情報資産台帳とは？リスク管理の出発点を整理【SG試験】

まず結論

情報資産台帳とは、組織が保有する情報資産を一覧で整理・管理するための台帳です
SG試験では「リスクアセスメントの前提（準備工程）」として理解しているかが問われます

直感的な説明

情報資産台帳は「守るもののリスト」です。

たとえば会社には

顧客データ
社内システム
USBやPC
契約書

など、守るべきものがたくさんあります。

👉
これを整理せずにリスク評価すると
何を守るべきか分からず、判断がブレる

だから最初に
「何が大事か」を見える化するのが情報資産台帳です。

定義・仕組み

公式: JVN iPedia（脆弱性対策情報）：公式: JVN iPedia（脆弱性対策情報）情報資産台帳は、リスクアセスメントの「準備工程」で作成されます。

① 登録する内容

主に次の情報を整理します

資産の名称（例：顧客データ）
管理者（責任者）
保管場所（サーバ・クラウドなど）
利用目的
重要度（機密性・完全性・可用性）

👉
CIAの観点で重要度を決めるのが基本

② なぜ必要か

リスクは次の組み合わせで決まります

情報資産
脅威
脆弱性

👉
つまり
資産が分からないと、リスクが定義できない

③ リスクアセスメントとの関係

流れはこうなります

情報資産台帳を作成（準備）
資産ごとにリスクを特定
分析・評価へ進む

👉
台帳はリスク分析の土台

④ JISの考え方

JIS Q 31000（リスクマネジメント）でも

対象範囲の明確化
判断基準の設定

が重要とされており、
その前提として

👉
「管理対象（＝情報資産）を明確にすること」が必要

どんな場面で使う？

使う場面

ISMSの運用（資産管理）
リスクアセスメントの準備
情報分類・アクセス制御の設計
委託先への情報提供管理

誤解しやすい場面

一度作って終わり → ❌更新が必要
IT資産だけ管理 → ❌紙や人も対象
重要度を決めていない → ❌評価できない

よくある誤解・混同

構成管理台帳との違い

❌ 情報資産台帳＝IT機器一覧
⭕ 情報そのもの（データ・紙・人）も含む

👉 判断基準
「守る対象か」「機器管理か」

リスク分析との違い

❌ 台帳＝リスク評価
⭕ 台帳は準備段階

👉
台帳 → 分析 → 評価

SG試験のひっかけ

「資産を把握せずにリスク分析」→ ❌
「資産を整理してから評価」→ ⭕
「サーバ一覧を作る」→ △（不十分）
「情報の重要度を整理」→ ⭕

👉
“情報”に注目しているかがカギ

機密性評価で迷ったときの切り分け（可用性・完全性との違い）

情報資産の重要度評価では、まず「どの性質が下がるのか」を切り分けると、誤答を減らせます。

事象	主に下がる性質	判断の目安
不正アクセスで設計図や営業秘密が外部に流出する	機密性	「見られては困る情報が漏れる」
DDoSでECサイトにアクセスできない	可用性	「使えない・止まる」
承認なしで設計データを書き換えられる	完全性	「内容が勝手に変わる」

SG試験では、影響が大きいという言葉だけで選ばず、

漏えいか（機密性）
改ざんか（完全性）
停止か（可用性）

の順で確認します。

特に「機密性の評価値」を問う設問では、

DDoS（可用性）を理由にしていないか
無断変更（完全性）を理由にしていないか

を先に除外すると、正答を選びやすくなります。

確認問題（SG試験対策）

次のうち、情報資産台帳の使い方として最も適切なものはどれか。

ア. リスク分析を行った後に、対策結果だけを記録するために作成する
イ. サーバやPCなどのIT機器だけを対象にして、台数を管理する
ウ. 情報資産の名称、管理者、保管場所、重要度などを整理し、リスクアセスメントの前提にする
エ. 脅威の発生確率を計算し、リスク対応方針を自動的に決定する

▶ クリックして答えと解説を見る（ここを開く）

正解：ウ

解説

ア：順序が逆です。情報資産台帳はリスク分析の前提として使います。
イ：不十分です。IT機器だけでなく、データ、紙の資料、人が持つ情報なども対象になります。
ウ：正解です。守るべき情報資産を整理してから、リスクを評価します。
エ：リスク分析やリスク対応の説明に近く、台帳そのものの役割ではありません。

👉 判断ポイント
情報資産台帳は「分析前に、守るものを見える化するもの」です。

まとめ（試験直前用）

情報資産台帳＝守るものの一覧
リスクアセスメントの前提（準備工程）
CIAで重要度を整理する
ITだけでなく情報そのものが対象
迷ったら「分析前か」で切る

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る