PR

監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・大溝裕則(ジェイエムシー情報セキュリティ統括役員〔CISO〕)

 第3回のコラムで詳細リスク分析の初歩について、またデータフローからの情報資産の抽出方法について解説しましたが、今回は情報資産の分類について、別の角度から解説したいと思います。

 情報資産の分類については、「情報セキュリティ管理基準」の「3.1 資産に対する責任」「3.2 情報の分類」において、情報資産の目録(情報資産台帳)を作成し、維持管理することや、情報のレベル付けなどについて記載されています。

 情報セキュリティ監査を実施する時に、「事前のリスクアセスメントが重要」と言われるのをよく耳にすると思います。実際その通りであり、詳細リスク分析をする場合に使用する情報資産台帳は、正確性、網羅性を充分考えて作成しなければなりません。

 今回のコラムでは、業務フローから情報資産台帳を作成していくうえでのヒント(注意点)を、いくつかの視点から例を挙げて紹介します。内部監査をする時などに参考にしていただけると幸いです。

■大きく価値が変化する情報資産

 情報を分類して情報資産台帳を作成することを一言で表現すると、「情報資産の棚卸」と言うことができるでしょう。そう言われてみると、簡単な作業に思えるかもしれませんが、情報をどのように分類していくかを考えていくのは結構悩ましいものです。バインダー一つ一つを登録していたのでは、情報資産台帳自体が膨大な量になってしまいます。

 一般的には、情報を業務フローから抽出して、大分類・中分類・小分類程度に分け、情報資産の評価と管理レベルが同程度であれば、情報の分類については、あまり細かくは分けずに情報資産台帳に登録しておいたほうが、定期的に情報資産を見直す際に比較的手間が掛かからないので管理が楽になります。

 簡単な例ですが、電気保守点検表・エレベータ保守点検表・浄化槽保守点検表などは、情報資産の評価がほとんど同じと考えられますので「各種保守点検表」とまとめて情報資産台帳で管理しても問題はないと思います。

 情報は、紙や電子データを保管している磁性体など、記録媒体が劣化する場合を除けば、その内容は変化しません。しかし、”情報の価値”は時間の経過によって変化する場合が多くあります。ほとんどの場合はゆるやかな変化なので、情報資産台帳に登録する時にあまり気にする必要はありません。

 ただし、情報資産によっては、時間の経過と共に極端に価値が変化する「生もの」である場合があります。例えば、採用試験や各種試験の試験問題あるいは模範解答といった情報資産は、試験日の試験終了時点で情報資産の機密性の評価が大きく変化します。入札仕様書も、入札の説明会の前後で機密性の評価が大きく変化すると思われます。

機密性の評価が大きく変化する情報もある

 こうした「生もの」の情報は、取り扱いに注意が必要です。時間の経過によって機密性、完全性、可用性の評価が大きく変化する情報資産は、管理レベルも機密性の高い時には金庫や鍵のかかるキャビネットに保管し、限られた人だけがアクセスできる状態になっているでしょう。しかし、機密性が低い時は公開情報にしたほうが良いかもしれません。

 管理するレベルが変化する情報資産は、情報資産台帳を作成・更新した時点で他の情報と管理レベルが同程度であっても、それらとは分けて管理をした方が望ましいと言えます。また、内部監査を実施する際に、監査人はこのような視点で情報資産台帳のチェックをすることも必要でしょう。

 例えば、試験問題の例では下図のように、情報資産台帳上は、試験実施日を境にして分けて管理するということです。

情報資産台帳上は、試験実施日を境に管理

■あってはいけないのに存在する情報資産 ~電子データの落とし穴~

 最後にもう一つ、見落としがちな点について触れておきましょう。

 通常、情報資産は、特定の部署に保管されている情報を記入していきます。つまり、どのような情報を扱っていて誰がどのような管理をしているかを明記しておくわけです。通常は、それだけで問題はありませんが、次のようなケースでは、より管理レベルを上げるために工夫が必要になります。

 それは「自分の部署で保管はしないが、経由していく機密情報」というような情報資産がある場合です。紙の情報の場合は、コピーという行為を行わないと複製を残すことができないので、故意に行う以外は、機密情報が「あってはいけないのに存在する」ことはあまり考えられません。しかし、電子データはコピーが手元で簡単に行えるため、うっかりデータを残してしまうということが起こり得ます。

 このようなケースでは、情報資産台帳に別添「あってはいけない情報資産」の一覧を付けて管理しておくと、より情報セキュリティが高まるでしょう。

情報セキュリティ監査制度(経済産業省) セキュリティ管理基準
「サブコントロール」解説コーナー(5)

7 アクセス制御

7.3 利用者の責任
目的:認可されていない利用者のアクセスを防止するため

7.3.1 利用者は、パスワードの選択及び使用に際して、正しいセキュリティ慣行に従うこと

7.3.1.4 すべての利用者に、最短6文字の質の良いパスワードを選択すること

【解説】

 コントロールに書かれている「正しいセキュリティ慣行」の一例としてパスワードの文字長とパスワードの質について書かれたサブコントロールです。文字長については、このサブコントロールは利用者(ユーザ)向けに書かれていますので、システム管理用(サーバ、ルータなど)に使うパスワードは、最短でも10文字以上にすることをお勧めします。

 「質の良いパスワード」とは、第三者(同僚、上司、部下も考慮する)に推測されにくいパスワードや複雑な文字列のことです。具体的には、生年月日・電話番号・名前(イニシャル)などを使用しないことや、「aaaaaa」、「123456」などの簡単な文字列、よく使う英単語なども使用しない方が望ましいでしょう。特に簡単な文字列は、たやすくショルダーハッキング(肩越しにパスワードなどを盗み見るハッキング手法)されるので注意してください。


筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。