対象試験と出題頻度
情報資産台帳は、情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されるテーマです。
ISMSやリスクアセスメントと関連して出題されることが多いので、基本的な目的と記載項目を押さえておきましょう。
詳細をクリックして確認
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
情報資産台帳(Information Asset Inventory)とは、一言で言うと「組織が保有する情報資産を一覧にまとめ、その重要度や管理責任者などを記録した文書」のことです。
イメージとしては、「会社の財産目録」のようなものです。
家庭でも、貴重品がどこにあるか、いくらくらいの価値があるか、誰が管理しているかを把握しておくと、紛失や盗難に備えられますよね。情報資産台帳は、これと同じことを組織の情報資産に対して行うものです。
情報処理試験を勉強していると、「情報資産台帳って何のために作るの?」「どんな項目を書けばいいの?」という疑問が浮かびがちです。結論から言うと、情報資産台帳はリスクアセスメントの出発点となる重要な文書です。何を守るべきかを明確にしなければ、適切な対策は立てられません。
📊 情報資産台帳の基本情報
| 項目 | 内容 |
|---|---|
| 目的 | 守るべき情報資産を明確にし、リスク管理の基盤とする |
| 作成タイミング | ISMS構築時、リスクアセスメント実施前 |
| 更新頻度 | 定期的(年1回など)+ 大きな変更があった都度 |
| 管理責任 | 情報セキュリティ管理者、各資産の管理責任者 |
解説
情報資産台帳は、ISMSを構築・運用する際の基礎となる文書です。「何を守るべきか」を明確にしなければ、効果的なセキュリティ対策は立てられません。まず情報資産を洗い出して台帳にまとめ、それをもとにリスクアセスメントを行う、という流れになります。
情報資産とは何か
情報資産台帳を理解するには、まず「情報資産」が何を指すのかを明確にしておく必要があります。
情報資産とは、組織にとって価値のある情報およびそれを扱う資産のことです。紙の書類やデータファイルだけでなく、それを保存・処理するシステムやハードウェア、さらには情報を扱う人材も情報資産に含まれます。
📊 情報資産の種類
| 種類 | 具体例 |
|---|---|
| 情報(データ) | 顧客データ、従業員情報、財務データ、設計図、契約書 |
| ソフトウェア | 業務システム、OS、データベース、アプリケーション |
| ハードウェア | サーバー、PC、ネットワーク機器、記憶媒体 |
| サービス | クラウドサービス、通信回線、電力供給 |
| 人材 | 従業員のスキル・知識、有資格者 |
情報資産台帳の記載項目
情報資産台帳に何を記載するかは組織によって異なりますが、一般的に以下の項目が含まれます。試験では「情報資産台帳に記載される項目として適切なものはどれか」という形式で出題されることがあるので、主要な項目を覚えておきましょう。
💡 情報資産台帳の主な記載項目
資産名:情報資産の名称(例:顧客管理システム)
資産の種類:情報、ソフトウェア、ハードウェアなどの分類
管理責任者:その資産を管理する責任者(オーナー)
保管場所:物理的またはネットワーク上の保管場所
重要度(機密性・完全性・可用性):CIAそれぞれの観点での重要度評価
利用者・アクセス権限:誰がどの範囲でアクセスできるか
特に重要なのが「管理責任者(オーナー)」と「重要度」の記載です。管理責任者を明確にしておくことで、インシデント発生時の連絡先や、アクセス権限の承認者がはっきりします。重要度を評価しておくことで、リスクアセスメントでの優先順位付けがスムーズになります。
情報資産台帳とリスクアセスメントの関係
情報資産台帳は、リスクアセスメントの「リスク特定」フェーズで活用されます。
リスク特定では「何に対してリスクがあるか」を洗い出しますが、その「何」にあたるのが情報資産です。情報資産台帳がなければ、守るべき対象があいまいなまま対策を考えることになり、抜け漏れが発生しやすくなります。
つまり、情報資産台帳→リスクアセスメント→リスク対応という流れでセキュリティ対策が進んでいきます。
📌 情報資産台帳の位置づけ
① 情報資産台帳の作成:守るべき資産を洗い出し、一覧化する
② リスクアセスメント:各資産に対する脅威・脆弱性を特定し、リスクを評価する
③ リスク対応:評価結果に基づき、対策を実施する
情報資産台帳の作成・更新のポイント
実務では、情報資産台帳の作成と維持に苦労する組織が多いです。資産の数が多すぎて管理しきれない、更新が追いつかない、といった課題が発生しがちです。
ただし、試験ではこうした実務上の詳細は問われません。「情報資産台帳は定期的に見直す必要がある」「新規システム導入時には台帳を更新する」といった基本的な考え方を理解しておけば十分です。
⚠️ 実務でのポイント
情報資産台帳は「作って終わり」ではありません。システムの追加・廃止、組織変更、業務プロセスの変更などがあれば、その都度更新が必要です。
また、少なくとも年1回は全体を見直し、現状と台帳の内容に乖離がないか確認することが推奨されています。試験ではここまでの詳細は出ませんが、「継続的な管理が必要」という点は押さえておきましょう。
試験ではこう出る!
情報資産台帳は、情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されます。以下のポイントを押さえておきましょう。
【頻出キーワード】
- 組織が保有する情報資産の一覧
- 資産名、管理責任者(オーナー)、重要度、保管場所などを記載
- リスクアセスメントの基礎となる文書
- 定期的な見直し・更新が必要
- ISMSにおける重要な管理文書
試験問題で「守るべき情報資産を一覧化し、その重要度や管理責任者を記録した文書」といった記述があれば、それは「情報資産台帳」に関する記述です。
📝 IPA試験での出題パターン
情報資産台帳の問題は、「情報資産台帳に記載される項目として適切なものを選べ」「情報資産台帳の目的として適切なものを選べ」といった形式が多いです。
リスクアセスメントとの関係を問う問題も出題されます。「管理責任者」「重要度」「保管場所」といった記載項目と、「リスク管理の基盤」という目的を覚えておけば対応できます。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 情報資産台帳に関する説明として、最も適切なものはどれでしょうか?
- A. 組織が保有する情報資産を一覧化し、その管理責任者や重要度を記録した文書で、リスクアセスメントの基礎となる
- B. セキュリティインシデントの発生履歴と対応内容を記録した文書で、再発防止策の検討に活用される
- C. 組織の情報セキュリティに対する基本方針を宣言した文書で、経営層の承認を得て社外にも公開される
正解と解説を見る
正解:A
解説:
情報資産台帳は、組織が保有する情報資産(データ、システム、ハードウェアなど)を一覧にまとめ、その管理責任者(オーナー)、重要度、保管場所などを記録した文書です。ISMSにおけるリスクアセスメントの出発点となり、「何を守るべきか」を明確にする役割を担います。
選択肢Bは「インシデント管理記録」や「インシデント報告書」の説明です。選択肢Cは「情報セキュリティ基本方針」の説明であり、情報セキュリティポリシーの最上位に位置する文書です。
