昨今増え続けるサイバー攻撃や大手企業の情報漏洩をめぐるニュース等にみられるとおり、情報社会の利便性の裏には、企業の存続すら脅かしかねない、セキュリティのリスクが潜在しています。
セキュリティ対策は多くの企業にとって関心の高い課題の一つとなっていますが、一概に対策といっても、具体的に何をすれば良いのか、分からない企業も多いのではないでしょうか。
セキュリティ対策を検討するうえで最初にすべきことは、自社の情報資産の状況を把握することです。
対策を施すべき情報資産の把握ができていない状況で、たとえ部分的にどれほど高度なセキュリティ対策を講じたとしても、網羅的な対策がなされていなければ、情報資産の脆弱性を利用したサイバー攻撃を受けるリスクにつながります。
そこで本稿では資産管理の重要性を情報セキュリティの観点からご紹介します。

情報資産とは

自社に点在する紙の書類、PCやUSBメモリ、SDカードなどの記録媒体、アプリケーションに含まれる情報、それらすべての「データ」が情報資産といえます。
「データ」は顧客の個人情報、人事情報、財務情報、契約書、社内システムのソースコードなど、いずれも非常に重要で、漏洩すると組織を揺るがすほどの大きなダメージをもたらしかねません。

【どのような情報資産があるか洗い出して重要度を判断する】

パソコンやサーバーなどのハードウェアやソフトウェアの保有状況・構成状況を取りまとめ管理することで、セキュリティパッチの適用状況を把握することができ、脆弱性に対する攻撃のリスクを軽減することができます。
情報資産ごとに漏洩や改ざん、誤記、計算違いが起きたり、必要な時に利用できないなどの、事業への影響の観点から重要度を判断します。
業種、事業内容、IT環境によって保有する情報資産は異なるため、以下の要領を参考にしてください。

情報資産管理台帳の作成

日常どのような電子データや書類を利用して業務を行っているかを考えて洗い出すと、作成しやすくなります。

情報資産ごとの機密性・完全性、可用性の現状を把握する

• 機密性：アクセスを許可された者だけが情報にアクセスできる
• 完全性：情報や情報の処理方法が正確で完全である
• 可用性：許可された者が必要な時に情報資産にアクセスできる

「自社ホームページ」の場合

• 機密性：公開しているサイトで、利用者のログイン情報など機密情報の管理が甘いと、漏洩などのリスクが増える
• 完全性：不正アクセスでサイトの改ざんやウィルスが仕掛けられると利用者や閲覧者に被害が発生し、信用を失う
• 可用性：システム障害などでアクセスできなくなると、サイト利用による顧客獲得や販売機会を消失する

【自社で扱っているサービスやシステムの脆弱性を検査する】

自社で扱っている情報資産を管理すると、どの対策を優先すべきか？ということが把握できるようになります。優先すべき資産に対して適切な対策を講じるためにも、定期的に現在のセキュリティリスクを認識することが、セキュリティ対策の「はじめの一歩」です。

まずは、可視化した情報資産の中で、自社の根幹をなすサービスやシステムに対しての脆弱性を検査することで、取るべき対策が見えるようになってきます。

脆弱性検査

サーバーやアプリケーションに対してスキャニングを行い、脆弱性などを検出するための検査。
脆弱性を検出したサーバーやアプリケーションに対し、修正パッチの適用や安全な設定などの対策を速やかに実施することで、攻撃のリスクを軽減することができます。

セキュリティ脆弱性診断

【被害軽減・事後対策のための予防線を張る】

自社の現況を把握し、対策を講じて終わりではありません。
適切に管理され、対策が施された情報資産であっても、脅威がなくなることはありません。
もしもの想定を考えることが「次の一歩」となります。
自社の情報資産に対して予防線を張るためには、日々のリスク管理が重要になります。

特に、年々増加の一途をたどるサイバー攻撃に対しての対策がより重要になってきます。
自社のシステムやサーバーのログを定期的に保管し、分析することが被害軽減や事後対策につながります。

ログの定期分析によるサイバー攻撃早期発見

ログの適切な取得と保管対策。
サーバーに誰がログインしたか、どのデータに対してアクセスがあったかはサーバー上にログファイルとして記録されます。
サイバー攻撃を受けた際、ログファイルに書かれている内容をもとに、情報漏洩が生じたかどうか分析します。ログの種類と内容は様々ですが、特にエンドポイント（自社内端末）における操作を記録、分析することが、情報漏洩等の被害の可能性に気付かせ、早期の事後対策アクションに繋がります。

ログの定期分析によるサイバー攻撃早期発見:EISS

以上、簡単にご案内しましたが、情報資産を適切に管理することが企業にとって、どのようなセキュリティ上のリスク軽減につながるか、ご理解いただけましたでしょうか。
まずは自社の情報資産を可視化し、把握したうえで、資産に応じた対策を検討することから始めてみましょう。

中小企業の情報セキュリティ対策ガイドライン:IPA