日商 Assist Biz

更新

企業を襲うサイバー脅威 守るべきもの「資産」とは

前回は、情報セキュリティ上のリスクの要素について説明いたしました。今回は、情報セキュリティ上の守るべきもの「資産」について説明していきます。

情報セキュリティでは、まず守るべき対象を明確にしておくことが重要です。それが「資産」であり、情報セキュリティにおいては一般に「情報資産」と呼ばれます。

資産は、大きく「有形資産」と「無形資産」の2つに分けられます。有形資産とは文字通り形がある、目に見える資産です。有形資産には、「パソコン」「設備」「ソフトウエア」「電話」「記録媒体」など物理的資産があります。一方、無形資産は目に見えません。例を挙げると、「情報」「組織のブランドやイメージ」「文化」「人員のスキルや能力」などです。近年、組織における資産全体の中で、この無形資産の比率が増加しています。無形資産は人間の目に見えませんから、一般的に有形資産に比べて特定が難しいと言えるでしょう。

そんな中でも、組織は、守るべきものである資産を特定し、その価値を評価できなければなりません。さもなければ、具体的な情報セキュリティ対策の検討も実施も適切かつ十分にできないからです。

全ての資産を全てのリスクから守ることは不可能です。そのため、何を優先して守るのかを資産の価値という基準で決める必要があります。しかし、人によって、資産の価値が異なって見えることがあります。例えば、プライバシーに関する個人情報であれば、その情報の主体(本人)と、それを扱っている人では、同じ価値に見えていないことがあります。また、この情報を悪用しようとする者には違った価値に見えているかもしれないわけです。

そのため、資産の特定と評価の作業は、その資産を所有や管理をしている当事者が主体となり実施すべきです。当事者でない人が実施すると、どうしても想像で作業することになり、 誤りや見落としなどが発生してしまうからです。

また、価値を考える際は、短期的な影響だけでなく、中長期的な影響、ブランドやイメージ面での影響なども考慮する必要があります。特にブランドやイメージ面での影響は、組織に長期にわたる大きなダメージをもたらすことがありますから、十分な考慮が必要です。

次回は、リスクアセスメントを実施するための要素のうち、「資産」が持つ「脆弱性」について説明いたします。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

前回は、情報セキュリティ上の守るべきものである「資産」について説明いたしました。今回は、情報セキュリティ上の守るべきもの「資産」が必ず持っている「脆弱性(ぜいじゃく…

前の記事

長谷川長一

前回は、企業を取り巻く情報セキュリティの動向について説明いたしました。今回は、情報セキュリティ上のリスクの要素について説明していきます。情報セキュリティにおける「リ…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…