情報資産とは？IT資産管理ツールでリスク回避する方法とその分類

情報資産とは

情報資産とは、企業経営の根幹をなす重要な経営資源である情報と、情報の収集や処理、保管のための装置を指します。たとえば身近にある紙の書類はもちろん、パソコンのHDDやSSD、USBメモリなどに収められたデータのすべてが情報資産です。

顧客情報や契約書、人事情報のほかにみ見れますも、システムプログラムのソースコードも情報資産として挙げられるでしょう。一見意味のないデータも、蓄積されることで価値を生む可能性もあります。経営資源のひとつであるこれらの情報をいかに収集、管理、活用できるかはいまや企業の命運をわける一要素といっても過言ではないでしょう。

情報資産の一覧と例

一口に情報資産といっても、身近にある自社商品の情報や顧客データから、社内のプライバシーや、企業イメージといった無形資産まで内容は多岐に渡ります。情報資産を分類したうえで各情報資産の例について紹介します。

製品・生産計画など競争のための情報

情報資産としてまず挙げられるのが、開発中の新商品に関する情報や商品の製造工程に関する工程表、今後の生産計画書といったものです。

これらの情報が流出すると、ライバル企業にさきに開発されたり類似商品が安価に市場にでまわったりし、競争力は著しく低下するでしょう。

顧客・サプライチェーンに関する情報

顧客・サプライチェーンに関する情報も保護すべき情報資産です。

どの企業から仕入れを行っているか、どこに販売をしているかが明るみに出ることによって取引先に迷惑をかけるかもしれません。また、顧客情報の流出に関してはさらに大きな問題になりえます。個人情報漏えいが発覚した場合は、顧客に迷惑をかけることはもちろん、刑事上、民事上の責任を追及されることもあります。

経営上の情報

資金繰りの状態、今後の人事配置の予定、推進している事業の計画といった経営上の情報も情報資産に該当します。

これらの情報が流出すると、経営状態が不本意な形で不特定多数に明らかになるのはもちろん、従業員の動揺や噂の種にもなりかねません。また、取引先との共同事業の報告者や契約書といった第三者にかかわる情報が漏えいした場合は、第三者の信頼も低下します。

従業員の個人情報

家族構成や年収、マイナンバーといったプライバシーにかかわる情報も情報資産に含まれます。

こうした情報の漏えいは従業員のプライバシーが毀損されることはもちろん、エンゲージメント低下や離職につながる可能性もあります。

システム・設備などに関する情報

情報資産には金庫の暗証番号や、コンピューターにログインするためのID・パスワード、システムのプログラムーソースコードといったデータが挙げられます。また会社出勤するためのICカードやOS、USBメモリ、ネットワーク機器などの機器類自体も情報資産です。

システムに関する情報や設備類は、流出自体もさることながら二次被害の可能性が大きい傾向にあります。たとえば、コンピューターのログイン情報が盗まれると、勝手にコンピューターから顧客情報や生産計画といった情報が盗まれるかもしれません。

企業イメージやノウハウといった無形資産

企業イメージやノウハウといった、形のない情報も情報資産の1つです。具体的には、企業・製品ブランドのイメージ、従業員のもつスキル・ノウハウなどが挙げられます。商標権や特許権も、形のある情報ではありますが、自社で管理しないため無形資産に数えられます。

これらの情報資産は、競合他社との差別化や、競争力を高めるために重要なものです。企業イメージのように、管理が難しいものもありますが、従業員のスキルやノウハウは、データに書き起こして有形資産として管理・活用できます。

情報資産を管理する必要性

なぜ情報資産を適切に管理すべきなのかは、次の4つが重要な理由として挙げられます。

• 蓄積や分析で価値を高められる
• 競争力の強化
• 企業パフォーマンスの向上
• セキュリティリスクの回避

蓄積や分析で価値を高められる

情報資産は、システムやツールを使って的確に活用をすることで、資産価値が高められます。近年は情報の管理・蓄積・分析を行うための技術が向上しているため、一見価値のないデータでも、蓄積と分析により、新たな価値を生む可能性があるのです。

たとえば顧客の商品購入情報は、全体で集計して分析することにより、個人の好みや市場の変化、ニーズの大きさなどが把握できます。また業務上の書類やメール、メッセージなどの蓄積・分析ができれば、新たな商機を見出すことも可能でしょう。

競争力の強化

蓄積・分析された情報はうまく活用することで他社との差別化や、今後の生産計画や商品展開なども考えやすくなるため、競争力の強化につながります。

また企業経営者は、「情報」にもとづいて経営判断を行っており、情報は多ければ多いほど判断材料も増え、的確に状況を把握して正確な判断が下せます。情報は企業経営の根幹をなす重要な経営資源です。

企業パフォーマンスの向上

顧客情報や市場・仕入先の情報などの企業経営に必要な情報は、一部の従業員や経営幹部だけがもっていても有効活用にはつながりません。適切に管理し、必要に応じて情報共有を行うことによって、業績・パフォーマンスの向上が期待できるでしょう。

セキュリティリスクの回避

情報資産を適切に管理することは、セキュリティリスクの回避にもつながります。近年はインターネットの普及とIT化により、情報の共有がしやすくなった一方で、第三者による悪意のあるサイバー攻撃や、情報漏えいなども起きやすくなりました。

そのため、企業は取引先や顧客から預かっている情報について、厳重な管理が求められます。情報漏えいや情報の改ざんは、信用失墜や機会損失、賠償責任などの重い負担にもつながる可能性があるからです。 しかし情報資産に対する脅威はさまざまなものがあるため、情報を安全に守りつつ活用するには、管理のための知識と体制の構築が必要です。

情報資産の脅威とは

情報資産に起因し、企業に損害を与える脅威としては、情報の消去や改ざん、漏えいなどがあります。

情報の漏えい

情報の漏えいには、売買目的での機密情報もち出しといった悪意のある行動によるものと、機器の操作ミスやぜい弱性を狙ったサイバー攻撃によって、意図せず漏えいするものがあります。

たとえば、悪意のある情報漏えいの事例としては、2014年に発生した大手通信教育企業での大規模な個人情報漏えい事件が挙げられるでしょう。この事件では、派遣社員の技術者が社内規定をかいくぐって個人情報を抜き取り、名簿業者に販売していました。

また近年でも2023年に、大手通信企業の子会社で働いていた元派遣社員が、大規模な個人情報の不正もち出しを行ったことが、事件として報道されています。このような内部犯による情報漏えいは企業経営に与える影響も大きく、情報資産管理においてはもっとも大きな脅威となりつつあります。

くわえて、機器の操作ミスや不正アクセスによる情報漏えいも少なくないため、対策は複合的な視点から取り組む必要があるでしょう。

情報の暴露

情報の暴露とは、ネットワーク上の通信内容を第三者が取得し、意図しないところで公開されることです。このような状況を防ぐためには、ネットワークの通信設定を見なおす必要があります。

情報の改ざん

情報の暴露とは、ネットワークでの通信内容が傍受され、通信内容が別の内容に書き換えられることです。こちらもネットワークの通信設定を見直しやデータの暗号化などにより、情報の改ざんを防ぐことが求められます。

情報の破壊

情報の破壊とは、データが保存されたファイルを物理的に破壊すといったことが原因で、データが正しく使えなくなることをいいます。

情報資産に対する外部からの脅威とぜい弱性

上記のようなトラブルを生む原因の1つとなるのが、サイバー攻撃と呼ばれる外部からの脅威です。サイバー攻撃としては、主に次の3つが挙げられます。また、このような脅威を許す原因となるぜい弱性（セキュリティホール）にも、注意が必要です。

• 不正アクセス
• ネットワークの盗聴
• スパイウェア・アドウェアなどのマルウェア

不正アクセス

不正アクセスとは、本来アクセス権限をもたないものがサーバーや情報システムの内部へ侵入する行為です。

不正アクセスを受けた結果、サーバーや情報システムが停止したり、重要な情報が漏えいしたりと、組織の業務や企業のブランド・イメージなどに大きな影響を及ぼします。

ネットワークの盗聴

ネットワークの盗聴とは、ネットワーク通信上やコンピュータ上のデータを不正に盗み取ることです。

盗聴の際には、特殊な装置は必要ありません。ネットワーク盗聴を可能にするツールを使用することにより、 攻撃者は手軽にデータ内容を盗み見られます。

本来上記のようなツールは、ネットワーク上のデータを監視したり、情報を追跡したりするためのもので、ネットワーク管理用のものです。しかし、攻撃者には盗聴目的で悪用されます。

スパイウェア・アドウェアなどのマルウェア

マルウェアとは、不正かつ有害に動作させる意図で作成された、悪意のあるソフトウェアや悪質なコードの総称です。これにはコンピュータウイルスや、スパイウェアなどがあります。

マルウェアについては次の記事で詳しく解説しています。

情報資産を管理する方法

情報資産を管理する方法としては、情報資産管理台帳の作成やクラウド・共有サーバーを活用した管理方法があります。また、より厳格に管理を行いたい場合は、ISMSに取り組むのもおすすめです。

情報資産管理台帳の作成

情報資産管理台帳とは、企業にどういった情報資産が存在するかを把握し、まとめて管理するための台帳です。どの情報資産を誰がどのように管理しているかが目録に記され、適切に管理できているかが一目でチェックできるため、情報漏えいの早期発見にもつながります。情報資産管理台帳には、主に次のような項目が記載されます。

• 管理する部署・担当者
• 情報資産の登録日
• 保存する媒体や保管場所
• 情報資産の重要度・機密性
• 情報資産の管理期間
• 情報資産の利用範囲
• 想定されるリスク

クラウド・共有サーバーでの管理

外部からの脅威や、悪意のある行動への対策を打ちたい場合は、クラウドや共有サーバーを活用した管理もおすすめです。たとえばクラウドサービスには、アクセス権限を自由に設定できるものがあり、重要な情報が閲覧・編集できる従業員を絞り込むことで、情報漏えいを防止できます。

また社内サーバーを構築し機器やネットワークを適切に設定することで、社外の人間からのアクセスを防げます。システムやサービスのなかには、データ・通信の暗号化を行っているものもあり、これらを使うことでより安全に情報資産の管理が可能です。

ISMSによる管理

より厳格に情報資産を管理したいのであれば、ISMSに取り組むのもいいでしょう。ISMSとは「情報セキュリティマネジメントシステム」のことです。企業が適切に情報資産を保護するための仕組みを構築・運用しているかを示す基準で、具体的にはJIS Q 27001（ISO/IEC 27001）と呼ばれる国際規格で定められています。

ISMSは認証制度があり、取得することで、情報資産を適切に管理するため、必要最低限実施すべき事項・基準を満たせていることが証明可能です。またIMSM認証は、国際規格にもとづいているため、情報保護が適切にできていることを、世界的にアピールできることもメリットといえるでしょう。

情報資産管理のために必要なこと

情報資産管理を適切に行うために、企業は次のような対応が必要です。

記憶媒体の管理

情報資産となるデータの保存に利用している記憶媒体を網羅・把握してください。記憶媒体の種類には、紙、USBメモリ・SDカード・SSD・HDD、パソコンやスマートフォン・タブレットなどが挙げられます。すべての記憶媒体について、どこに何があるかを記録して管理すれば、万一紛失があった場合にも対応しやすくなります。

またシステムやデバイスに関しては、定期的なアップデートや、外部からの脅威に対するセキュリティ対策も行いましょう。重要な情報が含まれていた場合には、情報漏えいのリスクが大きくなるため、適切な管理が必要です。

ログの保存や監視

データの読み書きや保存など、記憶媒体の操作ログを保存・監視することも必要です。

とくに、個人情報や機密情報・社外秘のデータを扱っているものは、すべてログの保存や監視を行う必要があります。さらに、アクセス制限を設けて、特定の人しかアクセスできないようにすることも必要です。紙媒体の場合は、管理しやすいよう電子化し、ログの保存や監視ができるようにしましょう。

もしすべてのデバイスで監視が難しい場合は、重要度の高いデータから管理することで、情報の流出するリスクを軽減できます。

管理する人間への対策

情報漏えいは、データの紛失や操作ミスといったヒューマンエラーや、悪意のある人間の行動によっても発生するため、管理する人間への対策も重要です。システム上のデータを安易に移動・印刷できないようにする、といった対策を行います。

紙媒体であれば、管理する場所を固定し、別の場所に放置しないことや、保管場所を施錠するのもいいでしょう。また、従業員のセキュリティに対する意識を高めるのも重要です。

情報資産管理でリスクアセスメントを行う流れ

リスクアセスメントとは、職場にひそむ危険性や有害性を調査し、発見されたこれらのリスクに対し対策を行う一連の手順のことです。情報資産を管理するうえでも重要な活動であり、ISMSでも必要な取り組みである、情報資産におけるリスクアセスメントの流れを紹介します。

情報資産の洗い出し

前述したように社内に存在するデータのすべてが情報資産であるため、これを網羅して管理するためには情報資産の洗い出しを行い、目録を作成するのが重要です。洗い出しの方法としては、業務フローに沿って行うのがおすすめです。

たとえば受注から納品までの一連の業務を確認し、そこで発生する書類やデータ、使用するシステムなどをチェックすれば、抜けや漏れを防ぎやすくなるでしょう。また、上記で紹介した「情報資産の一覧と例」のように、カテゴリーごとに情報資産を考えると業務フローで使う以外の情報資産もチェック可能です。

情報資産の分類

一口に情報資産といっても、会社全体に公開してもよい社員のプロフィール情報から、経営陣と開発部の一部のみが知る新商品の開発情報まで幅広く存在します。そのため情報資産を適正に扱うためには、情報資産を重要度で分類し、それぞれに適したセキュリティレベルで情報を防衛する必要があるでしょう。

重要度とは、情報が会社にとってどの程度重要かを指します。たとえば「機密情報・社外秘・公開情報」といった、情報漏えいした場合の重大さによる重要性分類の仕方が挙げられます。そのほかISMSでも分類の例が示されているため、これを参考にするのもおすすめです。

ただし何をもって重要な情報をランクづけるかは企業によって異なり、守るべき基準も存在しないため、自社で運用しやすい分類を行ってください。また企業全体の視点から優先順位を決定する必要があるので、最低でも管理職クラスが分類にかかわった方がよいでしょう。

情報資産の脅威・ぜい弱性特定とリスクレベルの決定

次に、分類した情報資産にどのような脅威やぜい弱性があるかリスク分析を行い、リスクレベルを決定します。リスクレベルとは、どの程度情報漏えいする可能性があるのかを指す言葉です。

たとえば、施錠できない不特定多数が開ける棚に閉まっているファイルは、情報漏えいのリスクレベルが高く、鍵付きの棚に閉まっているファイルはレベルが低いといえます。洗い出した情報資産の管理状況を確認し、前述した脅威やぜい弱性のうち、どういったリスクが考えられるか分析し、リスクレベルを決定しましょう。

重要度とリスクレベルを対応させる

最後に、情報資産の重要度とリスクレベルを対応させるため、セキュリティ対策を実施します。通常は重要度の高い情報ほどリスクレベルは低くあるべきで、逆に重要度の低い情報は多少リスクレベルが高くても問題ありません。よって、重要度が高いにもかかわらず、リスクレベルも高い情報は早急にセキュリティ対策が必要です。

セキュリティ対策の例としては、前述したような紙の保存からデータ保存への切り替えが挙げられます。たとえば紙の名刺を個人で保管していた状態から、名刺管理システムを導入したとします。名刺情報はスキャンしてクラウド管理を行い、紙の名刺を破棄すれば、会社で名刺を管理する必要がなくなるため、セキュリティを高められるでしょう。

またリスクアセスメントは一度情報資産を分類して、適正なセキュリティを施せば終了ではありません。情報資産は頻繁に増減するものであり、重要度もリスクレベルも会社の方針や技術の進歩などによって日々進化します。常に情報資産を適正に管理するため、定期的にリスクアセスメントを行いましょう。

情報資産を管理するポイント

情報資産を適正に管理するためには、次のポイントに注意して運用を行いましょう。

情報資産管理の担当者を決める

実際に情報資産を管理するのは各部署であるため、どの情報資産を誰が管理するか、担当者や責任者を決めることで、現場の情報資産管理に対する意識を高められます。ISMSでも規格要求事項において、情報資産の管理責任者を特定することが求められています。

また必要に応じて責任者にセキュリティ研修を実施すれば、さらに管理に対する意識を高められ、安全に情報資産を管理できるでしょう。

情報資産管理のルールを策定する

情報資産管理をそれぞれ独自の方法で行うとセキュリティの穴が生まれやすいため、組織全体で管理方法のルールを統一、もしくは策定しましょう。アクセス権限はどこまで付与するか、データはどこにいつまで保管するか、記憶媒体のもち出しは誰がどのようにできるのか、などのルールを決めましょう。

また情報セキュリティポリシーを作成・公開できれば、従業員のセキュリティ意識を向上するとともに、取引先やユーザーからの信頼を得ることも可能です。

従業員への理解を求め周知徹底する

策定したルールを守り、実際に情報資産管理を行うのは従業員であるため、ルール運用への理解を求め、遵守できるよう周知徹底を行ってください。日々の業務のなかでは何気ないデータが情報資産であることは理解しにくく、セキュリティへの意識が低ければヒューマンエラーが発生しやすくなります。

そのためただルールや情報資産の種類を説明するのではなく、情報資産の重要性や、漏えいした場合どれだけリスクが高いか、不正を働いた場合のリスク・罰則などもあわせて伝えましょう。

リスクが高いサービスの見極め

現在すでにシステムやクラウドサービスを利用している場合は、システム・サービス自体のリスクを調査してください。リスク評価のポイントは、トラブルの発生頻度や、事件発生時の費用負担です。障害といったトラブルが頻繁に発生している場合や、運営側のミスで損害が発生した場合でも補償が出ない場合は、リスクの高いサービスといえます。

このようにリスクの大きいサービスを見極め、場合によっては撤退することも検討しましょう。

データの安易な作成停止と不要なデータの消去

不要なデータの作成をしないことと、不要となったデータを消去することも重要です。

2015年の日本年金機構の個人情報漏えい事件では、内部規定に反して個人情報を記載したファイルがネットワーク上に配置され、ファイルから情報漏えいが発生していました。

安易にファイルを作成しないことは、無駄なリスクを排除し、情報資産を守ることにつながります。

適切な資産管理ツールの活用

情報資産を適正に管理するためには、IT資産管理ツールといった資産管理ツールの活用がおすすめです。前述したように、管理すべき情報資産の数は膨大で、Excelや紙といったアナログで管理やセキュリティ対策を行うには限界があります。

実際情報セキュリティに関する事件や事故の発生は多く報告されており、これをきっかけにIT資産管理ツールが広まってきました。IT資産管理ツールは、効率的に情報資産管理ができるため、自社に最適なツールを活用することで、情報資産に関するリスクを回避できます。

IT資産管理ツールとは

IT資産管理ツールとは、パソコンやスマートフォンといったハードウェアや、ソフトウェア、ライセンスといったIT資産を管理・活用ができるツールのことです。

IT資産管理ツールを利用することによって、「IT資産の一元管理」や「ライセンス状況を把握」、「ネットワークに接続した機器の使用状況を可視化」などが可能です。またIT資産管理ツールを活用すれば、効率的に情報資産が管理できるため、ISMSにも取り組みやすくなります。

IT資産管理ツールのメリット

IT資産管理ツールを導入するメリットは次のとおりです。

• ネットワーク内端末一元管理
• ソフトウェアといったツール導入効率化
• セキュリティ強化
• IT資産棚卸の簡略化

ネットワーク内端末一元管理

IT資産管理ツールを利用することで、一台の端末から社内ネットワークを介して、接続されている端末や機器を、一元管理できます。これにより、稼働していない端末をひと目で確認できるだけでなく、端末のセキュリティ不備も確認が可能です。

多くの端末を一台の端末からネットワークを介して監視できることが、IT資産管理ツールの大きな強みの1つです。

ソフトウェアといったツール導入効率化

IT資産管理ツールを使って、社内ネットワークを介して各端末へ、OSのアップデートやソフトウェアのインストールを一度に実行できます。

これにより、わざわざ一台ずつソフトウェアをインストールする手間を省けて、各端末のOS環境を常に最適な状態に保てます。

セキュリティ強化

IT資産管理ツールでは、端末へ通信を介するとき、アクセスログを残せます。端末が一元管理できる強みを生かして、不正検知した端末をネットワークから遮断して、アクセス不可にできます。データや通信の暗号化ができるツールであれば、さらに安全性も高められるでしょう。

また、セキュリティホールへの対応をするために、緊急修正プログラムをリモートで配布した後一斉に実行できるので、緊急性の高いものでも即座に対応が可能です。

IT資産棚卸の簡略化

IT資産は運用していくうえで、IT資産の棚卸を定期的に実施する必要があります。しかし、IT資産管理ツールに接続されている資産ならば、稼働状況や使用状況などを一目で把握できます。つまりIT資産管理ツールの管理ファイルを、情報資産台帳として代用できるのです。

現在使われていないシステムのチェックや、新しいシステムの登録も手軽にできるため、IT資産の適切な運用に役立てられます。

IT資産管理ツールで情報資産を確実に守ろう

情報資産は、企業経営にとって重要な資産のひとつです。

しかし、情報セキュリティ上の問題から情報資産を守るための対策が必要です。とくにこの数年で情報資産に対する攻撃は高度化しており、各種管理システムやIT資産管理ツールなどを活用した対策は重要性を増しています。

IT資産管理ツールを活用すれば、情報セキュリティ上の脅威から情報資産を守れます。低価格から利用できるサービスもあるため、ぜひ活用を検討してください。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}