教学相長：ＩＳＭＳ／情報セキュリティ

　一般に、脅威や脆弱性、実施するセキュリティ対策は、情報資産の属性によって傾向が決まります。
　その属性とは、
・情報資産の形態（紙ベースか電子データか）
・取り扱いの特徴（取り扱い業務や利用の範囲）
・保管形態（出入り自由な部屋での保管か特定の人のみが入室可能な部屋での保管か、書面として本棚での保管か電子データでサーバー内の保管か個別パソコン内の保管か）
・機密性・完全性・可用性の評価レベル
・法的要求事項
などの組み合わせです。

　例えば、ロッカーに保管している情報資産について考えられる脅威や脆弱性は殆ど同じです。脅威は、権限外の不正な閲覧・持ち出し。その脆弱性は、施錠出来ていない。それに対するセキュリティ対策は、ロッカーの施錠管理。などとなります。
　ならば、同じロッカーに保管されている情報資産は一括でリスク分析しましょう。と言う事です。
　サーバー内の情報ならば、利用者などを考慮してグループ化すると良いでしょう。
　詳細を述べると長くなりますので、ここでは、この程度のお話としておきます。


　先に洗い出していただいた、情報資産のＣ・Ａ・Ｉ評価を行うとともに、グループ化もしていただきます。
　情報資産の洗い出しに表計算ソフトなどに記入していただいてので、保管場所や管理責任者などをキーワードしてフィルターをかけて眺めると作業が捗ります。
　情報資産の洗い出し時に、それらの記入方法などの統一性を示しておくのが、一つのノウハウでもあります。

　ちなみに、Ａ社の場合は、幾つか気になって再検討をお願いしている部分もありますが、約８００の情報資産が洗い出され、３０〜４０のグループに分けることになりそうです。

　このあと、管理策A.7.1.1〜A.1.1.3で求められる「資産目録」を作成しておきます。
　基本的には、情報資産が洗い出し時の帳票を整理して管理できるようにすれば良いと思います。

　次回、リスクアセスメント（４）では、脅威・脆弱性の特定について説明します。