“無形資産”の増加でセキュリティ対策はより困難に―情報セキュリティで守るべきものとは?

EnterpriseZine / 2013年8月2日 7時0分

図表3:情報資産の評価

前回は、情報セキュリティ対策を実施するにはバランスの考慮が重要であること、組織に影響を与える情報セキュリティインシデント、その影響を減らすための情報セキュリティ対策のためのアプローチについて説明しました。そこで説明した通り、情報セキュリティ対策を実施するためには、まず自分たちの組織にどのようなリスクがあるかを知ることが必要となります。そのためには、組織において”守るべきもの”が何であるかと、リスクの要素について知る必要があります。今回は、それらの要素の中の1つ、情報セキュリティで守るべきもの「資産」について説明します。

■情報セキュリティで守るべきもの――「資産」

 情報セキュリティ対策を実施するためには、守るべき対象を明確にしておくことが必要です。守るべきものが明らかになっていなければ、具体的な情報セキュリティ対策を検討することもできません。

 その守るべき対象となるものが「資産」です。情報セキュリティにおいては、一般に「情報資産」と呼ばれます。組織は、まずこの資産を特定できなければなりません。資産の特定は、その資産を所有や管理をしている当事者がしなければなりません。組織が所有する資産には、様々なものがあります。業務で実際にその資産を管理している当事者でない人では、想像や思い込みで特定することになってしまうでしょう。その結果、見落としなどが発生し、十分に特定をするとは事実上不可能だからです。

 では、組織で保護の対象となる資産には、どのようなものがあるのでしょうか。

 資産は、大きく有形資産と無形資産の2つに分けられます。

 有形資産とは、文字通り形があり目に見える資産です。有形資産には、パソコンや設備、ソフトウエア(業務用ソフトウエア、システムソフトウェア、開発用のツールやユーティリティなど)、物理的資産(コンピューター、ルーターや電話などの通信装置、記録媒体、設備など)があります。

 無形資産とは、情報(会話や電子メール、人の記憶も含む)、組織の信用・ブランドやイメージ、文化、人員のスキルや能力などです。 近年、組織における資産全体の中でこの無形資産の比率が増加しています。それは、情報セキュリティ対策の対象となる資産が無形資産の比率が増加していることにもなります。無形資産は有形資産と比較して、人間の目に見えないため、多くの組織では特定はかなり難しくなるでしょう。それが、近年情報セキュリティ対策を難しくしている原因の1つではないでしょうか。

株式会社ラック 長谷川 長一[著]

EnterpriseZine

トピックスRSS

ランキング