情報資産の管理

E社は，中小企業に事務用の物品を販売している中堅の販売会社である。E社が所有する情報資産は，顧客情報，受発注情報，取引業務情報などの文書化されていない業務処理用の情報資産と，経営情報，経理情報，社員情報，文書形式で出力された業務情報などの文書化された情報資産（以下，文書資産という）とに大別される。

業務処理用の情報資産は，業務用システム内で利用者ごとにaが定められ，管理されている。一方，文書資産は，ペーパレス化の全社施策の推進によって，最終的に大部分が電子化された状態で社内のファイルサーバに保管されている。これらの資産には，情報資産の機密性の分類として，"関係者限り"，"社内限り"，"公開"のいずれかの機密性区分が付与されている。

最近，同業他社で社員の不注意に起因する情報資産に関わる情報セキュリティインシデントが発生した。E社の経営企画部のF部長は，文書資産の資産管理と運用管理に関する現状調査を行い，問題点の抽出及び対応策の検討を行うようG課長に指示した。

文書資産の資産管理に関する現状

G課長は，社内調査を行い，文書資産の資産管理の現状を次のとおり整理した。

• 文書資産の作成
• 社員が，PCを使用して文書化された情報（以下，文書情報という）を作成し，完成すると，文書資産として，社内の機密性区分を定めた情報セキュリティ規程を参照して機密性区分を判断し，文書資産管理者の承認を得ている。
• 文書情報を作成した社員（以下，文書情報作成者という）は，文書情報に機密性区分を記載する。"関係者限り"の場合には，文書資産管理者に許可された社員だけが業務で利用できるよう，文書情報を分類・整理して保管するファイルサーバ上の場所（以下，フォルダという）にaを設定し，そこに文書資産として保管している。なお，フォルダは，各部ごとに作成され，自部の許可された社員だけがアクセスできる。"社内限り"と"公開"の場合には，全社員がアクセスできるフォルダに文書資産として保管している。
• 文書資産の登録・変更・削除
• 文書資産は，部ごとに管理する。各部の文書資産管理者は，部長が課長の中から任命する。文書資産管理者が異動した場合には，部長が新たな文書資産管理者を任命し，異動の事実と新たな文書資産管理者を表形式の一覧表に記録している。
• 文書情報を作成した部の文書資産管理者は，"公開"以外の機密性区分の文書資産について，自部で管理している表形式の文書資産管理台帳に，文書資産の情報（文書資産番号，文書資産名，機密性区分，文書情報作成者の情報，作成日，配付対象者の情報，四半期単位の保存期間の満了日）を登録している。
• 文書情報を作成した部の文書資産管理者は，文書情報作成者から，文書資産が変更又は削除された通知を受けると，文書資産管理台帳に，文書資産が変更又は削除された日を追記している。
• 文書資産管理者は，四半期ごとに，文書資産管理台帳に登録された文書資産のうち，保存期間が満了した全ての文書資産について，文書資産名と文書情報作成者の情報を抽出し，文書情報作成者に削除を指示している。これらの作業には，多くの手間が掛かっている。
• 文書資産の配付
• 文書情報作成者が，"関係者限り"の文書資産を他部に配付する場合は，その作成元の文書資産管理者に許可を受けた上で，文書資産の編集が可能なファイル形式で自社の電子メールに添付して，配付先の当該社員へ送付している。
• 文書資産を受領した社員は，自部の文書資産管理者に連絡し，許可された社員だけが利用できるよう，当該文書資産を保管するフォルダにaを設定してもらう。
• その後，文書資産を受領した社員は，aが設定された当該フォルダに受領した文書資産を保管し，電子メールの添付ファイルを削除することとしている。
• "関係者限り"の文書資産を他部に配付する場合，作成元の文書資産管理者は，自部の文書資産管理台帳に配付対象者の情報と配付日時を追記している。
• 配付元で配付対象者の情報と配付日時が管理されているので，配付先では，配付先で保管する当該文書資産の情報を文書資産管理台帳へ登録することを不要
• 文書情報作成者は，文書資産の削除が必要となった場合には，配付先の当該社員に削除を依願している。
• 文書資産に対する権限は，社員の役割に応じて，文書資産の運用についての規程で表1のとおり定められている。

凡例　○：有　×：無　△：指示だけ

文書資産の運用管理に関する現状

次に，G課長は，運用管理に関する現状を次のとおり整理した。

• システムでの管理
• 文書資産を保管しているファイルサーバは，情報システム部が運用している。
• 文書資産のbを確保するために，それらを保管しているファイルサーバは，二重化されたシステムで構成され，免震装置の上に設置されている。
• 情報システム部のシステム管理者は，bを確保するために，文書資産がいつでも使用できる状態を維持するようファイルサーバを運用している。
• システム管理者がファイルサーバにログインする際には，システム管理者用IDと十分に強固なパスワードを使用している。
• イベントログ
• "関係者限り"に該当する文書資産の変更・参照・削除のイベントが発生すると，イベントログとして，社員ID，文書資産名，イベント発生時刻，イベント種別（変更・参照・削除）が，ファイルサーバに蓄積される。
• 多大な人手が掛かるので，システム管理者が全てのイベントログを定期的に解析する作業は行わず，情報セキュリティインシデントが発生して調査が必要となった場合にだけ，情報システム部の課長からの指示によって，イベントログの解析が実施される。
• イベントログの解析は，システム管理者が，解析ツールを使用して，解析ツールのマニュアルに記載されている手順に従って行う。
• マニュアルの記載内容は分かりやすいが，情報セキュリティインシデントの発生頻度は低く，システム管理者が作業に慣れていないので，イベントログの解析には時間を要している。
• システム管理者は，保存期間が満了したイベントログを消去している。イベントログの保存期間は，社内の規程で1年間と定められている。

問題点の抽出及び解決策の検討

G課長は，現状を整理した結果から，次の(1)～(3)の問題点を抽出した。

1. 文書資産の削除しが適切に実施できない。
2. 情報漏えいが発生した場合に，イベントログの解析に長時間を要する。
3. 配付された文書資産を，配付先の当該社員が，うっかりミスによって変更してしまうことで完全性が損なわれる。

そこで，それぞれの問題点について，次の(1)～(3)の解決策を検討した。

1. 機密性区分が"関係者限り"の文書資産を他部から配付された場合，配付先の文書資産管理者は，cする。
2. 不正アクセスの有無を特定することを目的とした，システム管理者による，全てのイベントログに対する定期的な点検作業は行わない。しかし，①対象期間と対象とする文書資産を限定した上で，システム管理者が，イベントログを解析する訓練を定期的に実施することにする。
3. ②文書資産の完全性が保たれるよう，文書情報作成者が，文書資産を配付するときの文書資産の取扱いを見直す。li>

文書資産管理システムの検討

現在，各部で行っている文書資産の管理に関する業務には，多くの時間と人手が掛かっている。そこで，G課長は，文書資産の管理に関する業務を省力化するために，文書資産管理システムの導入を検討することにし，文書資産管理システムで実現する必要がある機能を取りまとめた。

• 文書資産管理台帳への文書資産の情報の登録
• 文書資産管理台帳での文書資産の情報の変更
• 文書資産管理台帳からの文書資産の情報の削除
• 参照権限者ごとの文書資産管理台帳の参照
• 部間での文書資産の移動
• 各部内でのd
• 部や課の統廃合時の文書資産管理台帳の引継ぎ

文書資産管理システムを導入すると，e文書資産の一覧を容易に出力できるので，四半期ごとに，不要となった文書資産を確実に削除できるようになる。