情報資産とは | IT資産管理ツールでリスク回避する方法とその分類
目次を閉じる
- 情報資産とは
- 情報資産の一覧と例
- 製品・ノウハウなど競争のための情報
- 顧客・サプライチェーンに関する情報
- 経営上の情報
- 従業員の個人情報
- システム・設備などに関する情報
- 情報資産が重要な理由とは
- 競争力の強化
- 企業パフォーマンスの向上
- セキュリティ意識の向上
- 情報資産と脅威・ぜい弱性
- 情報の漏えい
- 情報の暴露
- 情報の改ざん
- 情報の破壊
- 情報資産の脅威とは
- 不正アクセス
- ネットワークの盗聴
- スパイウェア・アドウェアなどのマルウェア
- 内部からの情報漏えい
- 情報資産管理のために必要なこと
- 記憶媒体の管理
- ログの保存や監視
- 情報資産のリスク回避
- リスクが高いサービスの見極め
- データの安易な作成停止と不要なデータの消去
- 適切な資産管理ツールの活用
- 情報資産の分類とセキュリティレベルの設定
- 情報資産の分類
- 重要度とリスクレベルを対応させる
- 情報資産とISMS
- IT資産管理ツールとは
- IT資産管理ツールのメリット
- ネットワーク内端末一元管理
- ソフトウェアなどのツール導入効率化
- セキュリティ強化
- IT資産棚卸の簡略化
- IT資産管理ツールで、自社の情報資産を確実に守る
- BOXILとは
情報資産とは
情報資産とは、企業経営の根幹をなす重要な経営資源である情報と、情報の収集や処理、保管のための装置をさします。経営資源のひとつである情報をいかに収集、管理、活用できるかはいまや企業の命運を分ける一要素といっても過言ではないでしょう。
情報資産の一覧と例
一口に情報資産といっても、開発の商品の情報や顧客データ、社内のプライバシーと、内容は多岐に渡ります。情報資産を分類したうえで各情報資産の例について紹介します。
製品・ノウハウなど競争のための情報
情報資産としてまず挙げられるのが、開発中の新商品に関する情報や商品の製造工程に関する工程表、今後の生産計画書といったものです。
これらの情報が流出すると、ライバル企業にさきに開発されたり類似商品が安価に市場にでまわったりし、企業の競争力は著しく低下するでしょう。特許権を取得して保護しているケースも少なくありません。
顧客・サプライチェーンに関する情報
顧客・サプライチェーンに関する情報も保護すべき情報資産です。
自社がどの企業から仕入れを行っているか、どこに販売をしているかが明るみに出ることによって取引先に迷惑をかけるかもしれません。また、顧客情報の流出に関してはさらに大きな問題になりえます。個人情報漏えいが発覚した場合は、顧客に迷惑をかけることはもちろん、刑事上、民事上の責任を追及されることもあります。
経営上の情報
資金繰りの状態、今後の人事配置の予定、推進している事業の計画といった経営上も情報資産に該当します。
これらの情報が流出すると、経営状態が不本意な形で不特定多数に明らかになるのはもちろん、従業員の動揺や噂の種にもなりかねません。また、取引先との共同事業の報告者や契約書といった第三者に関わる情報が漏えいした場合は、第三者の信頼も低下します。
従業員の個人情報
家族構成や年収、マイナンバーといったプライバシーに関わる情報も情報資産に含まれることがあります。
こうした情報の漏えいは従業員のプライバシーが毀損されることはもちろん、従業員のエンゲージメント低下や離職につながる可能性もあります。
システム・設備などに関する情報
情報資産には、金庫の暗証番号、コンピューターにログインするためのパスワード、会社出勤するためのICカードも該当します。
システム・設備などに関する情報は、情報流出自体もさることながら二次被害の可能性が大きい傾向にあります。たとえば、コンピューターのログイン情報が盗まれると、勝手にコンピューターから顧客情報や生産計画といった情報が盗まれるかもしれません。
情報資産が重要な理由とは
情報資産が重要な理由は次の3つです。
- 競争力の強化
- 企業パフォーマンスの向上
- セキュリティ意識の向上
競争力の強化
企業経営者は、「情報」に基づいて経営判断を行っていきます。つまり、情報は企業経営の根幹を成す重要な経営資源です。情報はうまく活用することで企業を活性化させるので、競争力の源泉となります。
企業パフォーマンスの向上
顧客情報、市場や仕入先の情報などの企業経営に必要な情報は、一部の従業員や経営幹部だけが持っていても有効活用にはつながりません。適切な範囲で情報共有を行うことによって、企業の業績・パフォーマンスは向上していきます。
セキュリティ意識の向上
情報の共有が重要な一方で、取引先や顧客から預かっている情報については適切な管理が求められます。情報漏えいは、企業の信用失墜や機会損失、賠償責任などといった重い負担にもつながる可能性があります。
しかし、情報を安全に守りつつ活用するには、そのための知識と取り組みの姿勢が必要です。
情報資産と脅威・ぜい弱性
情報資産に損害を与える脅威としては、情報の消去や改ざん、漏えいなどがあります。このような脅威の原因となるぜい弱性には、注意が必要です。
情報の漏えい
情報の漏えいには、機密情報の売買目的での持ち出しなど悪意のある行動によるものと、機器の操作ミスによって誤って漏えいしてしまうものがあります。
このように原因がいくつかある情報漏えいは対策を複合的な視点から取り組む必要があります。
情報の暴露
情報の暴露とは、ネットワーク上の通信内容を第三者が取得し、意図しないところで公開されてしまうものです。このような状況を防ぐためには、ネットワークの通信設定を見なおす必要があります。
情報の改ざん
情報の暴露とは、ネットワークでの通信内容が傍受され、通信内容が別の内容に書き換えられてしまうことです。こちらもネットワークの通信設定を見直して、情報の改ざんを防いでいくことが求められます。
情報の破壊
情報の破壊とは、データが保存されたファイルを物理的に破壊してしまうなどして、データが正しく使えなくなることを言います。
情報資産の脅威とは
情報資産の脅威は主に次の4つです。
- 不正アクセス
- ネットワークの盗聴
- スパイウェア・アドウェアなどのマルウェア
- 内部からの情報漏えい
不正アクセス
不正アクセスとは、本来アクセス権限を持たない者がサーバーや情報システムの内部へ侵入する行為です。
不正アクセスを受けた結果、サーバーや情報システムが停止してしまったり、重要な情報が漏えいしてしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼします。
ネットワークの盗聴
ネットワークの盗聴とは、ネットワーク通信上やコンピュータ上のデータを不正に盗み取ることです。
盗聴の際には、特殊な装置も必要なくネットワーク盗聴を可能にするツールを使用することにより、 攻撃者は手軽にデータ内容を盗み見られます。
本来上記のようなツールは、ネットワーク上のデータを監視したり、情報を追跡したりするためのもので、ネットワーク管理用のものです。しかし、攻撃者には盗聴目的で悪用されることがあります。
スパイウェア・アドウェアなどのマルウェア
マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。これにはコンピュータウイルスやスパイウェアなどがあります。
マルウェアについては次の記事で詳しく解説しています。
内部からの情報漏えい
内部スタッフによる情報漏えいも少なからず発生しています。たとえば、2014年に発生した大手通信教育企業での大規模な個人情報漏えい事件では、派遣社員の技術者が社内規定をかいくぐって個人情報を抜き取り名簿業者に販売していました。
このような内部犯による情報漏えいは企業経営に与える影響も大きく、情報資産管理においてはもっとも大きな脅威となりつつあります。
情報資産管理のために必要なこと
情報資産管理を適切に行うために、企業は次のような対応が必要です。
記憶媒体の管理
情報資産となるデータの保存に利用している記憶媒体を把握し、情報資産管理台帳やシステムを使って管理します。
記憶媒体の種類には、紙、USBメモリ・SDカード・SSD・HDD、パソコンやスマートフォン・タブレットなどが挙げられます。これらデータの記憶が可能な媒体を網羅して把握しましょう。すべての記憶媒体について、誰が何を持っているかなどを記録して管理することで、万一紛失があった場合にも対応しやすくなります。
とくに、USBメモリなどの記憶媒体は、外部への持ち運びが簡単にできるため、紛失や盗難のリスクも高くなります。重要な情報が含まれていた場合には、情報漏えいのリスクが大きくなるため、適切な管理が必要です。
ログの保存や監視
データの読み書きや保存など、記憶媒体の操作ログを保存・監視することも必要です。
とくに、個人情報や機密情報・社外秘のデータを扱っているものは、すべてログの保存や監視を行う必要があります。さらに、アクセス制限を設けて、特定の人しかアクセスできないようにすることも必要です。紙媒体の場合は、管理しやすいよう電子化し、ログの保存や監視ができるようにしましょう。
もしすべてのデバイスで監視が難しい場合は、重要度の高いデータから管理することで、情報の流出するリスクを軽減できます。
情報資産のリスク回避
情報資産に関するリスクの回避とは、「リスクの要因を排除することでリスクを除去する方策」となります。リスク回避のポイントについて説明していきます。
リスクが高いサービスの見極め
情報資産のセキュリティ対策を検討する際には、まずリスクの内容について検討を行います。このリスク評価において、発生頻度の高いものや事件発生時の費用負担の大きいものは、リスクの高いサービスになります。
このようにリスクの大きいサービスを見極め、場合によっては撤退することも検討しましょう。
データの安易な作成停止と不要なデータの消去
不要なデータの作成をしないことと不要となったデータを消去することも重要です。
2015年の日本年金機構の個人情報漏えい事件では、内部規定に反して個人情報を記載したファイルがネットワーク上に配置され、ファイルから情報漏えいが発生していました。
安易にファイルを作成しないことは、無駄なリスクを排除し、情報資産を守ることにつながります。
適切な資産管理ツールの活用
情報セキュリティに関する事件や事故の発生から、IT資産管理ツールが広まってきました。自社に最適なIT資産管理ツールを活用することによって、情報資産に関するリスクを回避できるようになります。
情報資産の分類とセキュリティレベルの設定
一口に情報資産といっても、会社全体に公開してもよい社員のプロフィール情報から、経営陣と開発部の一部しか知るべきではない新商品の開発情報まで、情報資産の重要度がいくつかのレベルに分類できます。
情報資産を適正に扱うためには、情報資産の重要度に適したセキュリティレベルで情報を防衛する必要があります。
情報資産の分類
情報資産の分類方法に定められた方法は存在しませんが、重要度、リスクレベルの2軸では分類した方がよいです。
重要度とは、情報が会社にとってどの程度重要かを指します。何を持って重要な情報をランクづけるかは企業によって異なりますし、企業全体の視点から優先順位を決定する必要があるので、最低でも管理職クラスが分類には関わった方がよいです。
リスクレベルとは、どの程度情報漏えいする可能性があるのかを指します。たとえば、施錠できない不特定多数が開ける棚に閉まっているファイルは情報漏えいのリスクレベルが高く、鍵付きの棚に閉まっているファイルはレベルが低いことになります。
重要度とリスクレベルを対応させる
重要度の高い情報ほどリスクレベルを低く、重要度の低い情報はリスクレベルが高くても許容できます。よって、重要度の高いレベルなのにリスクレベルが高い情報は早急にセキュリティ対策が求められます。
また、情報の重要度もリスクレベルも会社の方針や技術の進歩などによって日々進化するので、一度情報資産を分類して適正なセキュリティを施せば終了ではなく定期的にリスクアセスメントが必要です。
情報資産とISMS
ISMSとは「情報セキュリティマネジメントシステム」のことです。企業が適切に情報資産を保護の仕組みを構築・運用しているかについて示す基準で、具体的にはJIS Q 27001(ISO/IEC 27001)にて定められています。
JIS Q 27001(ISO/IEC 27001)を取得することにより、企業の情報セキュリティに関する信頼性アップにつながります。
IT資産管理ツールとは
上述の情報資産リスク回避のために、IT資産を適切に使えるように管理する「IT資産管理ツール」の利用が有効です。IT資産管理ツールを利用することによって、「IT資産の一元管理」「ライセンス状況を把握」「ネットワークに接続した機器の使用状況を可視化」などが可能となります。
IT資産管理ツールのメリット
IT資産管理ツールを導入するメリットは次のとおりです。
- ネットワーク内端末一元管理
- ソフトウェアなどのツール導入効率化
- セキュリティ強化
- IT資産棚卸の簡略化
ネットワーク内端末一元管理
IT資産管理ツールを利用することで、一台の端末から社内ネットワークを介して、接続されている端末や機器について、一元管理できます。これにより、稼働していない端末をひと目で確認できるだけでなく、端末のセキュリティ不備も確認が可能です。
多くの端末を一台の端末からネットワークを介して監視できることが、IT資産管理ツールの大きな強みの1つです。
ソフトウェアなどのツール導入効率化
IT資産管理ツールを使って、社内ネットワークを介して各端末へOSのアップデートやソフトウェアのインストールを一度に行えます。
これにより、わざわざ一台ずつソフトウェアをインストールするなどの手間を省けて、各端末のOS環境を常に最適な状態に保てます。
セキュリティ強化
IT資産管理ツールでは、端末へのアクセスなど通信を介するとき、アクセスログを残せます。端末が一元管理できる強みを生かして、不正検知した端末をネットワークから遮断して、アクセス不可にできます。
また、セキュリティホールへの対応をするために、緊急修正プログラムをリモートで配布した後一斉に実行できるので、緊急性の高いものでも即座に対応が可能です。
IT資産棚卸の簡略化
IT資産を運用していくうえで、IT資産の棚卸を定期的に実施する必要があります。しかし、IT資産管理ツールに接続されている資産ならば、稼働状況や使用状況などをシステム内の管理ファイルを台帳として代用可能です。
このため、自社の資産か、端末の使用者はだれかなどを細かく管理し、IT資産の適切な運用に役立てられます。
IT資産管理ツールで、自社の情報資産を確実に守る
情報資産は、企業経営にとって重要な資産のひとつです。
しかし、情報セキュリティ上の問題から情報資産を守るための対策が必要です。とくにこの数年で情報資産に対する攻撃は高度化しており、IT資産管理ツールなどを活用した対策が必要となります。
IT資産管理ツールを活用すれば、情報セキュリティ上の脅威から情報資産を守れます。低価格から利用できるサービスも出てきているため、ぜひ活用を検討してみてください。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
目次
