【リスク対策】３．情報資産を洗い出す

今回は情報資産の洗い出しです。
IPAからテンプレートが出ているのでそれを活用していきます。

【勉強会テーマ】リスクって何？対策ってどこまでする？
【ケース】寄付関連業務
【対象】 NPOの情シス・NPOの経営者・寄付したことがある人
【ゴール】
・セキュリティ対策のやり方の感覚を掴む。
・自法人に戻って半日～1日で対策案まで立てられるようになる。
【時間】2時間(うち15分の休憩はさむ)
【アジェンダ】
１．業務フローを書く
２．ステークホルダーを洗い出す
３．情報資産を洗い出す
４．リスクを想定する
５．脅威の大きさを見積もる
６．脆弱性の大きさを見積もる
７．リスク値を計算する
８．対策を考える
９．todoと期日を決める
【前提】
・特定のNPOの事例ではありません。HPを通して寄付を集めて、領収書発行するまでの汎用的な業務フローを想定しています。

前回のおさらい

業務フローを書いたので、そのスイムレーンと、情報セキュリティ対策をする上で一般的に必要な組織図を元にステークホルダーを洗い出しました。
ステークホルダーを洗い出しただけだと、ぱっと見何をしているかはわからないので、各ステークホルダーの役割や関係性を記載しました。

３．情報資産を洗い出す

IPAが情報資産管理台帳を公開しているのでテンプレートとしてはそれを使います。

タイトル未設定

はい、見て作る気力なくなった方！私もそうでした。そしてここは外部の方に「早くやれよー」って常にプッシュしてもらいました。まじで一人ではしんどいです。誰かと一緒にやりましょう。
とは言え、やらないといけないので、段階踏んでやっていきます。出来るところまでやりましょう。

手順１）業務フロー図から情報資産をピックアップする

業務フロー図の以下の2つの図形を参考にリスト化していきます。

・個人情報
・クレジットカード情報
・決済情報
・入金履歴
・領収書

例えば、メールを送る、チャットでやり取りするなど業務があればそこにも情報のやり取りが発生しています。
また、顧客情報をリスト化して何かする業務があるなら、そのリストも対象になります。
なので、厳密にいえばそのあたりの記載も必要になります。
実際IPAのサンプルには、「電子メールデータ」、「顧客リスト」などもあります。

手順２）情報資産ごとに保存先を明記する

情報ごとに保存先を作っていきます。
この時情報資産の名称はそのまま書くより、少し粒度を細かくして書くと後でわかりやすいです。
また、洗い出しは業務フローをイメージしながらやるとよりわかりやすいです。

個人情報であれば以下のような感じです。
・Webブラウザから、一時的にサーバーに保存されて申込される。
・申込された情報は社内のデータベースに保存される。
・データベースから情報を取得するのは、社内システムに自分のパソコンでアクセスして、CSVで取得する。

その他にもやり方としては、各情報を「取得→保管→変更→廃棄」という流れに従って各情報の保管場所を考える方法もあります。

そのような手順で、「情報資産名称」ごとに、「備考」にメモを残しながら「媒体・保存先」を埋めていきます。
※「媒体・保存先」は決まったリストになっています。もし中身を変えたい場合は、Excelの数式を読み解いて変更してください。
分からない場合は、変更しない方が無難です。

手順３）その他セルの穴埋め（緑部分）

その他業務分類（今回は寄付者管理）や、利用者範囲（利用できる人）、管理部署（管理責任部署）、個人情報の種類、保存期間を埋めていきます。
※新しいステークホルダーが出たり、業務フローの修正が必要になる場合もあるので、その場合はあとで追記します。

手順４）評価値の入力

※「５．脅威の大きさを見積もる」の内容を先取りして実施しています。

次に各情報資産、保存先ごとに、資産の評価値（機密性、完全性、可用性）を埋めていきます。ここまで埋めると保存先ごとの資産の重要度が決まります。

IPAから取得した同Excelファイルのシートに評価値の付け方について記載があったので転記します。

ここでわかるように、影響のないものも情報資産として洗い出す必要性が本来あります。「実は重要じゃね、子の情報？」みたいなケースもあるのでできるだけ細かい情報を洗い出していきます。

わかっていたことですが、寄付に関わる情報は重要度が高くなります。
取得時の個人情報もそうですが、そのあと領収書発行などもするため、決済履歴が改竄されると大変なことになるためです。

また、重要度の考え方は各法人によって異なるため、このあたりは担当者だけではなく、経営ともすり合わせる必要があります。

それでは情報資産の洗い出しはここまでとなります！
次回は、リスクを想定していきます。