ISMS Security Academy
ISMS基礎

資産台帳の
作り方と管理の鉄則

「何を守るべきか」を明確にすることが、リスクマネジメントの第一歩です。
業務フローから情報を抽出し、台帳を正しく維持しましょう。

資産台帳の位置付け

ISMSの活動において、業務プロセスの整備はリスクマネジメントの主軸です。業務フローを作成し、そこで洗い出された「情報資産」を登録・評価する場所が資産台帳となります。

業務プロセスの可視化
資産台帳への登録・評価
リスクマネジメントの実施

資産管理台帳:主要資産の管理

業務フロー上に登場する「情報」そのものを登録・評価します。情報のライフサイクル(入手・利用・保管・廃棄)を明確にすることがポイントです。

入手
利用
保管
廃棄

登録のポイント

  • 具体的な資産名:「業務レポート」など汎用的な名前を避け、「2024年度 ●●PJT 月次報告書」のように特定可能な名前にします。
  • 紙と電子は別資産:同じ内容でも形態が変われば別個の資産です。行を分けて登録してください。
  • 保管場所ごとに登録:保存場所が分散している場合は場所ごとに登録し、重要度に応じた適切な保管方法か確認します。
  • 保管期間と廃棄:資産には適切な保管期間を定め、期間終了後の確実な廃棄を徹底します。

構成管理台帳:構成品とクラウド管理

主な管理対象(構成品)

  • システム
  • クラウド
  • クライアント端末
  • マニュアル類

【クライアント端末の管理】

クライアント端末は別管理、TECHPC と RECHPC は分けます。
(Tから始まるものは当社資産、Rから始まるものはレンタル機器です)

クラウド登録の進め方

  1. 1 全社システム:あらかじめ入力例が公開されています。入力例フォルダを確認してください。
  2. 2 独自契約サービス:入力例にない場合は、下記の観点で個別評価が必要です。

クラウドサービスの評価項目・詳細解説

GIP (グローバルIP制限)

会社(PI)のグローバルIPアドレスからのみ接続を許可する「接続元制限」が実装されているかを確認します。

多要素認証 (MFA)

IDとパスワードだけでなく、デジタル証明書、ワンタイムパスワードなどの「追加の認証要素」があるかを確認します。

バックアップ

システム側でバックアップが取得されているか、あるいは自社でのバックアップが必要か。消失時の復旧手段を確認します。

通信暗号化

URLが「https」で始まっているかなど、通信経路が暗号化されているかを確認します。

データ暗号化

クラウド上のストレージに格納されているデータ自体が暗号化されて保存されているかを確認します。

テナント分離

自社の環境が他社(他契約者)と論理的に分離された環境であるかを確認します。

撤退戦略

利用終了時のデータ返却や確実な削除が可能か。プロバイダーとの取り決めができない場合はチーム内の定めを確認します。

監査ログ取得

いつ、誰が、何をしたかの「操作履歴」を出力・保存する機能がシステムに存在するかを確認します。

冗長化 (可用性)

ホットスタンバイ等、システムダウンを防ぐ冗長構成がとられており、可用性が維持されているかを確認します。

特権管理

管理者権限を持つユーザーの付与・剥奪プロセスがチーム内で明確に定められているかを確認します。

一般権限管理

一般ユーザーのID発行やアクセス制限、棚卸しプロセスがチーム内で定められているかを確認します。

人的情報管理台帳:所属員の管理

【管理項目:力量(研修受講歴)】

情報セキュリティスキル(導入・定期・ISMS研修)の受講記録を記載します。

★ 活用ポイント:
力量の欄には、チーム独自の業務研修履歴等を追加して活用することも可能です。

管理すべき基本情報

・社員番号・氏名・入社日・就業場所・職位・各種システムID

運用ルール(2025/4~)

異動者・退職者の情報は、年度末(2月~3月頃)にまとめて削除する運用へ変更となりました。

また、異動時には研修履歴を、異動元から異動先へ確実に連携してください。

情報移送先一覧:送信業務の管理

誤送信事故を受けた定義変更(2025/3)

一般個人のメールアドレス宛送信は、データ添付の有無を問わず登録が必須です。法人宛送信も、データ添付がある場合は必ず登録が必要です。

送信手段 リスクと必要な対策
メール添付 (高) 一度に大量の個人情報が漏洩するリスク。Fileforce等への手法変更、または合意エビデンス取得が必要。
FAX (高) 番号間違いによる第三者への漏洩リスク。匿名加工や合意エビデンス取得が必要。
郵便・宅急便 (中) 誤配送・誤封入・紛失。書留や特定記録など追跡可能な手段を利用。
ストレージ等 (低) 現時点で最も安全な手段。使い方の誤りに注意。

理解度チェック:フラッシュカード

カードをクリックして裏面の回答を確認しましょう

Q1: 台帳の役割

資産台帳に登録する前に、まず何を可視化する必要がありますか?

業務プロセス(業務フロー)

業務フローで洗い出された資産を台帳に登録するのがISMSの基本です。

Q2: 登録の単位

同じ内容の情報が「紙」と「データ」の両方にある場合、登録はどうしますか?

別個の資産として、行を分けて登録する

形態や保管場所が変わればリスクも変わるため、別資産として扱います。

Q3: クラウド管理

入力例にないクラウドサービスを利用する場合、何が必要ですか?

GIP制限やMFA等の観点による個別評価

独自契約の場合はチーム責任者がセキュリティ基準を評価し、台帳へ登録します。評価に悩む場合には、事務局へご連絡下さい。

Q4: 人的情報(2025新ルール)

異動・退職者の情報はいつ削除する運用に変わりましたか?

年度末(2月~3月)にまとめて削除

都度削除ではなく、年度末の棚卸し時に一括削除するルールに変更されました。

Q5: 情報移送(2025新ルール)

個人のメール宛に「添付ファイルなし」で送信する場合、登録は必要ですか?

必須(添付の有無を問わない)

2025年3月より、一般個人宛のメールは内容を問わず全て登録対象となりました。

Q6: 資産ライフサイクル

情報資産の4つの管理ステージを順に挙げてください。

入手 → 利用 → 保管 → 廃棄

各段階での漏洩リスクを考え、台帳に適切なルールを記載することが重要です。

APPENDIX:管理番号の附番ルール

TCD
_
S
_
01
_
00001
-
1

チームコード [TCD]

各チーム固有のコードを指します。

台帳区分 [コード]

  • S:資産管理台帳
  • C:構成管理台帳
  • CLD:クラウドサービス

業務区分 [コード例]

  • 00:共通項目
  • 01:メイン業務
  • 02:サブ業務
Academy TOPへ戻る