情報資産の取扱いと物理的セキュリティ実践

• 日程: Day 01 / セッション 04
• 時間: [10:10-10:40]
• 形式: 座学 & 実習
• ゴール: 情報の分類に応じた取扱い、入退室管理、機器管理のルールを実践できる
• 学習形式: 対話型解説、ハンズオン実習（AIサポートあり）

アクセス管理の重要性を学んだところで、今度はアクセスを許可された後の「情報そのものの取扱い」と、情報を守る「物理的な環境」に焦点を当てます。情報資産は、デジタルデータだけでなく、紙の書類やUSBメモリ、さらにはPCそのものも含まれます。これらを適切に管理しなければ、せっかくのアクセス管理も無意味になってしまいます。このセッションでは、情報資産の分類から廃棄までの一連の流れ、そしてオフィスやテレワーク環境での物理的なセキュリティ対策について学び、日々の業務に活かせる実践的な知識を習得します。

すべての情報が同じ価値を持つわけではありません。重要度に応じて情報を分類し、それぞれに適した方法で取り扱うことが重要です。

• 機密区分: 会社の情報資産は、その重要度や外部への漏洩による影響度に応じて「極秘」「秘密」「社外秘」「公開」などに分類されます。

  • 極秘: 経営戦略、未公開の製品情報など、漏洩した場合に会社に致命的な損害を与える情報。
  • 秘密: 個人情報、顧客リストなど、漏洩した場合に会社や顧客に重大な損害を与える情報。
  • 社外秘: 社内向けの情報で、一般的なビジネス上の情報。漏洩しても致命的ではないが、公開すべきではない情報。
  • 公開: プレスリリース、広報資料など、社外に公開を前提とした情報。
• 分類に応じた保管・送信・廃棄ルール:

  • 保管: 極秘情報は施錠されたキャビネットや、アクセス制御されたサーバーにのみ保管します。公開情報は、特に保管場所を限定しない場合もあります。
  • 送信: 機密性の高い情報は、暗号化やパスワード保護を施し、承認された経路で送信します。誤送信は重大なインシデントにつながるため、細心の注意が必要です。
  • 廃棄: 機密性の高い紙媒体はシュレッダーで細断し、デジタルデータは専用のツールで完全に消去します。単にゴミ箱に入れたり、ファイルを削除するだけでは復元される可能性があります。
• 電子データの暗号化ルール: 機密性の高い電子データは、保存時や送信時に暗号化することが求められます。これにより、万が一データが漏洩しても内容を保護できます。
• 書類・記録媒体の管理: 紙の書類やUSBメモリ、外付けHDDなども重要な情報資産です。これらも機密区分に応じて適切に保管し、持ち運びや廃棄時にはルールを遵守する必要があります。

情報セキュリティは、目に見えないデータだけでなく、目に見える物理的な環境でも守る必要があります。

• 入退室管理（ICカード、入退室記録）: オフィスやデータセンターなど、重要な情報が存在する場所への入退室は厳しく管理されます。ICカードによる認証や、入退室記録は、誰がいつ、どこに出入りしたかを明確にするためのものです。

• セキュリティエリアの区分: オフィス内でも、特に機密性の高い情報を取り扱うエリア（例: 開発室、サーバー室）は「セキュリティエリア」として区別され、入退室がさらに厳しく管理されます。

• PC・モバイル機器の管理:

  • 持込み・持出しルール: 私物のデバイスや会社のPCをオフィス外に持ち出す際は、必ず申請し、承認を得る必要があります。これは、機器の紛失・盗難による情報漏洩リスクを低減するためです。
  • クリアデスク・クリアスクリーンの実践: 退席時や退社時には、机の上に機密性の高い書類を放置せず（クリアデスク）、PCの画面をロックする（クリアスクリーン）習慣をつけましょう。これは、情報資産を「見られる脅威」から守る最も基本的な対策です。

• 外部委託先・第三者への情報提供ルール: 業務上、外部の協力会社や第三者に情報を提供する際は、情報提供契約を締結し、提供する情報の範囲を最小限に留め、提供後も適切に管理されているかを確認する責任があります。

• テレワーク時のセキュリティ対策: 自宅や外出先での業務においても、会社のセキュリティルールは適用されます。PCの盗難・紛失、覗き見、不審なWi-Fi接続など、テレワーク特有のリスクに対する対策が必要です。

情報資産の適切な分類と取扱い、そして物理的な環境の管理は、情報セキュリティの土台です。日々の業務の中で、この情報は何の区分だろう？この書類は机に放置しても大丈夫だろうか？と常に疑問を持つことが、インシデントの発生を防ぐ第一歩となります。

「クリアデスク」は、ただ机をきれいにするだけでなく、「情報セキュリティの意識を高める」という目的もあります。机の上に機密書類が散乱していると、無意識のうちに情報に対する意識が希薄になりがちです。毎日クリアデスクを実践することで、情報資産への意識が自然と高まる、という心理的な効果も期待できるのです。まるで、部屋が整理整頓されていると心も落ち着くのと同じですね。

ここまでの内容で疑問があれば、AIに質問してみましょう。たとえば：

• 「自分が扱っている情報がどの機密区分に該当するか、どうやって判断すればいい？」
• 「テレワークで公共のWi-Fiを使う場合、どんなことに注意すればいい？」
• 「クリアデスク・クリアスクリーンの実践は、なぜそんなに重要視されるの？」

1. 情報資産分類ケーススタディ: 以下の情報が、あなたの会社の機密区分（極秘・秘密・社外秘・公開）のどれに該当するかを判断し、その理由も述べてください。もし不明な場合は、AIに質問して判断基準を探してみましょう。

   • 新製品の開発計画書
   • お客様から預かった個人情報を含むアンケートデータ
   • 社内向けの新入社員研修資料
   • 会社のウェブサイトに掲載されているプレスリリース
2. クリアデスク・クリアスクリーン実践計画: あなたが普段業務を行っているデスク周りやPC環境について、現状のセキュリティ状況を評価し、クリアデスク・クリアスクリーンを実践するために明日からできる具体的な行動計画を3つ以上記述してください。

• 課題1の情報資産分類と判断理由
• 課題2のクリアデスク・クリアスクリーン実践計画

• 課題1では、情報が外部に漏洩した場合に会社や顧客にどのような影響があるかを考えると、機密区分を判断しやすくなります。
• 課題2では、特に「離席時」や「退社時」を想定して計画を立ててみましょう。
• うまくいかない場合はAIに「情報資産の分類例をもっと教えて」や「クリアデスク・クリアスクリーンのチェックリストが欲しい」と尋ねてみましょう。

本セッションでは、情報資産をその機密区分に応じて適切に取り扱う重要性と、オフィスやテレワーク環境における物理的なセキュリティ対策について学びました。情報のライフサイクル全体（生成から廃棄まで）を通して、そして物理的な環境においても、常に情報セキュリティを意識し、適切な行動をとることが求められます。日々の業務の中で「これで大丈夫かな？」と立ち止まって考える習慣を身につけましょう。

以下の問いに答えられるか確認してみましょう：

• あなたの会社における情報資産の主な機密区分を挙げ、それぞれの特徴を説明できますか？
• クリアデスク・クリアスクリーンを実践する目的は何ですか？
• テレワーク環境における情報セキュリティ上のリスクを2つ以上挙げ、それぞれの対策を説明できますか？

答えに自信がない場合は、該当部分を読み返すか、AIに質問してみてください。

• 参考リンク: 情報資産管理における適切な分類方法とは？その重要性について解説 - サイバーセキュリティ情報局 (https://www.cybersecurity-jp.com/column/information-asset-management)