はじめに
情報セキュリティの議論で必ず出てくる言葉が 情報資産 です。
でも実務でも試験でも、ここを 「データだけ」 と理解していると、だいたい事故ります。
結論から言うと👇
情報資産とは、組織にとって価値を持つ「情報」と、それを支えるすべての要素
です。
1. 情報資産の定義
情報資産(Information Assets) とは、
組織が保有・管理し、業務や価値創出に利用する情報およびそれに関連する資源
を指します。
重要なのは
「情報そのもの」+「情報を扱う環境」
この両方を含む点です。
2. 情報資産の代表的な分類
① 情報そのもの(狭義の情報資産)
いわゆる「データ」です。
- 顧客情報(氏名・住所・電話番号)
- 個人情報・マイナンバー
- 契約書・設計書・仕様書
- ソースコード
- 売上データ・分析データ
電子データだけでなく、紙も含まれる点が超重要。
② 情報を扱う媒体・機器
情報を保存・処理する「器」も資産です。
- サーバー
- PC・スマートフォン
- USB メモリ・外付け HDD
- クラウドストレージ
- バックアップ媒体
データがなくても、設定情報が漏れれば事故になります。
③ 情報システム・ソフトウェア
- 業務システム
- Web アプリケーション
- データベース
- 認証基盤
- ネットワーク機器(ルータ・FW)
「中身は秘密じゃないからOK」は危険思想
構成情報=超重要資産です。
④ 人・運用・ノウハウ(見落とされがち)
ここが一番軽視されがち、でも一番漏れやすい
- 従業員の知識
- 業務手順
- パスワードを知っている人
- 運用ルール
人が最大の情報資産であり、最大のリスク
3. なぜ情報資産を明確にする必要があるのか
理由はシンプルです。
守る対象が分からなければ、守りようがない
情報資産管理が必要な理由
- リスク評価の前提になる
- セキュリティ対策の優先順位が決まる
- 法令・規格対応(ISMSなど)に必須
- 事故発生時の影響範囲を特定できる
4. 情報資産管理の基本ステップ
① 洗い出し(棚卸し)
- どんな情報があるか
- どこにあるか
- 誰が使っているか
存在を知られていない情報資産は、だいたい無防備
② 価値・重要度の評価
- 機密性:漏れたら困る?
- 完全性:改ざんされたら困る?
- 可用性:止まったら困る?
ここで CIA が効いてきます。
③ リスク評価
- どんな脅威があるか
- どんな脆弱性があるか
- 起きたらどれくらい被害が出るか
④ 管理・保護
- アクセス制御
- 暗号化
- バックアップ
- 監視
- 教育・ルール整備
5. 情報資産とセキュリティ事故
多くの事故はこう始まります
- 「重要だと思ってなかった」
- 「個人 PC に一時保存しただけ」
- 「設定ファイルだから大丈夫」
情報資産として認識されていなかったものが、漏れる
事故は技術より「認識不足」から起きます。
6. 試験(SG・基本情報)でのポイント
よくある出題パターン
- 情報資産に含まれるものはどれか
- 紙資料・USB・設定情報は資産か
- 人的要素は情報資産か
正解の考え方
「業務価値があるか?」
→ YES なら情報資産
まとめ
情報資産とは、データだけではない。
- 情報
- 媒体
- システム
- 人・運用
すべて含めて 情報資産 です。
セキュリティとは
情報資産を正しく認識し、適切に扱い続けること