【情セキ.001】情報資産について
佐藤@IT雑貨屋です。
今回から少し、情報セキュリティについて書かせて頂こうと思います。もしお時間ありましたら、お付き合い頂けたらと思います。
まず情報セキュリティと聴くと、恐らく多くの人は、例えば個人情報を守ることとか、機密保持の事を想像されるのではないでしょうか。
今年で個人情報保護法か施行されてから、間もなく21年になろうとしています。世の中の意識も高まる中で、様々なセキュリティソリューションもリリースされているにも関わらず、未だに個人情報の漏洩も起きていますので、その事からも多くの人は、情報漏洩防止という事が、情報セキュリティだと考えているようです。
確かに個人情報保護という観点では、そう言う事が主眼になりますが、情報セキュリティという観点では、単に情報漏洩を防ぐだけという事が目的ではありません。
情報セキュリティについて、その内容は国際的な規格(ISO27002)で明確に定められています。これに対応した国内規格(JIS Q 27002)にも規定されていますが、そのまま読むと規格文言となっていて、少しとっつきずらいのですが、少し砕けた感じでいうと以下の事と決められています。
組織の情報資産は、気密性・完全性・可用性を維持しつつ、しっかりと維持すること。またその際には真正性や責任追跡性、否認防止性や信頼性も考慮しても良い。
これでもかなりお硬い言葉になっていますが、もう少し踏み込んで、なるべくわかり易くなるように説明をしてみたいと思います。
ますここで言う「情報資産」ですが、これは組織や団体で経営資産となる情報を、情報セキュリティの対象にする事を指しています。
組織や団体、まあ会社でも良いのですが、そこには様々な情報が溢れています。それは電話のメモであったり、打ち合わせの為の社内資料であったり、もしかしたら従業員が机に飾っている飼い猫や家族写真というのもあるかもしれません。そういった組織内にある有象無象の情報の中で、経営資産にあたる情報を「情報資産」と定めて、それを守りながら必要に応じて、利活用出来る様にする事、これを情報資産セキュリティと呼んでいるのです。
だから組織や団体、また会社の経営内容によって、様々な情報が「情報資産」になるわけですね。営業会社であれば顧客情報だったり、製造会社では設計書や仕様書等もあるでしょう。システム開発会社ならプログラムコードであったり、派遣企業であれば登録されている派遣要員のスキル情報など。業種や業態によって様々な情報が「情報資産」に当たる事になります。
資産と言えば端的に「お金(資金)になる」という事なので、組織や団体にとってお金になる情報、またその価値ある情報に関係する付帯した情報も全てが「情報資産」に該当するわけです。この考え方から情報セキュリティには経営層もしっかりと関わる必要も出てくるわけです。
私は十数年ほど前に、情報セキュリティのコンサルティングを少しやっていた事がありました。この時はISMS認証取得の為のコンサルティングでしたが、会社によっては「認証取得バッチ」だけが必要であり、その為にコンサルティングを受ける企業も少なからず見たことがあります。経営者からすれば、認識バッチさえ手に入れば良いので、現場担当者に丸投げしてしまうのでしょうが、それでは実態を伴うものではなく、形式的な活動に終始してしまいます。結果として情報セキュリティが求めた事とは乖離した活動を決めてしまい、会社にとっては認証取得やサーベイランス(維持審査)の時に、単なる負担感しか残らない活動になってしまいます。
要は「バッチの為の情報セキュリティは実が伴わない」。そういう事です。
では次回は、この情報資産をどの様な観点で扱うのかについて書いていきたいと思います。