情報資産とは何か?会社にとって本当に守るべきもの
1. 「守る」とは、何を守ることか?
Day1では、情報セキュリティの本質が「CIAのバランス設計」であることを学びました。
では次の問いです。
そもそも、何を守るのか?
これが曖昧なままでは、セキュリティ対策は空回りします。
試験でも実務でも、まず最初に定義すべきは 情報資産 です。
2. 情報資産の定義
情報資産とは、
組織にとって価値があり、守る必要のある情報および関連資源
ここで重要なのは、「データ」だけではないという点です。
3. 情報資産の4分類(構造で理解する)
情報資産は大きく4つに整理できます。
① 情報そのもの
- 顧客情報
- 個人情報
- 売上データ
- 設計図
- ソースコード
- 経営戦略資料
▶ 最もイメージしやすい資産
② 情報を扱うシステム
- サーバ
- クラウドサービス
- 業務アプリ
- ネットワーク機器
▶ 情報を“保存・処理・送信”する基盤
③ 記録媒体
- USBメモリ
- ノートPC
- 紙の書類
- バックアップ媒体
▶ 物理的に持ち出せるものは特にリスクが高い
④ 人
ここが非常に重要です。
- 従業員の知識
- 技術者のノウハウ
- パスワードを知っている担当者
人も情報資産の一部です。
内部不正や誤操作が起きる理由もここにあります。
4. 試験で問われるポイント
試験では次のような観点で出題されます。
✔ どれが情報資産に該当するか
✔ どの資産の重要度が高いか
✔ 資産の分類が適切か
例えば:
- 顧客名簿 → 情報資産
- サーバ機器 → 情報資産
- 業務委託先の担当者 → 間接的に重要資産
この整理ができるかが鍵です。
5. 重要なのは「価値」である
情報資産の本質は「価値」です。
価値が高いほど、
- 漏えい時の損害が大きい
- 改ざん時の影響が大きい
- 利用停止時の損失が大きい
つまり、
情報資産とは「失ったときに困るもの」
この視点が非常に重要です。
6. なぜ資産の洗い出しが必要なのか?
ISMSやリスクマネジメントでは、最初に行うのが 資産の特定 です。
理由は明確です。
守る対象が不明確だと、
- 過剰対策になる
- 重要なものを守り損ねる
- コストが無駄になる
情報セキュリティは「全部を守る」ことではありません。
重要なものを優先的に守ること
これがマネジメントです。
7. 現実の会社で最も守るべきものは何か?
会社によって異なります。
- EC企業 → 顧客データ・決済情報
- 製造業 → 設計図・技術情報
- IT企業 → ソースコード
- 医療機関 → 診療情報
試験では「状況に応じた判断」が問われます。
8. 資産とCIAの関係を整理する
ここでDay1との接続です。
例:
顧客情報
→ 機密性が最重要
財務データ
→ 完全性が最重要
ECサイト
→ 可用性が最重要
資産によって、守るべきCIAの重みが変わります。
これが試験の応用問題の本質です。
9. 今日のアウトプット課題
次を紙に書いてみてください。
- 自分の会社の情報資産を10個挙げる
- その中で最も重要なものは何か
- それはC・I・Aのどれを最も重視すべきか
書ければ、理解は一段深まっています。
10. 今日のまとめ
✔ 情報資産とは「価値のある情報と関連資源」
✔ 情報だけでなく、人・システム・媒体も含まれる
✔ 重要度に応じて守る
✔ 資産ごとにCIAの重みは違う
明日は、
Day3|リスクとは何か?脅威・脆弱性・影響の関係を整理する
いよいよセキュリティの“設計思考”に入ります。