情報資産管理台帳とは?作成方法や運用について解説
企業や組織において、情報資産は重要な経営資源の1つです。
しかし、その価値ある情報資産を適切に管理しなければ、情報漏えいや業務停止などのリスクにつながりかねません。
本記事では、情報資産管理台帳の基本について解説します。
情報資産とは何か、台帳の作成が必要な理由や作成方法など、情報資産を管理する担当者が押さえておきたいポイントをまとめました。
情報資産管理台帳の活用方法を理解することで、組織や企業の情報管理体制をより安全なものにできるでしょう。
情報資産の管理担当者や、情報資産とは何か?と頭を悩ませている方は、ぜひ参考にしてください。
情報資産管理台帳とは
情報資産管理台帳とは、組織が保有する情報資産を一元的に管理するために作成されるリスト化した台帳です。
所有している情報資産の内容や保管方法、重要度などがまとめられており、情報の所在や管理状況を明確にする役割を持ちます。
情報資産管理台帳を作成する主な目的は、情報セキュリティポリシーを策定・運用するためです。
情報資産とは
情報資産とは、企業・組織・個人が所有している「ヒト・モノ・カネ」に関する情報およびデータ全般のことです。
顧客情報や財務情報といった「情報そのもの」だけでなく、それらを保存・管理する「媒体やインフラ」も含まれます。
「ヒト・モノ・カネ」と「情報」の4つをあわせて「4大経営資源」とし、企業にとっては欠かせないものです。
情報資産へのサイバー攻撃や不正アクセス・データ改ざんなどに繋がると、企業の信用度や経営に大きな影響を及ぼしかねません。
企業はトラブルを起こさないための対策と、発生時の対応を検討しておく必要があります。
情報資産として扱われるもの
情報資産を大きく分けると「情報(データ)」と「情報を取り扱う媒体・インフラ」に分類されます。
それぞれに含まれる資産の例について、詳しく見ていきましょう。
情報(データ)
情報(データ)に含まれる資産の例は以下の通りです。
- 製品技術情報
- 財務情報や人事情報
- 顧客および従業員の個人情報
- 特許や著作権などの知的財産
- システムやネットワークに関する情報
上記は社外秘の情報がほとんどであり、流出すると企業としての信頼や競争力の低下につながりかねません。
企業や組織にとって重要なものであることを理解し、適切な管理を心がけましょう。
情報を取り扱う媒体・インフラ
製品情報や個人情報だけでなく、情報を取り扱う媒体やインフラも情報資産として取り扱われます。
- 紙で管理している情報・資料
- データとして管理している情報・資料
- PC、モバイル端末、サーバーなどのハードウェア
- USBデバイスやSDカードなどの記憶媒体
- OSやアプリケーションなどのソフトウェア
- クラウド上で利用するサービス
実際のデータはもちろん、上記の媒体やインフラの管理体制を整えることも重要です。
情報資産管理台帳に記載すべき内容
情報資産管理台帳に記載すべき内容は、主に以下の項目です。
- 情報資産の名称(社員名簿・顧客リストなど)
- 備考(情報資産名称の補足)
- 業務や部署名(経理・人事など)
- 利用者の範囲(情報資産を利用できる部署)
- 管轄部署(情報資産を管理している部署)
- 保存先(サーバー・書類など)
- 個人情報の有無(個人情報が含まれる場合その種類も記入)
- 重要度(情報資産の評価値を記入)
- 保管場所(人事部書庫・サーバー室など)
- 保管期間(廃棄、消去が必要となる期限)
これらの項目は定期的に更新し、最新情報の反映が求められます。
なお、情報資産管理台帳に記載・管理する種類は多岐にわたり、業界ごとの適した項目設定が必要となるでしょう。
参考:IPA 独立行政法人 情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」
情報資産管理台帳の作成が必要な理由
情報資産管理台帳の作成が必要な理由は、大きく以下の5つに分けられます。
- 情報の可視化による業務効率の向上
- リスク管理を強化する
- コンプライアンスを遵守する
- 知的財産を保護する
上記の内容について、詳しく見ていきましょう。
1.情報の可視化による業務効率の向上
情報資産管理台帳を作成することで、それぞれの資産の所在を正確に把握できます。
部署ごとに情報を個別管理している場合、企業として資産を把握できないケースは珍しくありません。
情報資産管理台帳では情報資産の保管場所や利用者情報などを一元管理することが一般的です。
必要な情報がどこにあるかをすぐに把握できるため、探す時間や手間がかかりません。
これにより、業務効率の向上に期待できます。
また、管理対象から漏れていた情報やアカウント、常態化しているソフトウェアやサーバーの把握にも効果的です。
不要なアカウントが特定できるため、IT関連のコストを削減したい場合も情報資産管理台帳は効果的な選択肢となるでしょう。
2.リスク管理を強化する
情報漏えいや不正アクセスなど、情報資産に対するリスク管理を強化できるのも作成する理由の一つです。
情報資産管理台帳によって、それぞれの資産の重要度や脅威・脆弱性を把握できます。
例えば導入しているソフトウェアに脆弱性がある場合、情報漏えいやデータの損失につながるかもしれません。
このリスクを放置していると、必要なデータが知らないうちに失われているなどの問題が発生する恐れがあります。
情報資産管理台帳によってリスクを管理・評価していれば、どの部分のセキュリティを強化するかの判断にも効果的です。
3.コンプライアンスを遵守する
コンプライアンスの遵守にも、情報資産管理台帳の作成は効果的です。
プライバシーマーク(Pマーク)や情報セキュリティマネジメントシステム(ISMS)の認証取得を目指す場合、情報資産管理台帳の作成は必須要件となります。
監査が行われる場合も情報資産管理の方法について示すことができ、第三者から見ても適切なセキュリティ対策を実施していることが把握できます。
その他、個人情報保護法をはじめとする、企業に求められる情報管理に関する法令への対策になるため、情報資産管理台帳の作成は必要といえるでしょう。
4.知的財産を保護する
知的財産の保護も、情報資産管理台帳によって期待できる効果です。
例えば営業戦略や商品の仕様などは、他社から知られてはならない重要な資産といえるでしょう。
情報資産管理台帳を作成する際は、まず知的財産に該当する部分を精査しましょう。
精査した後は資産ごとに適切なセキュリティ対策を行うことで、情報や営業戦略が他社に漏えいすることを防止できます。
情報資産管理台帳の作成方法
情報資産管理台帳の作成方法について、詳しく解説します。
情報資産をリストアップする
情報資産管理台帳を作成する際、はじめに行うのは情報資産のリストアップです。
業務フローを可視化し、それぞれのプロセスで使われる情報資産を洗い出すことで、漏れなく把握できるでしょう。
なお、すべての情報資産を記載する必要はありません。
情報漏えいによって大きな損害が想定されるものや、特に保護が必要な情報資産を中心に記載することが重要です。
情報資産ごとに重要度やリスクを評価する
次に、抽出した情報資産について、保護の必要度やリスクを評価します。
具体的には、その情報が業務上どの程度重要か、漏えいや改ざんの可能性があるかなどの観点で判断しましょう。
資産ごとの重要度を評価する方法
情報資産の重要度評価は、一般的に機密性・完全性・可用性の3要素を基準として行われます。
3要素の定義は、それぞれ以下の通りです。
機密性:アクセスを許可された者のみが利用可能か
完全性:情報に正確性があるか、改ざんされないか
可用性:必要なときに利用可能な状態か
各要素のリスクを評価し、その結果を数値化しましょう。
そして、最も高い評価値を情報資産の重要度として取り扱います。
基準の設定自体は企業の裁量で行えますが、評価結果は業務やリスクに直結するため、慎重に判断しなければなりません。
評価基準の設定例
独立行政法人情報処理推進機構セキュリティセンター(IPA)が公表する、「中小企業の情報セキュリティ対策ガイドライン」をもとに、評価基準の設定例を表にまとめました。
出典: 独立行政法人情報処理推進機構セキュリティセンター「中小企業の情報セキュリティ対策ガイドライン」
このような設定例をもとに定めた評価値から、重要度を決定していきます。
各項目を記入する
最後に洗い出した情報資産を台帳に記載していきます。
記入漏れや入力ミスがないよう、正確に記録することが重要です。
情報資産管理台帳を運用するポイント
情報資産管理台帳を運用する際のポイントを解説します。
運用のルールを明確にする
情報資産管理台帳は、定期的な見直しが重要です。
例えば、年に1回棚卸しを実施するなど、ルールを明確に設けておくとよいでしょう。
また、この管理は情報セキュリティ担当者だけでなく、一般社員の協力も不可欠です。
台帳の活用方法まで決めておく
情報漏えいやソフトウェアの脆弱性が発覚した際には、情報資産管理台帳を参照して対応を進めます。
このとき、台帳を具体的にどのように活用するかをあらかじめ決めておくと、実際の運用がスムーズです。
例えば、以下のような方法で情報資産管理台帳は活用できます。
- ソフトウェアに脆弱性があると発覚した際、導入されている端末を特定する
- 情報漏えいの際に閲覧できる部署や社員を特定する
- 外部監査や内部監査の際、管理体制が整っていることを示す
事前に活用フローを策定しておくことで、情報資産管理台帳をより効果的に運用できるでしょう。
社内周知を行う
ルールを明確に定めても、周囲の協力が得られなければ、情報資産管理の運用はうまくいきません。
特に棚卸しを効果的に実施するためには、作業の目的や手順、担当範囲など、具体的な内容を事前に共有しておくことが重要になります。
情報資産管理台帳の運用・作成に活用できるツール
情報資産管理台帳の運用や作成において、活用できるツールをご紹介します。
IT資産管理ツール
IT資産管理ツールは、PCやサーバーなどのハードウェア、OSやソフトウェアなどのIT資産の管理に特化したツールです。
社内のITに関する資産情報を自動的に収集し台帳化できるため、常に最新の状態で情報を把握することが可能となります。
IT資産管理ツールには「エージェントベース」と「エージェントレスベース」の2種類があり、一般的なのはエージェントベースです。
収集できる情報量や導入の手間などに差があるため、自社の運用方法・目的・規模に合わせたものを選びましょう。
MDM(モバイルデバイス管理)
MDM(モバイルデバイス管理)は、スマートフォンやタブレットなどのモバイル端末の管理に特化したツールです。
端末の紛失対策や不要なアプリへのアクセス制御などを行うことで、セキュリティリスクを軽減します。
モバイル端末の業務利用が増えている現代では、情報資産管理の重要性も高まっています。
MDMを導入し端末を一括管理することで、情報漏えいの防止やセキュリティ強化が可能になります。
安全かつ効率的にモバイル端末を活用するには、適切な運用体制の構築が欠かせません。
UEM(統合エンドポイント管理)
UEM(統合エンドポイント管理)は、PCやスマートフォンなど、業務に使用する端末を一元管理できるツールです。
中には、PCやモバイル端末のほか、IoT機器など多様な端末の管理に対応しているものもあります。
これまではPCの管理は主にIT資産管理ツールが利用され、スマートフォンやタブレットなど、モバイル端末の管理はMDMが一般的な選択肢とされてきました。
しかし、端末の種類や台数が増えると、複数のツールを使い分ける管理業務は煩雑になりがちです。
このような課題から、近年では一元管理のニーズが高まっており、一括管理できるUEMが注目を浴びつつあります。
UEMであればネットワークに接続されたエンドポイントがすべて管理対象となることから、より効率的な運用につながる点がメリットです。
情報資産管理台帳は資産ごとの管理や優先度を把握するのに役立つ
情報資産管理台帳は、組織が保有する情報資産を整理・管理するための重要なツールです。
台帳を作成することで、情報資産の所在や保管方法、重要度を可視化でき、情報セキュリティポリシーの策定にも役立ちます。
情報資産管理台帳を作成する際は、情報資産の明確化や、保護の必要度・リスクの評価といったポイントを意識することが大切です。
今回ご紹介した作成手順や運用のポイントを参考に、適切に情報資産管理台帳を整備・運用していきましょう。
モバイル端末のセキュリティ管理はコネクシオへ
情報資産管理台帳は「作って終わり」ではなく、常に最新の状態を維持し続ける運用が求められます。 しかし、PCやサーバーと異なり、常に場所が移動する「スマートフォン」や「タブレット」などのモバイル端末は、台帳の更新や現物確認といった管理工数が膨らみがちです。
特に管理台数が増えれば増えるほど、紛失時の対応やキッティング(初期設定)、台帳への反映といった業務は担当者の大きな負担となり、管理の目が行き届かなくなるリスクも高まります。
情報資産管理台帳を運用することで情報資産を適切に管理できますが、そのためにはどのような運用をするかも整理しなければなりません。
中でもモバイル端末を管理する場合、台数が膨大になると管理が難しくなる可能性も考えられます。
コネクシオが提供する「マネージドモバイルサービス」は、企業のモバイル端末の導入・運用を支援するサービスです。
15年以上の運用実績を誇り、累計57万回線以上のモバイル端末の導入やキッティング、紛失・故障対応などをワンストップで行ってきました。
情報資産管理台帳を作成しても、運用体制が整っていなければ、台帳の活用自体が負担になってしまいます。
モバイル端末の管理にも課題を感じているなら、ぜひ一度ご相談ください。
