企業のセキュリティを強化するために、まず何をすべきでしょうか。 多くの経営者やセキュリティ担当者が見落とすのが、「情報資産の棚卸し」という基本的で最も重要なステップです。 自社がどのような情報資産をどこに保有しているのかが把握できていなければ、適切なセキュリティ対策は実施できません。 この記事では、情報資産の棚卸しの必要性、具体的なやり方、そして実践的なテンプレートを提供します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
情報資産の棚卸しとは
情報資産の棚卸しとは、企業が保有するすべての情報資産を洗い出し、一覧化・分類する業務プロセスです。 ここでいう「情報資産」とは、単なるデータやドキュメントだけではなく、それらを保持・管理するシステム、端末、クラウドサービスなどの総称です。
情報資産に含まれるもの
情報資産には、以下のようなものが含まれます。
データ・ドキュメント:顧客情報、契約書、財務データ、営業資料など、企業が保有する各種情報。 システム・アプリケーション:社内システム、Webアプリ、ERP、会計ソフトなど、情報を処理するシステム。 クラウドサービス(SaaS):Google Workspace、Slack、Salesforce、Box、Dropboxなど、外部提供のサービス。 ハードウェア・端末:パソコン、スマートフォン、タブレット、サーバーなど、物理的な情報処理端末。 ネットワーク・インフラ:ファイアウォール、VPN、WiFiなど、情報を伝達・保護するインフラ。 アカウント・ID:従業員のID、システムアカウント、外部サービスのアカウントなど。
情報資産の棚卸しが重要な理由
なぜ企業は情報資産の棚卸しに取り組む必要があるのでしょうか。 重要な理由を整理します。
セキュリティリスクの可視化
企業が保有する情報資産が正確に把握されていないと、セキュリティリスクも見えません。 例えば、使用されていないクラウドサービスが放置されていたり、古いアカウントが残っていたりすることで、思わぬセキュリティ脅威が生じます。
コンプライアンス対応
個人情報保護方針法、GDPR、その他の規制に対応するためには、どこに個人情報が保存されているかを把握する必要があります。 棚卸しを通じて、初めてコンプライアンス対応の全体像が見えてきます。
情報漏洩防止
多くの情報漏洩は、企業側が把握していない情報資産から発生します。 棚卸しにより、こうした「隠れた」情報資産を発見し、適切な対策を講じることができます。
IT予算の最適化
実施する棚卸しにより、重複したライセンス、使用されていないサービスの購読、無駄なシステム投資などが明らかになります。 これにより、IT予算をより効率的に配分することができます。
インシデント対応の迅速化
セキュリティインシデントが発生したとき、どのシステムやサービスに影響が及んでいるかを素早く把握することが重要です。 事前の棚卸しがあれば、対応の優先順位付けと初期対応がスピーディーになります。
情報資産棚卸しの実施ステップ
情報資産の棚卸しを効果的に実施するには、体系的なアプローチが必要です。
ステップ1:準備フェーズ
棚卸しを開始する前に、しっかりとした準備が必要です。
実施目的の明確化:経営層から現場まで、なぜ棚卸しをするのか、その目的を伝達すること。 実施範囲の決定:全社か、特定部門か、実施範囲を明確にすること。 担当者の配置:各部門から責任者を指定し、協力体制を整備すること。 スケジュール設定:実施期間、各段階の期限を設定すること。 テンプレートの準備:共通のテンプレート(フォーム)を準備し、統一された方式で回答を集めること。
ステップ2:洗い出しフェーズ
各部門・担当者が、自分たちが使用・管理している情報資産をすべて洗い出します。
クラウドサービスの洗い出し:Slack、Google Workspace、Salesforce、Boxなど、現在利用しているすべてのSaaSサービスをリストアップ。 オンプレミスシステムの洗い出し:社内ネットワークに接続されているサーバー、システム、アプリケーションをリストアップ。 ハードウェア・端末の洗い出し:従業員の使用デバイス(ノートパソコン、スマートフォン、タブレット)をリストアップ。 アカウント・ライセンスの洗い出し:各サービスで発行されているアカウント、ライセンス数をリストアップ。 ドキュメント・データの洗い出し:保有されている主要なドキュメント、データベース、ファイルサーバーの位置をリストアップ。
ステップ3:分類・評価フェーズ
洗い出された資産を分類し、リスク評価を行います。
重要度の分類:各資産について、事業への重要性に基づいて、重要度を「高」「中」「低」で分類。 機密性の評価:取り扱い情報の機密性レベルを評価。個人情報か、機密情報か、公開情報か。 整合性の評価:情報の正確性・完全性がどの程度重要かを評価。 可用性の評価:システムやサービスの障害時の事業への影響度を評価。 アクセス権限の確認:現在のアクセス権限設定が適切か、誰がアクセス可能か確認。
ステップ4:台帳化フェーズ
洗い出した資産を台帳(リスト)として体系的に整理します。
台帳の作成:Excel、Google Sheets、専門の資産管理ツールなど、組織に適した形式で台帳を作成。 属性情報の記入:資産名、管理責任者、導入日、更新日、ベンダー、ライセンス情報など、必要な属性を記入。 リスク評価結果の記入:ステップ3で行った分類・評価結果を記入。 アクセス権限情報の記入:誰がアクセス可能か、またアクセス権限の有効期限を記入。
ステップ5:検証・確認フェーズ
作成した台帳の正確性と完全性を確認します。
関係者による確認:各部門の責任者が、自部門の情報資産が正確に記載されているか確認。 重複・漏れの確認:組織全体で重複がないか、漏れがないかを確認。 外部委託先の確認:委託先で管理されている情報資産についても、所在地と責任者を明確にすること。
ステップ6:承認・保管フェーズ
完成した台帳を経営層で承認し、適切に保管・管理します。
経営層承認:CISOまたは経営会議で台帳を承認。 セキュアな保管:台帳自体が機密文書であるため、アクセス制限をかけて保管。 運用ルール設定:台帳の更新頻度、変更時の手続きなど、運用ルールを定めること。
情報資産管理台帳テンプレート
実際に棚卸しを始める際に使用できる、基本的なテンプレートを提供します。
基本テンプレートの構成
実務的な台帳には、以下のような項目を含めることをお勧めします。
| 項目 | 説明 | 例 |
|---|---|---|
| 資産ID | 一意の識別番号 | INFO-001 |
| 資産名 | 情報資産の名称 | Slack(チャットツール) |
| 資産タイプ | SaaS、システム、端末、データなど | SaaS |
| 導入目的 | その情報資産を導入した理由 | 社内コミュニケーション |
| 管理責任者 | 当該資産の責任を持つ部門・人物 | 営業企画部長・山田太郎 |
| 利用部門 | 実際に利用している部門 | 営業部、企画部、経営企画室 |
| 利用者数 | アクティブユーザー数 | 150名 |
| 導入日 | 導入時期 | 2023年4月1日 |
| ベンダー名 | サービス提供企業 | Slack Technologies |
| ライセンス情報 | ライセンス形態と数 | SaaS月額プラン、150ライセンス |
| 月額費用 | 月間コスト | ¥45,000 |
| 契約終了日 | 契約の有効期限 | 2024年3月31日 |
| 保有データ | 保有しているデータの種類 | チャットログ、ファイル |
| データ分類 | 取扱情報の機密性レベル | 内部使用限定 |
| 重要度 | 事業への重要度(高・中・低) | 高 |
| アクセス権限 | アクセス可能なユーザー範囲 | 従業員全員 |
| 暗号化状況 | データの暗号化有無 | あり(転送時・保存時) |
| バックアップ | バックアップ状況 | ベンダー側で自動管理 |
| 定期監査 | 定期的な監査実施状況 | 年1回 |
| セキュリティ評価 | セキュリティ対策の充分性 | 基本的対策実施済み |
| リスク評価 | リスク水準(高・中・低) | 中 |
| 対策状況 | 講じている対策 | 多要素認証導入、アクセスログ監視 |
| 備考 | その他特記事項 | 無料トライアル終了後、有料プランへ移行予定 |
SaaS・クラウドサービス用テンプレート
SaaSやクラウドサービスに特化したテンプレートでは、以下の項目に重点を置きます。
| 項目 | 説明 |
|---|---|
| サービス名 | Google Workspace、Salesforce、Box等 |
| 利用開始日 | 導入日 |
| 契約形態 | 月払い、年払い、無料版等 |
| ユーザー数 | ライセンス数、アクティブユーザー数 |
| 保有データの機密性 | 機密情報を含むか、個人情報を含むか |
| データ保存地域 | データセンターの所在地 |
| 多要素認証 | 導入有無 |
| SSO(シングルサインオン) | 導入有無 |
| ログ取得・監視 | ログ取得方法、監視体制 |
| インシデント対応 | SLAやサポート体制 |
ハードウェア・端末用テンプレート
従業員使用デバイス、サーバーなどの端末を管理するテンプレート。
| 項目 | 説明 |
|---|---|
| 端末タイプ | ノートPC、デスクトップ、スマートフォン等 |
| 台数 | 保有台数 |
| OS・スペック | OS、CPU、メモリ等 |
| ソフトウェア一覧 | インストール済みソフト |
| 管理者 | 管理責任者・部門 |
| 暗号化 | ディスク暗号化(BitLocker等)の実施状況 |
| ウイルス対策 | 対策ソフト、更新状況 |
| 紛失時対策 | リモートロック・ワイプ機能 |
アカウント・ID管理用テンプレート
従業員アカウント、システムアカウント、外部サービスのアカウントなどを管理。
| 項目 | 説明 |
|---|---|
| アカウント名 | ID、メールアドレス等 |
| サービス名 | どのシステム・サービスか |
| 所有者 | 誰のアカウントか |
| 作成日 | 開設日 |
| 最終ログイン日 | 最後に使用した日 |
| アクセス権限 | 付与されている権限レベル |
| 有効期限 | 期限切れ日 |
| 多要素認証 | 設定有無 |
| パスワード更新 | 最後の更新日 |
| ステータス | アクティブ・無効・削除予定等 |
テンプレートを使用する際のポイント
フォーマットの統一
組織全体で同じテンプレートを使用することで、データの統一性が保たれ、後の分析・集計が容易になります。
定期更新の仕組み化
棚卸しは一度限りではなく、継続的に更新される必要があります。 四半期ごと、または半年ごとに更新するルールを決め、実施体制を整備しましょう。
情報セキュリティの確保
台帳自体が機密情報であるため、適切なアクセス管理が必要です。 管理者と承認者以外がアクセスできないようにしましょう。
ツールの活用
Excelでの管理が限界に達したら、専門の資産管理ツールやITAM(IT Asset Management)ソリューションの導入を検討することも有効です。
棚卸し実施時の一般的な課題と対策
棚卸しを実施する際に直面しやすい課題と、その対策をご紹介します。
課題1:各部門の協力が得られない
部門長や現場が棚卸しの必要性を理解していないと、提出が遅れたり、正確な情報が得られない可能性があります。
対策:経営層から目的と意義を明確に伝え、実施するまでのスケジュール、各部門の責任を周知すること。 対策:実施期間を設けて期限を厳格に管理すること。
課題2:情報が分散していて把握が難しい
クラウドサービスが増えると、どのサービスが導入されているかを一元把握することが困難になります。
対策:IT部門で把握している契約情報から洗い出し、それを各部門に確認させる方法がある。 対策:監査ログやネットワーク分析ツールを使用して、実際に利用されているサービスを技術的に検出する方法も有効。
課題3:古い情報や重複がある
既に廃止されたシステムやサービスが台帳に残されたままになっていることがあります。
対策:台帳作成後、必ず検証段階を設けて、最新性を確認すること。 対策:自動化ツールやスクリプトを使用して、定期的に情報を更新すること。
棚卸し後の重要な次のステップ
棚卸しが完了したら、それで終わりではなく、以下のアクションが重要です。
セキュリティリスク評価
棚卸し結果を基に、各資産のセキュリティリスクを詳細に評価します。 どの資産から漏洩が起きると事業に最も影響するか、優先度を付けることが重要です。
不要資産の廃止
棚卸しを通じて、既に必要ないサービスやアカウントが判明する場合があります。 これらを迅速に廃止し、コスト削減とセキュリティリスク低減を同時に実現しましょう。
アクセス権限の見直し
誰がどのシステムにアクセス可能かを確認し、必要に応じて権限を削除または調整します。 これは「最小権限の原則」に基づくセキュリティ強化につながります。
セキュリティ対策計画の策定
評価結果に基づいて、具体的なセキュリティ対策計画を策定します。 優先度に基づいて、段階的に対策を実施していきましょう。
棚卸しとセキュリティ対策の統合
情報資産の棚卸しは、単なる「在庫確認」ではなく、セキュリティ対策の基礎となる極めて重要なプロセスです。 サイバーセキュリティ経営ガイドラインでも、情報資産の把握が重要10項目の上位に位置付けられています。
棚卸しを通じて初めて、自社のセキュリティ脆弱性が可視化され、経営的な意思決定に基づいた対策が可能になります。
固定IPで安全なアクセス環境を実現するなら「ロリポップ!固定IPアクセス」
情報資産を安全に管理するためには、アクセス環境の制御も不可欠です。 ロリポップ!固定IPアクセスは、今お使いのインターネット回線をそのまま活かして固定IPアドレスを利用できるVPNサービスです。 月額539円(税込)から、初期費用0円・最大2ヵ月無料で始められます。 WireGuardによる高速接続で、VPN特有の速度低下も気になりません。 棚卸しした情報資産へのアクセスを、固定IPベースで制限・管理することで、より一層のセキュリティを強化できます。 プロバイダの乗り換えも不要で、申し込んだその日から利用できます。
