お役立ちコラム

待ったなし!中小企業の情報セキュリティ<第5回>

前回は、情報セキュリティに関する最近の発生事例として、2015年における情報セキュリティの脅威、およびB社の事例について説明しました。今回から<実務編>に入り、中小企業における情報セキュリティ体制構築の各プロセスについて、詳細に説明していきたいと思います。

<実務編>は、以下のスケジュールで進める予定です。

 

<実務編のスケジュール>

・第5回 情報資産の定義・抽出・区分 ・・・・ 何を管理すればいいのか?

・第6回 組織上の体制整備 ・・・・ 誰が管理すればいいのか?

・第7回 文書上の体制整備 ・・・・ 社内ルールはどうすればいいのか?

・第8回 物理的・技術的な対策 ・・・・ 最低限どのような対策をとる必要があるのか?

・第9回 外部委託先の管理 ・・・・ 情報の委託は要注意

・第10回 情報セキュリティ研修 ・・・・ 社内研修はどのように行えばいいのか?

・第11回 モニタリング ・・・・ 情報セキュリティの自己チェックと内部監査は?

・第12回 情報漏洩時の対応 ・・・・ 万一情報漏洩してしまったら?

 

それでは、早速「情報資産の定義・抽出・区分」から始めましょう。

 

1.情報資産の定義

まずは、情報セキュリティの対象となる情報資産を定義しておく必要があります。一般的には情報資産を、①情報(無形資産)と②情報機器(有形資産)に分けて、以下の通り定義することが考えられます。

 

<情報資産の定義の例>

5-1

 

これらの定義は、情報セキュリティ規程や情報セキュリティマニュアルなどに明文化しておくことが望まれます。

 

2.情報資産の抽出

次に、自社で取り扱う情報資産の抽出を行います。基本的には、全ての部署を対象に、現在の業務内容に基づいて、例えば以下のように情報資産を抽出しリストを作成することが考えられます。

 

5-2

 

情報資産の抽出では、全ての部署を対象に全ての情報資産を漏れなく抽出してもらう必要があるため、全社的な協力体制が不可欠となります。しかし、各部署にとっては、いきなり抽出作業を求められてもどうしたら良いか分からないと思いますので、予め以下の観点から作業シートを用意して、作業説明会を開催するなどした上で、作業シートを配布するのが効率的でしょう。

 

<作業シートの用意>

・「業務」欄 ⇒ 業務分掌規程や業務マニュアルの目次等に従い、担当する業務を予め記載しておく。

・「取扱情報」欄 ⇒ 以下「3.情報資産の区分」に従い、例えば個人情報/顧客情報/機密情報/公開情報/その他情報などの区分を予め設けておく。

・「利用機器」欄 ⇒ 以下「3.情報資産の区分」に従い、例えばサーバ/端末/記憶媒体などの区分を予め設けておく。

 

3.情報資産の区分

次に、重要度に応じた情報区分を明確化した上で、抽出した情報資産を分類し、情報資産リストを作成します。基本的な情報資産の区分の考え方は、以下の通りです。

 

<情報資産の区分の考え方>

①情報

・「重要情報」として、個人情報/顧客情報/機密情報などが考えられます。

・「その他情報」は、公開情報/その他非公開情報に分けて整理します。

・「重要情報」と「その他情報」に二分します。

②情報機器

・「重要機器」として、サーバ/端末/記憶媒体などが考えられます。

・「その他機器」として、必要に応じて私用の機器などが考えられます。

・「重要機器」と「その他機器」に二分します。

5-3

 

上記のうち、赤枠で囲った「重要情報」および「重要機器」に該当する情報資産を、情報セキュリティの管理対象として特定することになります。個人情報の中には「特定個人情報(=マイナンバー)」が含まれ、機密情報の中には「内部者情報(=インサイダー情報)」が含まれますので、特に厳格な管理が求められることになります。

また、上記区分は決めただけでは全く意味がなく、実際にどの情報が「重要情報」なのか、どの情報機器が「重要機器」なのかが、全ての従業員にとってすぐに判別できるように可視化しておくことが重要です。

ある中小企業では、重要情報=「A情報」、重要機器=「A機器」と簡略化して、以下のような可視化を行っている所もありますので、是非参考にしてみてください。(詳細は<第8回>物理的な対策で説明します)

 

<可視化の例>

5-4

 

次回は、次のプロセスとして、組織上の体制整備について説明します。