📌 結論から理解する
情報資産=「守るべき価値のあるもの」すべて
情報資産とは、組織が保有する情報・知識・システム・人材など、セキュリティで保護すべき価値のあるもの全体を指します。
セキュリティ管理の出発点は「何を守るか」を明確にすること。情報資産台帳の作成が第一歩です。
「情報資産の例」「情報資産台帳」「情報分類」「資産の価値評価」が試験頻出項目です。
情報資産の種類
| カテゴリ | 具体例 |
|---|---|
| 情報・データ | 顧客情報・財務データ・個人情報・設計図・ソースコード・契約書・メール |
| ソフトウェア | 業務システム・OS・アプリケーション・データベース |
| ハードウェア | サーバ・PC・スマートフォン・ネットワーク機器・USBメモリ・プリンタ |
| ネットワーク | 社内LAN・インターネット回線・VPN・無線LAN設備 |
| 人的資産 | 従業員のスキル・知識・ノウハウ・業務経験 |
| 物理的資産 | 建物・サーバ室・電源設備 |
| 無形資産 | ブランド・信用・特許・ノウハウ |
「紙の書類・口頭の会話・人の知識も情報資産」という点が試験で問われます。「デジタルデータだけ」ではない!
情報資産台帳(情報資産目録)
組織が保有する情報資産を一覧にまとめた文書。ISMSの必須文書の一つです。
| 資産名 | 種類 | 保管場所 | 重要度 | 管理責任者 |
|---|---|---|---|---|
| 顧客マスタDB | データ | 社内サーバ | 最高 | 情報システム部長 |
| 財務帳票 | 書類 | 経理部キャビネット | 高 | 経理部長 |
| 営業ノート | 紙 | 営業部デスク | 中 | 営業部長 |
情報資産台帳には「資産の種類・保管場所・責任者・重要度・リスク評価」などを記載する
情報の分類(機密区分)
すべての情報を同じように守るのは非効率です。重要度に応じて分類し、それぞれのルールで管理します。
極秘
漏えいが組織に致命的な損害をもたらす情報。アクセスは厳格に制限。例:M&A計画・新製品の設計図
機密
社外秘。漏えいすると競合優位が失われる情報。例:顧客リスト・財務データ・人事情報
社内限
社内での共有は可だが社外には出せない情報。例:社内規程・議事録・業務マニュアル
公開
一般公開して問題ない情報。例:プレスリリース・会社概要・採用情報
情報資産の価値評価
リスクアセスメントでは、情報資産の価値(重要度)を評価します。評価の観点は3つ:
| 観点 | 評価するポイント |
|---|---|
| 機密性の観点 | 漏えいした場合の損害の大きさ |
| 完全性の観点 | 改ざん・破損した場合の業務への影響 |
| 可用性の観点 | 使えなくなった場合の業務停止の深刻さ |
3つの観点を総合して資産の価値(重要度)を決め、重要度が高いほど厳密な対策を実施します。
よくある勘違い
「情報資産=個人情報だけ」は誤り。設計図・ノウハウ・信用・ブランドなど、多様な資産が対象です。
「情報資産台帳は一度作れば終わり」は誤り。新システム導入・業務変更のたびに更新が必要です。
🧠 確認クイズ
Q1. 情報資産に含まれないものはどれか?
Q2. 情報資産台帳に記載すべき項目として最も適切でないものはどれか?
Q3. 機密区分「社内限」の情報の取り扱いとして正しいのは?