。
まずは、「同じセキュリティルール(対策)を適用できる範囲」を一つの塊として捉えてみてください。もし保管場所によって明らかにリスクの差があると感じられた場合のみ、分類コードをカスタマイズして細分化するのが、効率的かつ効果的な運用への近道です。
