【メモ】情報資産とセキュリティの基本
はじめに
セキュリティ基礎で最初にそろえるべきなのは、「何を守るのか」という視点です。
ここが曖昧なままだと、メール、クラウド共有、生成AI、端末利用の注意点を個別に学んでも、判断が場当たり的になります。1
この章では、情報資産とは何か、なぜ守るのか、どういう観点で守るのかを、日常業務の場面に引き寄せて整理します。
このテーマで押さえたいこと
この記事で押さえたいのは、次の4点です。
- 情報資産とは、会社にとって価値のある情報や仕組み全体を指すこと
- 守る理由は、単なるルール順守ではなく、事業、顧客、信用を守るためであること
- セキュリティは、機密性、完全性、可用性の3観点で考えること
- 日常業務の中で、自分がすでに情報資産を扱っていると理解すること
なぜ最初に情報資産を理解するのか
日常業務で最初に触れるのは、特別な機密システムだけではありません。
メール、チャット、社内文書、顧客リスト、予定表、問い合わせ履歴、業務端末のような日常的なものが中心です。1
しかし、こうした情報は「いつでも触れている」からこそ、軽く見られがちです。
たとえば、次のような誤解が起きやすくなります。
- 社内資料だから外に出ても大したことはない
- 下書き段階の情報だから漏れても問題は小さい
- 顧客名が入っていなければ機密ではない
- 自分の端末にあるだけなら会社の情報資産ではない
こうした誤解を防ぐために、まずは「情報資産」という言葉の射程を正しく理解しておく必要があります。
情報資産とは何か
情報資産とは、会社にとって価値があり、守る必要がある情報や仕組みを指します。1
実務の場面に引き寄せると、次のようなものはすべて情報資産の候補です。
- 顧客情報
- 社内資料
- 営業資料
- 契約情報
- 設計書や仕様書
- ソースコード
- 認証情報
- ログ
- 業務システムそのもの
つまり、「ファイルだけ」が情報資産ではありません。
アカウント、システム、設定、履歴、やり取りの内容も含めて考える必要があります。
機密性、完全性、可用性の3観点
セキュリティの基本概念は、機密性、完全性、可用性の3つで整理すると考えやすくなります。1
機密性の観点
機密性とは、見てよい人だけが見られる状態です。
問題になる例は次のとおりです。
- 誤送信で社外へ資料が出る
- 公開リンクを広く開けたままにする
- のぞき見される場所で機密資料を開く
- 生成AIやチャットに機密情報を貼り付ける
完全性の観点
完全性とは、情報が勝手に変わらず、正しい状態が保たれていることです。
問題になる例は次のとおりです。
- 誤ってファイルを上書きする
- 古い版を正本だと思って配布する
- 設定を誤って変更する
- 内容を確認せずに別人の情報で更新する
可用性の観点
可用性とは、必要なときに使えることです。
問題になる例は次のとおりです。
- 必要なファイルを見つけられない
- 端末紛失で業務継続に支障が出る
- 重要データを自分だけのローカルに保存して共有できない
- 誤操作で必要な情報にアクセスできなくなる
この3つは別々の話ではありません。
たとえば、公開範囲を広げすぎれば機密性を失い、誤った版を使えば完全性を失い、必要な人がアクセスできなくなれば可用性を失います。
日常業務で触れる情報資産の具体例
顧客情報と個人情報
氏名、住所、メールアドレス、電話番号、問い合わせ履歴、契約情報などは、代表的な重要情報です。
たとえ一部だけでも、他の情報と組み合わさると個人や案件を特定できる場合があります。
社内情報
会議資料、業務フロー、予算、組織情報、未公開の施策、評価資料、障害報告なども、外に出ると影響が大きい情報です。
「社内向けだから軽い」という判断は危険です。
営業秘密や開発資産
提案資料、価格情報、仕様書、設計資料、ソースコード、運用手順、構成情報は、事業競争力に直結します。
顧客名が入っていなくても、会社にとって重要な資産です。
認証情報と設定情報
ID、パスワード、多要素認証の登録情報、APIキー、共有リンク、アクセス権設定などは、情報そのものというより情報に入る鍵です。
これが漏れたり、誤設定されたりすると、二次被害が大きくなります。
守る理由は「怒られないため」ではない
セキュリティ教育は、ともすると「ルール違反をしないための話」に見えがちです。
ただ、本質はそこではありません。1
守る理由は、次のものを守るためです。
- 顧客との信頼
- 会社の信用
- 業務の継続
- 取引やサービスの正しさ
- 将来の事業機会
たとえば、誤送信1件でも、単にファイルが外へ出ただけでは終わりません。
問い合わせ、説明、回収対応、再発防止、信用低下まで連鎖することがあります。
情報資産を守るとは、情報そのものだけでなく、その先にある事業運営を守ることです。
持ちやすい誤解
つまずきやすい誤解を、先に明示しておきます。
自分の担当範囲が狭いから影響も小さいという誤解
一人ひとりの作業は小さく見えても、顧客情報、共有リンク、メール送信、権限設定は広い影響を持ちます。
担当範囲の小ささと、事故影響の小ささは一致しません。
社内向けなら安全という誤解
社内でも、見る必要がない人に共有すれば問題になります。
「社内だから大丈夫」ではなく、「必要な範囲かどうか」で考える必要があります。
情報そのものだけ守ればよいという誤解
実際には、アカウント、設定、共有範囲、版管理、ログも重要です。
情報本体が正しくても、入口や設定が緩ければ守れているとは言えません。
日常業務で意識したい基本原則
この段階で覚えるべき原則は、多くありません。
- 何が情報資産にあたるかを広く捉える
- その情報を誰が見てよいかを意識する
- 正しい版、正しい内容、正しい相手を確認する
- 必要なときに使える状態を崩さない
- 迷ったら、自分で軽く判断せず、自社ルールを確認する
細かな個別ルールは後続の記事で扱います。
ここでは、どの話題にも共通する判断の土台を固めることが重要です。
ミニ確認
次の問いに、記事を読んだあとで答えられるか確認してください。
- 情報資産には、ファイル以外にどのようなものが含まれるか
- 機密性、完全性、可用性は、それぞれどのような状態を指すか
- 「社内向け資料だから大丈夫」という考え方が危険なのはなぜか
- 顧客情報が入っていなくても重要になりうる情報には何があるか