「うちの情報資産って、何がありましたっけ?」——この質問に即答できる担当者は、実はほとんどいない。
ISO27001の運用支援に入ると、最初にやることがある。情報資産の棚卸しだ。どんなデータが、どこに、誰の管理のもとで存在しているかを一覧にする作業——これが意外なほど手が止まる。
前回の記事でISO27001の「仕組み重視」の考え方を書いた。今回はその第一歩となる情報資産台帳の作り方と、AIを使った効率化の具体的な方法を紹介していく。
→ 前回記事:セキュリティは「機器」より「仕組み」で決まる——ISO27001を現場目線で解説
目次
1. 情報資産台帳とは何か:作る目的から理解する
情報資産台帳とは、組織が保有する情報資産を一覧化した管理文書だ。「資産」というと設備や機器を思い浮かべがちだが、ISO27001における情報資産はもっと広い概念だ。
顧客データ・契約書・設計図・社内規程・メールのやり取り——業務に関わるあらゆる情報が対象になりうる。それをどこに保管し、誰がアクセスでき、どう管理しているかを整理するのが台帳の役割だ。
作る目的は「記録すること」ではなく、「見えていないリスクを可視化すること」だ。台帳を作る過程で「このデータ、誰も管理していなかった」「退職した人のアカウントがまだ残っている」といった問題が必ず出てくる。それを発見することに価値がある。
2. 台帳に記載する項目:最低限これだけあればいい
情報資産台帳の項目は、組織の規模や目的によって変わる。ただ、最初から完璧な台帳を作ろうとすると手が止まる。まずは以下の6項目から始めることをすすめている。
① 資産名:何の情報か(例:顧客管理データ、給与台帳、契約書ファイル)
② 保管場所:どこにあるか(例:社内サーバー、クラウドストレージ、紙・キャビネット)
③ 管理責任者:誰が管理しているか(部署・氏名)
④ アクセス権限:誰がアクセスできるか(全社員・特定部署・個人)
⑤ 重要度:漏えい・紛失した場合の影響度(高・中・低の3段階で十分)
⑥ 廃棄ルール:いつ、どう廃棄するか
この6項目を埋めるだけで、組織のセキュリティ上の「盲点」がかなりの確率で見えてくる。
3. 棚卸しの進め方:現場で使える3ステップ
実際の棚卸しは、以下の3ステップで進めると整理しやすい。
ステップ1:業務フローを部署ごとに書き出す
各部署が日常的に扱う情報を洗い出す。「どんな書類を使うか」「どんなデータをやり取りするか」を担当者にヒアリングしながら進める。この段階ではExcelの一覧で十分だ。
ステップ2:保管場所と管理者を紐づける
洗い出した情報資産に対して、どこに保管されているか・誰が管理しているかを確認する。「なんとなく共有フォルダに入っている」「担当者が個人のPCに持っている」という状態が必ず出てくる。それを記録することが重要だ。
ステップ3:重要度を評価してリスクに優先順位をつける
すべての情報資産に同じレベルの対策をする必要はない。漏えいした場合の影響が大きいものから優先的に対策を検討する。重要度の評価は「高・中・低」の3段階で十分で、最初から細かく点数化しようとしなくていい。
4. AIで効率化できる部分:Claudeを実際に使った話
この棚卸し作業、実はAIが得意な部分がある。僕が実際にClaudeを使って効率化している場面を3つ紹介する。
① 台帳テンプレートの生成
「医療系中小企業の情報資産台帳テンプレートをExcel向けに作って」と投げると、業種に合わせた項目を提案してくれる。ゼロから設計する手間が大幅に省ける。
② リスク評価の観点出し
「顧客の個人情報をクラウドに保管している場合のリスクを洗い出して」と指示すると、見落としがちなリスク観点を複数提示してくれる。担当者一人では気づかない盲点を補うのに使える。
③ 規程文書のドラフト作成
棚卸しが終わったあと、情報セキュリティポリシーや取扱手順書のドラフトを作る場面でも活躍する。「ISO27001準拠の情報資産管理規程のドラフトを作って、中小企業向けにシンプルにして」という指示で、実用的な叩き台が出てくる。
AIを使い始めたことで、文書作成にかかる時間が体感で半分以下になった。その分、現場確認やヒアリングに時間を使えるようになった。
5. AIでは補えない部分:現場確認の重要性は変わらない
ただし、AIに任せきりにできない部分がある。前回の記事でも書いたが、現場に足を運ぶことで初めて見えるものが必ずある。
台帳上では「サーバー室に保管」となっているデータが、実際には担当者の手元のUSBメモリにもコピーされていた——というケースは珍しくない。書類の廃棄ルールが規程に書いてあっても、倉庫に何年分もの紙書類が積み上がっている現場も見てきた。
AIは文書を整理し、観点を広げ、ドラフトを作ることが得意だ。でも「実態と台帳のズレ」を見つけるのは、現場を歩いた人間にしかできない。この役割分担を意識して使うことが、AI活用の正しい姿だと思っている。
6. 中小組織向け:完璧を目指さない運用のコツ
情報資産台帳を作ったあと、多くの組織で起きるのが「作って終わり」になることだ。更新されず、現実と乖離した台帳が放置される——これでは意味がない。
中小組織での運用を長く見てきた経験から、続けるためのコツを3つ挙げる。
更新タイミングを決める:年1回の内部監査前・人事異動のタイミング・新システム導入時、など「このときに必ず見直す」という契機を決めておく。
担当者を一人に絞らない:台帳管理が特定の担当者に依存すると、その人が異動・退職したときに止まる。部署ごとに更新担当を置く仕組みにすると継続しやすい。
細かすぎる項目を減らす:最初は6項目で十分と書いたが、運用しながら「この項目は実態に合わない」と感じたら削っていい。埋まらない項目だらけの台帳より、シンプルでも更新されている台帳の方がずっと価値がある。
台帳は「育てるもの」と割り切る
情報資産台帳は、完成させるものではなく育てるものだ。最初から完璧を目指すと必ず止まる。まず6項目・主要な資産だけで作り、あとは運用しながら精度を上げていく——その姿勢が長続きする。
AIはその作業を大幅に効率化してくれる。テンプレート生成・リスク観点の補完・文書ドラフト、どれも実用的だ。でも最後に台帳を「生きた文書」にするのは、現場を歩いて確認を続ける人間の仕事だ。
次回は、「なぜ組織のセキュリティ対策は進まないのか」——担当者だけの問題ではなく、組織構造とリテラシーの話を書いていく。
関連記事
・セキュリティは「機器」より「仕組み」で決まる——ISO27001を現場目線で解説
本記事の前編。ISO27001の基本的な考え方と、人が行うべきコンサルティングの話。
・AIツールの「企業姿勢」で選ぶ時代——僕がClaudeを使い始めた話
セキュリティ業務でAIを活用し始めた筆者が、Claudeを選んだ理由を書いた導入検討記。
0 件のコメント:
新しいコメントは書き込めません。