組織の重要な情報資産を適切に保護するためには、その重要度などに応じて整理・分類するとともに、取扱方法を明確にする必要がある。ここでは、情報資産の分類や管理における要点、クライアントPCの管理とセキュリティ対策などについて解説する。
4.5.1 情報資産の洗い出しと分類
情報審査の管理に関するISMSの要求事項
情報資産の管理について、ISMSの管理柵では主に次のように記述している。
- 情報及び除法処理施設に関連する資産を特定するとともに、当該資産の目録を作成し、維持すること
- 目録の中で維持される資産を管理すること
- 情報の利用の許容範囲、情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則を明確にして文書化し、実施すること
- 雇用、契約などの終了時に、全ての従業員及び外部の利用者は自ら所有する組織の資産を全て返却すること
- 情報を法的要求事項、価値、重要度や取扱に慎重に要する度合いなどの観点から分類すること
- 組織が採用した情報分類体系に従って情報のラベル付けに関連する適切な手順を策定し、実施すること
- 組織が採用した情報分類体系に従って資産の取扱に関する手順を策定し、実施すること
- 組織が採用した分類体系に従って取り外し可能な媒体の管理のための手順を実施すること
- 媒体が不要になった場合は、手順に従い、セキュリティを保って処分すること
- 情報を格納した媒体は、輸送途中における不正しようや破損から保護すること
情報セキュリティマネジメントとは、組織の情報資産を適切に取り扱うほかならない。情報資産を適切に取り扱うためには、まず保護すべき情報資産の洗い出し、それを台帳に整理・分類する必要がある。情報資産の洗い出し方法について次に示す。
情報資産の洗い出し方法
①情報資産の洗い出し方法の決定
情報資産は全社で共有で扱っているものもあれば、特定の部門で扱っているものもある。また、その種類や媒体、保管場所なども様々である。
こうした多種多様な情報資産を特定の部門や担当者が全て洗い出すことは非常に困難であるため、通常は情報セキュリティ推進者や事務局が洗い出しに用いるシートや記入要領などを準備し、それを各部門に配布して実施する。とはいえ、組織の状況を洗い出しにかけられる時間などによっても最善の方法は異なってくる場合があるので、それらを十分加味して洗い出し方法を決定する必要がある。以下は、情報資産の洗い出しシートを用いて各部門に洗い出し作業を実施することを前提に解説する。
②洗い出し対象となる情報資産の特定
情報資産の洗い出しにあたり、対象となる情報資産の範囲を特定する必要がある。範囲の特定に当たって留意すべき事項としては、次のことがあげられる。
| 情報資産の特定における留意点 |
|---|
 |
各部門で情報資産の洗い出しを行う場合には、それぞれの部門で管理している情報資産を洗い出すことになる。この場合、他の部門などで共有している情報資産については、どこまで外相となるのかについて明確にする必要がある。洗い出しの時点でハニが明確になっていない場合は、洗い出し後に各部門の情報管理者が協力して管理責任者範囲を決定する必要がる。
③情報資産の洗い出し
必要な項目が網羅された記入シートなどを用いて情報資産を洗い出す。この作業において洗い出すべき項目の例を次にあげる。
| 情報資産の洗い出しにおいて記入すべき項目の例 |
|---|
 |
個人情報を洗い出す場合には、法令遵守の観点から上記の項目に加え、次に示す項目についても洗い出すと良い。
| 個人情報の洗い出しにおいて記入すべき項目の例 |
|---|
また、情報システムを洗い出す場合には、次のような項目をあげておくと良い。
| 情報システムの洗い出しにおいて記入すべき項目例 |
|---|
 |
情報資産の分類方法
洗い出した情報資産を分類する。この目的は情報資産の機密性や重要度に応じた対策を施し、適切に取り扱うことにある。そのため、情報資産に求められる機密性、完全性、可溶性それぞれのレベルや、これらを統合した重要度などのレベルを決定し、分類する。情報資産によっては、非常に高い機密性を求められるが、可用性についてはさほど重要ではないというものもあれば、24時間365日常に利用可能であること(可用性)を求められるものもある。求められる要素によって実施すべきセキュリティ対策は異なるので、こうした分類を行うことは大変十うようである。機密性、完全性、可溶性による分類の例を次の表に示す。
| 機密性による分類の例 |
|---|
 |
情報資産の内容によって、求められる機密性のレベルが決定する。
| 完全性による分類の例① |
|---|
 |
完全性は損なわれた場合の影響度に違いはあっても、本来は全ての情報資産に求められる要素である。また、情報資産が保存・記録されている媒体や、環境などによって完全に損なわれる危険性の度合いが異なる。そのため、情報資産の完全性によって分類する方法もある。
| 完全性による分類の例② |
|---|
 |
| 可用性による分類の例① |
|---|
 |
可用性は、情報資産の内容によって求められるレベルが決まるというよりも、利用する手段である情報システムごとに求められるレベルが決まるのが一般的である。 可溶性については次のように、情報システムの停止許容範囲によって分類する場合もある。
| 可用性による分類の例② |
|---|
 |
情報資産のラベル付け
ここの情報資産に対してラベル付けを行う。ラベルつけとは、情報資産の重要度や保管期限などの情報を情報資産自体に明示することである。ラベル付けを行うことによって個々の情報資産の内容や取扱方法を容易に確認できるようになるため、情報セキュリティポリシに従った管理を徹底することが可能となる。とはいえ、人の手によって買って並べる付けを行っていたのでは意味がないので、実施に当たってはラベル付けのルールを明確にしておく必要がある。 また、情報資産の記録媒体によってラベルとして記載できる内容、あるいは記載すべき内容に違いがあるので、媒体別のラベル付けルールが必要となる。 ラベル付けにおいて明示する項目の例を次に示す。
| ラベル付けにおいて明示する項目の例 |
|---|
 |
4.5.2 情報資産の取扱方法の明確化
情報資産おライフサイクルとセキュリティ
情報資産の分類やライフサイクルに応じた取扱方法の手順を明確にする。 情報資産のライフサイクルとは、情報が発生してから廃棄されるまでの一連の流れであり、次のページの図のように表すことができる。
| 情報のライフサイクルの例 |
|---|
 |
このように、取得や生成によって新たに取り扱われることになった情報資産は何らかの媒体に記録して保存するとともに、複製、加工、公開、帝キュ尾などの様々な家庭をへて、いずれは廃棄するか、借用した情報であれば返却することになる。このように、情報資産を取り扱う様々な場面において、機密性、完全性、可用性が損なわれることないよう、情報資産の重要度に応じた適切な取扱方法や手順、施すべきセキュリティ対策などを情報セキュリティポリシに定め、それを実施する必要がある。 情報資産のライフサイクルにおいて、城ホセキュリティ対策の観点から特に留意すべき事項について次に示す。
①保管場所・方法
- 情報資産の重要度、媒体などに応じた保管場所や保管方法を明確にする。
②複製
- 複製の可否、可否の判断基準、承認者などを明確にする
- 複製の目的や用途を明確にする
- 複製した情報資産の管理者、取扱方法を明確にする
③持ち出し
- 持ち出しの可否、可否の判断基準、承認者などを明確にする
- 持ち出しの目的や用途を明確にする
- 持ち出す情報資産の管理者、取扱方法を明確にする
- 持ち出しさき、返却の有無、返却予定日などぉ明確にする
- 持ち出し状況をログや管理台帳などに記録して管理する
④廃棄
- 情報資産の重要度、媒体などに応じた廃棄方法や手順を明確にする
個人情報の取り扱いにおける留意点
個人情報については、自組織に存在するものであっても、本来の情報の持ち主はあくまでも個人(本人)であるため、本人が認識していない範囲や目的で取り扱われることが内容特別な注意を払う必要がある。 なお、個人情報保護法については9.2で解説する。
4.5.3 クライアントPCの管理及びセキュリティ対策
クライアントPCの管理の必要性
情報資産の管理においては、個々のユーザーが使用するクライアントPCを適切に管理することも大変重要である。近年、小型かつ大容量のハードディスクやメモリドライブを備えたノートPCが広く普及したことに伴い、組織の情報資産が外部に持ち出されたり、外部から利用されたりする、いわゆるモバイルコンピューティングの機会が非常に増えている。その結果、業務効率が向上するなどの効果おあった反面、ノートPCno紛失、盗難などによって組織の重要な情報が漏洩したり、マルウェアが車内に持ち込まれたりするという問題が多発している。 また、ノートPCに限らず、クライアントPCのセキュリティ対策が不十分であったために、ウェブ閲覧によってマルウェアの被害を受けるケースも多発している。 こうしたことからクライアントPCに適切なセキュリティ対策を施すとともに、ネットワークへの接続や持ち出し、持ち込みなどのルールを情報セキュリティkyルイティポリシとして定め、徹底することが不可欠となっている。
クライアントPC管理及びセキュリティ対策における留意点
クライアントPCの管理において、特に留意すべき事項について次に示す。
①利用及び管理に関するルール
- クライアントPCの所在、利用者、管理者を明確にし、台帳などで管理する。
- 複数名で共有しているクライアントPCの有無、利用者、管理者を明確にし管理する。
- 個人所有のクライアントPCの取り扱い方法を明確にする。
②クライアントPCにおけるセキュリティ対策
クライアントPCの用途や保存される情報の重要度に応じた管理方法、セキュリティ対策を定める。以下に例を示す。
| クライアントPCにおけるセキュリティ対策の例 |
|---|
 |
④ネットワーク接続におけるルール
- 接続の可否、可否の判断基準、承認者などを明確にする
- 社内LANに接続する場合のルール(最新のバッチ、ウイルス定義ファイルの適用、ウイルスチェックなど)を明確にする
- インターネットに接続する場合のルール(社内LANを介した接続、利用可能なサービス、情報発信における制限など)を明確にする
④社外へ持ち出し/持ち込みに関するルール
- 持ち出し/持ち込み可否、可否の判断基準、承認者などを明確にする。
- 持ち出し/持ち込みの目的、用途(業務名)などを確認し、管理する。
- 持ち出したPCの管理者、持ち出し先、返却予定日時を明確にする。
- 持ち出したPCを返却、もしくは社内LANに再接続する際のルールを明確にする。
- 持ち出し/持ち込みの状況をログや管理台帳などに記録して管理する。
⑤持ち出し時の取り扱いに関するルール
- 物理的な保護策を明確にする。(専用のカバンに入れて持ち運ぶなど)
- 持ち運ぶ際にはPCにログインしたままでスタンバイ状態にせず、必ずログオフ、もしくはシャットダウンするようにする
- 使用時にキー操作や画面を第三者に盗み見られないようにすることを明記する
- アクセス可能なサーバ、使用可能なアプリケーションなどについて明確にする
- USBキーなどの承認デバイスを使用してる場合には、盗難、紛失に備え、PCと承認デバイスを分離して(同じカバンに入れずに)持ち運ぶようにする
⑥そのほか
- クライアントPCの返却、破棄に関するルール、手順などを明確にする。
- 紛失、盗難、故障ウイルス感染などの問題発生時の対応方法を明確にする。
