ISMS情報資産一覧への記載方法について。敷地や建物、部屋も資産として登録すべきですか?
物理的セキュリティに関する、情報資産の記載方法、情報資産の洗い出しについて教えてください。
たとえば、工場などの場合、工場敷地と建物があると思います。また、工場建物がA棟、B棟と別れている場合や、A棟が1F、2F、3Fとある場合もあるかと思います。
そのような場合、情報資産一覧表にはどのように記載すればよいのでしょうか。
機密エリアがA棟の1F、2F、3Fにそれぞれ存在します。
工場敷地や建物も情報資産として記載し、リスクアセスメントを実施する必要がありますか。
A棟に機密情報が保管されていると考えると敷地も建物もアセスメントを行う必要があるように思います。
防犯的な考えと情報セキュリティ面とのリスクアセスメントの区別が分かりにくいところもあります。
敷地、建物、部屋の情報資産としての考え方、情報資産一覧表への記載方法についてご説明をお願いできますでしょうか。
物理的セキュリティにおける資産の洗い出しと、リスクアセスメントの進め方について回答申し上げます。
結論から申し上げますと、「敷地や建物自体」を独立した資産として登録するかは、その場所特有の物理的脅威(災害や不法侵入など)を個別に評価したいかによって決まります。
1. 情報資産と物理的環境の捉え方
ISMS(JIS Q 27001)では、守るべき対象を「情報そのもの」と、それを支える「付随資産(建物・設備等)」に分けて整理します。
- 管理策としての扱い:
多くの場合、「機密情報(データ)」を主資産とし、建物や部屋はその情報を守るための「環境(管理策)」として扱います。建物自体を資産一覧には載せず、リスクアセスメントの中で「保管場所の施錠状況」や「入退室管理」として評価します。 - 物理的資産を登録すべきケース:
工場の建物が老朽化しており「地震による倒壊」が情報喪失の直接的脅威になる場合や、重要拠点(A棟など)が複数あり、それぞれ環境リスクが大きく異なる場合は、建物や部屋を「資産」として登録し、個別にアセスメントを行う方が適切です。
2. 情報資産一覧表への記載イメージ
エリアごとに機密レベルが異なる場合は、以下のように「場所」と「資産」を紐づけて記載します。
| 分類 | 資産名称 | 保管場所 | 主な脅威 |
|---|---|---|---|
| 物理資産 | 工場A棟 | ○○敷地内 | 自然災害(地震・火災) |
| 物理資産 | A棟2F 開発室 | A棟2F | 部外者の侵入、のぞき見 |
| 情報資産 | 設計図面データ | 開発室サーバ | 漏えい、システム故障 |
3. 防犯対策と情報セキュリティの統合
「防犯」はISMSにおける「物理的安全管理措置」の一部です。敷地フェンスやICカードキーの導入は、防犯目的であると同時に、機密情報を物理的に隔離するための重要なセキュリティ対策として評価されます。
ご質問の「防犯的な考え」と「情報セキュリティ」の区別については、以下のように整理すると分かりやすくなります。
- 防犯:
主に「人」や「物(設備)」を物理的な侵害から守る。 - 情報セキュリティ:
物理的な侵害の結果として起こる「情報の漏えい・滅失・毀損」を防ぐ。
4. 実務のアドバイス
全ての敷地や建物を詳細にリストアップすると、アセスメントの工数が膨大になります。「機密情報が集中しているエリア(A棟など)」や「特別な対策が必要な場所」に絞って資産登録を行うことで、メリハリのある管理が可能になります。
殆どの企業では、「機密情報」からのアセスメントで、「工場」などに関する物理的安全管理措置(入退出管理や施錠や停電など)も網羅されてしまうので、「情報資産一覧表」に登録することはあまりありません。
しかし、例えば、以下の様な脅威まで意識する必要がある場合は、費用対効果も意識し(無限に費用をかけられないため)、「工場」なども「情報資産一覧表」に登録しリスクアセスネントを行う必要があります。
- ① 地震による建物の倒壊 ⇒ 耐震構造の建物にする。
- ② 津波による浸水 ⇒ 堤防の設置や高台への移転
- ③ 火災 ⇒ 防火扉の設置、耐火金庫
- ④ テロによる攻撃 ⇒ 車両停止バリアの設置
- ⑤ その他、色々 ⇒ 業務の廃止や保険への加入など
- 資産 本社ビル
- 脅威 地震による建物の倒壊
- 脆弱性 耐震構造ではない
- 対策 耐震補強工事を行う
まずは、「その建物(場所)に固有のリスクがあるか?」を基準にしてください。全ての棟を等しく記載するのではなく、特に機密性の高い「A棟」や「研究開発室」などを特定してアセスメントを実施することが、効率的かつ効果的なISMS構築のポイントです。
以上、ご参考ください。
