情報セキュリティマネジメント試験 科目A キーワード集 > 情報資産

情報資産とは|分類・管理台帳・対策

情報セキュリティマネジメント試験 科目A 重要キーワード解説

概要

情報資産とは、組織にとって価値があり、守るべき情報やそれに関わる資産のことです。顧客データや技術情報といったデータそのものだけでなく、それを扱うハードウェア・ソフトウェア・人・サービスなども含まれます。

情報セキュリティ対策は「何を守るのか」を明確にすることから始まります。情報資産を洗い出し、重要度を評価することが、リスクアセスメントISMS運用の出発点となります。

詳細(種類・分類)

種類
情報(データ)顧客情報、技術情報、財務データ、設計書、契約書。
ソフトウェア業務アプリ、OS、開発したプログラム。
ハードウェア(物理資産)サーバ、PC、ネットワーク機器、記憶媒体。
サービス・人通信サービス、要員の知識・スキルなど。

情報資産は、機密性・完全性・可用性(CIA)の観点から重要度を評価します。重要度に応じて、かける対策の強さを変えるのが効率的です。

情報資産のキーワードは「守るべき価値ある資産=データに限らない」。ハード・ソフト・人・サービスも含む点が頻出。重要度評価がリスクアセスメントの前提になります。

管理の進め方

  1. 情報資産の洗い出し:組織内のどこに何があるかを把握する。
  2. 情報資産台帳の作成:資産名・管理者・保管場所・重要度などを記録する。
  3. 重要度の評価:機密性・完全性・可用性の観点で格付けする。
  4. 分類・ラベリング:「極秘・社外秘・公開」などに分類し、扱い方を定める。
  5. 重要度に応じてリスク対応・管理策を適用する。
「守る対象が分からなければ守れない」ため、情報資産台帳による棚卸しが対策の基礎です。クラウド利用やテレワークで資産の所在が広がるほど、把握の重要性が増します。

関連例

情報資産の把握が不十分だと、管理されていないPCや記憶媒体(シャドーIT)から情報漏えいが起きることがあります。退職者のアカウントや古いサーバが放置され、攻撃の侵入口になる事例も。台帳による継続的な棚卸しが、こうしたリスクを減らします。

試験での問われ方

関連キーワード: リスクマネジメントリスクアセスメントISMSキーワード集トップへ戻る