セキュリオの機能をISMSの観点から見てみよう【情報資産管理台帳】

情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画第7回、今回は情報資産管理台帳機能です！

会社のセキュリティを改善するなら情報セキュリティ教育クラウド「セキュリオ」

※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)

セキュリオ「情報資産管理台帳」機能について

セキュリオ「情報資産管理台帳」機能は、ISMSで作成が求められる情報資産管理台帳をセキュリオ上で作成・管理できる機能です。

一般的な業務に関する台帳のテンプレートなども用意されているので、情報資産のイメージがわかない場合でも必要十分な情報資産の特定を行うことも可能です。

情報資産管理台帳 | 機能紹介 | セキュリオ

ISMS観点から見る情報資産管理台帳機能

情報資産管理台帳機能は規格のどこに当てはまる？対応できる？

【規格本文】

1. 6.1.2 情報セキュリティリスクアセスメント/8.2 情報セキュリティリスクアセスメント
   ＜規格要求＞
   情報セキュリティリスクアセスメントのプロセスの確立、プロセスにもどつく実運用の実行。
   
   要求自体に情報資産の特定、台帳作成が求められているわけではないですが、このリスクアセスメントでは「情報の機密性、完全性及び可用性の喪失に伴うリスクの特定」を行うことになるため、適切なリスクの洗い出しを行う上でも情報資産管理台帳は重要なデータになります。
   

2. 7.5.2 作成及び更新/7.5.3 文書化した情報の管理
   ＜規格要求＞
   文書化した情報の作成、更新、管理の適切な実施。
   
   要求の一部として、「適切な識別や記述の実施」「適切な形式」「配布、アクセス、検索及び利用」「変更の管理」など適切な管理のための様々な取り組みが求められています。
   情報資産管理台帳では、グループや業務ごとの検索を行ったり、また、作成日や更新日、更新者などの関連情報を残すことなども可能です。

【附属書A】

1. 5.9 情報及びその他の関連資産の目録
   ＜規格要求＞
   各情報資産の管理責任者を含めた情報資産目録の作成。
   
   情報資産管理台帳の作成が求められている管理策そのものでもあります。
   情報資産管理台帳機能では管理責任者なども記録しておくことが可能なので、要求を満たす情報資産管理台帳の作成が可能です。
   

2. 5.10 情報及びその他の関連資産の許容される利用
   ＜規格要求＞
   情報の許容される利用に関する規則、取扱手順の明確化、文書化の実施。
   
   具体的な取扱手順は別途ルールなどで規定することになりますが、その中ではその情報を誰が見てもいいのか、使ってもいいのか、といったことを明確化しておくことも重要です。
   情報資産管理台帳機能では、各情報の利用可能者を記録しておくことも可能です。
   

3. 5.11 資産の返却
   ＜規格要求＞
   雇用、契約・合意の変更・終了時に自らが所持する組織の全ての資産の返却の実施。
   
   情報資産管理台帳機能で、組織が管理すべき情報資産を特定しておくことで、退職などが発生する際に何を返してもらわなければならないのか明確化しておくことにもつながります。
   

4. 5.12 情報の分類
   ＜規格要求＞
   機密性、完全性、可用性やセキュリティニーズに従った情報資産の分類の実施。
   
   分類方法の一種として「機密」「社外秘」といった区分わけを行うことなどもあります。情報資産管理台帳では分類区分を記録することも可能なので、各情報がどの程度の重要性を持つのか、どのような取り扱いを行うべきなのか記録することが可能です。
   

5. 5.13 情報のラベル付け
   ＜規格要求＞
   分類体系に従ったラベル付けの策定・実施。
   
   たとえば5.12で挙げたような分類を行っていると、情報資産管理台帳に記載した分類区分に従ってラベル付けをしましょうといった形で共通認識を持ってもらうのに活用するのも可能です。
   

6. 5.18 アクセス権
   ＜規格要求＞
   組織のアクセス制御にルールに従った、情報のアクセス権管理の実施。
   
   情報資産管理台帳において管理責任者や利用可能者を明確にしておくことで、その規定に基づいたアクセス権管理の実施に役立てることが可能です。
   

7. 5.34 プライバシー及び個人を特定できる情報（PII）の保護
   ＜規格要求＞
   適用される法令などに従ってプライバシー・PII保護に関する要求事項を特定、満たすこと。
   
   情報資産管理台帳では個人情報に関するデータ（利用期限、属性、件数、取得方法、開示など）を記録することも可能です。
   なのでただ情報資産を一覧化するだけでなく、個人情報保護法などの法律を適切に遵守するために関連情報を特定しておくことにも役立ちます。
   

8. 8.2 特権的アクセス権
   ＜規格要求＞
   特権の制限、管理の実施。
   
   情報資産管理台帳では前述のように管理責任者などを明確にすることができるので、特権がその通りの設定になっているか確認することなどに役立てることに役立つかもしれません。
   

9. 8.3 情報へのアクセス制限
   ＜規格要求＞
   情報などへのアクセスをアクセス制御に関するルールに従って制限を実施。
   
   情報資産管理台帳では前述のように利用可能者などを明確にすることができるので、ルールに従いながらアクセス権を設定すべき範囲を明確にすることに役立つかもしれません。
   

10. 8.10 情報の削除
    ＜規格要求＞
    必要無くなった時点での情報の削除の実施。
    
    情報資産管理台帳では各情報の保管期間などを記録しておくことが可能です。
    保管期間を明確にしておくことで、情報の棚卸しや情報削除の際の基準として活用することが可能です。

情報資産管理台帳機能を使うメリット

ここまでは情報資産管理台帳機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオの情報資産管理台帳機能を使うメリットについて考えてみましょう。

1. グループで紐づけて管理することができる
   情報資産管理台帳では、あらかじめ設定したグループと情報資産を紐づけることが可能です。
   各部署などのグループと情報資産を紐づけることで、検索性の向上や審査対応時などにもスムーズに示しやすくなるかもしれません。
   

2. 組織で必要とする項目の選択が可能
   情報資産管理台帳機能では、必要最低限の項目以外にも様々な項目が用意されており、組織内で各項目のON/OFFを行うことが可能です。
   そのため、自分たちの組織ではこの情報も管理したい・明確化したいといったニーズに合わせた項目設定・台帳作成を行うこともできます！
   

3. リスクと紐づけることができる
   「情報資産管理台帳」と「リスク管理表」。ISMSにおける二大重要要素でもあり、切っても切り離せない取り組みでもあります。
   セキュリオでは、各リスクに関連する情報を紐づけることも可能なので、情報資産とリスクの関係性を明確化したいといった場合には、Excelなどの違うファイルで管理することに比べて、一つの流れで管理することができておすすめです。

まとめ

今回は第7回として「情報資産管理台帳」機能を取り上げました。

情報資産管理台帳はISMS上重要な記録であり、かつ、管理責任者や利用可能者、保管期間などの各項目を活用することができれば業務効率化などに繋げることもできます。

ただ多くの場合、依頼されたタイミングでExcelシートを更新して終わってしまうということも多いのでセキュリオなどのシステムを活用することで「ISMSのための行為」にとどまらない取り組みを行うことができるかもしれません！