前回は、情報セキュリティ上のリスクの要素について説明いたしました。今回は、情報セキュリティ上の守るべきもの「資産」について説明していきます。

情報セキュリティでは、まず守るべき対象を明確にしておくことが重要です。それが「資産」であり、情報セキュリティにおいては一般に「情報資産」と呼ばれます。

資産は、大きく「有形資産」と「無形資産」の2つに分けられます。有形資産とは文字通り形がある、目に見える資産です。有形資産には、「パソコン」「設備」「ソフトウエア」「電話」「記録媒体」など物理的資産があります。一方、無形資産は目に見えません。例を挙げると、「情報」「組織のブランドやイメージ」「文化」「人員のスキルや能力」などです。近年、組織における資産全体の中で、この無形資産の比率が増加しています。無形資産は人間の目に見えませんから、一般的に有形資産に比べて特定が難しいと言えるでしょう。

そんな中でも、組織は、守るべきものである資産を特定し、その価値を評価できなければなりません。さもなければ、具体的な情報セキュリティ対策の検討も実施も適切かつ十分にできないからです。

全ての資産を全てのリスクから守ることは不可能です。そのため、何を優先して守るのかを資産の価値という基準で決める必要があります。しかし、人によって、資産の価値が異なって見えることがあります。例えば、プライバシーに関する個人情報であれば、その情報の主体（本人）と、それを扱っている人では、同じ価値に見えていないことがあります。また、この情報を悪用しようとする者には違った価値に見えているかもしれないわけです。

そのため、資産の特定と評価の作業は、その資産を所有や管理をしている当事者が主体となり実施すべきです。当事者でない人が実施すると、どうしても想像で作業することになり、　誤りや見落としなどが発生してしまうからです。

また、価値を考える際は、短期的な影響だけでなく、中長期的な影響、ブランドやイメージ面での影響なども考慮する必要があります。特にブランドやイメージ面での影響は、組織に長期にわたる大きなダメージをもたらすことがありますから、十分な考慮が必要です。

次回は、リスクアセスメントを実施するための要素のうち、「資産」が持つ「脆弱性」について説明いたします。