情報資産を守る！リスクの特定と組織のセキュリティポリシー

• 日程: Day 01 / セッション 04
• 時間: [10:10-10:40]
• 形式: 座学 & 実習
• ゴール: 情報資産とリスクの概念、組織のセキュリティポリシーを理解し、自社の情報セキュリティ方針を説明できる
• 学習形式: 対話型解説、ケーススタディ

ここまでのセッションで、ISMSの基本概念と、それを継続的に改善するPDCAサイクルについて学びました。では、具体的に「何」を守るのか、そして「どんな危険」から守るのか。このセッションでは、組織が持つ「情報資産」の概念を深掘りし、それに潜む「リスク」をどのように特定・評価するのかを学びます。そして、そのリスクから情報資産を守るための「組織のセキュリティポリシー」について理解を深めます。このセッションが終わる頃には、皆さんは身近な情報資産がどのようなリスクに晒されているかを具体的に説明できるようになっているでしょう。

組織が扱う情報は、その形態を問わずすべて「情報資産」と呼ばれます。

• 情報資産の定義: 組織にとって価値のある情報や、それを保護するために必要なもの（情報システム、ソフトウェア、ネットワーク機器、書類、従業員など）。
• 情報資産の分類: 情報資産は、その機密性、完全性、可用性への影響度に応じて分類されます。

  • たとえば、お客様の個人情報、新製品の開発計画書、従業員の給与データなどは、機密性・完全性・可用性が非常に高い情報資産であり、厳重な管理が必要です。
  • しかし、会社のウェブサイトに掲載されている公開情報や、社内向けの一般的な会議資料などは、比較的機密性が低い情報資産と言えます。

情報資産が持つリスクを体系的に特定し、評価するプロセスを「リスクアセスメント」と呼びます。

• リスクの構成要素: リスクは、「脅威」「脆弱性」「影響度」の3つの要素で構成されます。

  • 脅威: 情報資産に損害を与える可能性のある事象。（例: ウイルス感染、不正アクセス、地震、火災、従業員の過失）
  • 脆弱性: 情報資産が持つ弱点であり、脅威が顕在化する原因となるもの。（例: パスワードが単純、システムのセキュリティパッチ未適用、従業員のセキュリティ意識が低い）
  • 影響度: 脅威が顕在化した場合に、情報資産や組織に与える損害の大きさ。（例: 金銭的損害、信用の失墜、法的責任）
• リスクアセスメントの流れ:

  1. 情報資産の特定と価値評価: 何を守るべきか、その価値はどれくらいかを明確にする。
  2. 脅威と脆弱性の特定: どのような危険があり、どのような弱点があるかを洗い出す。
  3. リスクの評価: 脅威と脆弱性の組み合わせによって、リスクの大きさを評価する。
  4. リスク対応計画: 評価されたリスクに対して、どのような対策を講じるかを決定する。

図：リスクの概念

情報資産の分類とリスクアセスメントは、効果的な情報セキュリティ対策を講じるための出発点です。自分にとって身近な情報資産が、どのような脅威に晒されており、どのような弱点を持っているのかを具体的に考えることで、より実践的なセキュリティ意識を高めることができます。

組織の情報セキュリティに対する基本的な考え方や、取り組むべき姿勢を示したものが「情報セキュリティ方針（セキュリティポリシー）」です。

• セキュリティポリシーと規程:

  • 情報セキュリティ方針: 組織全体の情報セキュリティに関する最上位の文書。社長などのトップマネジメントが承認し、全従業員に公開されます。
  • セキュリティ規程: 情報セキュリティ方針に基づいて、より具体的なルールを定めた文書（例: アクセス管理規程、情報資産管理規程）。
• 従業員の役割と責任: 情報セキュリティは、特定の部門や担当者だけが行うものではなく、全従業員がそれぞれの役割と責任を果たすことで維持されます。

  • たとえ話: サッカーチームに例えるなら、情報セキュリティ方針は「チームの戦術」、セキュリティ規程は「個々の選手の役割や動きのルール」です。そして、従業員一人ひとりが「選手」であり、それぞれの持ち場でルールを守り、チームのために動くことが求められます。

組織の情報セキュリティポリシーを理解し、それに従うことは、従業員の基本的な責務です。自分自身の役割と責任を自覚し、日々の業務でセキュリティポリシーを遵守することが、組織全体の情報セキュリティレベルを高めることにつながります。

「情報資産」という言葉を聞くと、デジタルデータばかりを想像しがちですが、実は「人」も重要な情報資産です。例えば、高度なスキルやノウハウを持つ従業員、その知識も情報資産とみなされます。そして、その従業員が退職する際に、機密情報を持ち出してしまう、というのも「脅威」の一つになります。情報はあらゆる形をしている、と考えると、守るべき範囲がより明確になりますね。

ここまでの内容で疑問があれば、AIに質問してみましょう。たとえば：

• 「リスクアセスメントは誰が行うべき？」
• 「自社の情報セキュリティ方針はどこで確認できる？」
• 「従業員の役割と責任について、もっと具体的な例が知りたい」

1. 身近な情報資産のリスク特定: あなたの部署で普段業務に使用している情報資産（例: 業務で使うPC、共有ファイルサーバー、顧客情報が記載された紙媒体の資料など）を一つ選び、その情報資産に対する「脅威」と「脆弱性」をそれぞれ2つ以上挙げてください。AIとディスカッションしながら、より多くの視点からリスクを洗い出してみましょう。
2. 情報セキュリティ方針の確認と説明: あなたの会社の情報セキュリティ方針（またはそれに類する文書）を確認し、その中で最も印象に残った項目と、その項目が会社にとってなぜ重要なのかを説明してください。

• 課題1で特定した情報資産に対する脅威と脆弱性の一覧
• 課題2で説明した情報セキュリティ方針の重要項目とその理由

• 課題1では、AIに「〇〇（情報資産名）に対する脅威と脆弱性の例を挙げて」と質問すると、洗い出しのヒントが得られます。
• 課題2では、会社全体の視点に立って、その項目が会社の信用や事業継続にどう影響するかを考えてみましょう。

本セッションでは、情報資産の定義と分類、そしてそれに潜むリスクを特定する「リスクアセスメント」の基本概念を学びました。また、情報セキュリティ方針が組織全体で情報セキュリティに取り組むための道標であり、従業員一人ひとりがその方針を理解し、役割を果たすことの重要性を再認識しました。これらの知識は、日々の業務におけるセキュリティ意識を向上させるための重要な基盤となります。

以下の問いに答えられるか確認してみましょう：

• あなたの業務で扱う情報資産の例を2つ以上挙げ、それぞれどのように分類されるか説明できますか？
• リスクアセスメントにおける「脅威」と「脆弱性」の違いを説明できますか？
• 自社の情報セキュリティ方針において、従業員に求められる役割と責任を説明できますか？

答えに自信がない場合は、該当部分を読み返すか、AIに質問してみてください。

• 参考リンク: 情報資産とは？定義や種類、セキュリティ対策について解説 - サイバーセキュリティ情報局 (https://www.cybersecurity-jp.com/column/what-is-information-asset)