情報セキュリティで守るべきもの――「資産」
情報セキュリティ対策を実施するためには、守るべき対象を明確にしておくことが必要です。守るべきものが明らかになっていなければ、具体的な情報セキュリティ対策を検討することもできません。
その守るべき対象となるものが「資産」です。情報セキュリティにおいては、一般に「情報資産」と呼ばれます。組織は、まずこの資産を特定できなければなりません。資産の特定は、その資産を所有や管理をしている当事者がしなければなりません。組織が所有する資産には、様々なものがあります。業務で実際にその資産を管理している当事者でない人では、想像や思い込みで特定することになってしまうでしょう。その結果、見落としなどが発生し、十分に特定をするとは事実上不可能だからです。
では、組織で保護の対象となる資産には、どのようなものがあるのでしょうか。
図表1:情報資産とは?
資産は、大きく有形資産と無形資産の2つに分けられます。
有形資産とは、文字通り形があり目に見える資産です。有形資産には、パソコンや設備、ソフトウエア(業務用ソフトウエア、システムソフトウェア、開発用のツールやユーティリティなど)、物理的資産(コンピューター、ルーターや電話などの通信装置、記録媒体、設備など)があります。
無形資産とは、情報(会話や電子メール、人の記憶も含む)、組織の信用・ブランドやイメージ、文化、人員のスキルや能力などです。 近年、組織における資産全体の中でこの無形資産の比率が増加しています。それは、情報セキュリティ対策の対象となる資産が無形資産の比率が増加していることにもなります。無形資産は有形資産と比較して、人間の目に見えないため、多くの組織では特定はかなり難しくなるでしょう。それが、近年情報セキュリティ対策を難しくしている原因の1つではないでしょうか。
