情報資産台帳は組織の情報資産を一覧で管理するための台帳です。リスクアセスメントとの関係やJISの考え方、SG試験のひっかけポイントを整理します。

sg sg-security-management asset_management risk_assessment

まず結論

  • 情報資産台帳とは、組織が保有する情報資産を一覧で整理・管理するための台帳です
  • SG試験では「リスクアセスメントの前提(準備工程)」として理解しているかが問われます

直感的な説明

情報資産台帳は「守るもののリスト」です。

たとえば会社には

  • 顧客データ
  • 社内システム
  • USBやPC
  • 契約書

など、守るべきものがたくさんあります。

👉
これを整理せずにリスク評価すると
何を守るべきか分からず、判断がブレる

だから最初に
「何が大事か」を見える化するのが情報資産台帳です。

定義・仕組み

情報資産台帳は、リスクアセスメントの「準備工程」で作成されます。

① 登録する内容

主に次の情報を整理します

  • 資産の名称(例:顧客データ)
  • 管理者(責任者)
  • 保管場所(サーバ・クラウドなど)
  • 利用目的
  • 重要度(機密性・完全性・可用性)

👉
CIAの観点で重要度を決めるのが基本

② なぜ必要か

リスクは次の組み合わせで決まります

  • 情報資産
  • 脅威
  • 脆弱性

👉
つまり
資産が分からないと、リスクが定義できない

③ リスクアセスメントとの関係

流れはこうなります

  1. 情報資産台帳を作成(準備)
  2. 資産ごとにリスクを特定
  3. 分析・評価へ進む

👉
台帳はリスク分析の土台

④ JISの考え方

JIS Q 31000(リスクマネジメント)でも

  • 対象範囲の明確化
  • 判断基準の設定

が重要とされており、
その前提として

👉
「管理対象(=情報資産)を明確にすること」が必要

どんな場面で使う?

使う場面

  • ISMSの運用(資産管理)
  • リスクアセスメントの準備
  • 情報分類・アクセス制御の設計
  • 委託先への情報提供管理

誤解しやすい場面

  • 一度作って終わり → ❌更新が必要
  • IT資産だけ管理 → ❌紙や人も対象
  • 重要度を決めていない → ❌評価できない

よくある誤解・混同

構成管理台帳との違い

  • ❌ 情報資産台帳=IT機器一覧
  • ⭕ 情報そのもの(データ・紙・人)も含む

👉 判断基準
「守る対象か」「機器管理か」

リスク分析との違い

  • ❌ 台帳=リスク評価
  • ⭕ 台帳は準備段階

👉
台帳 → 分析 → 評価

SG試験のひっかけ

  • 「資産を把握せずにリスク分析」→ ❌

  • 「資産を整理してから評価」→ ⭕

  • 「サーバ一覧を作る」→ △(不十分)
  • 「情報の重要度を整理」→ ⭕

👉
“情報”に注目しているかがカギ

確認問題(SG試験対策)

次のうち、情報資産台帳の使い方として最も適切なものはどれか。

A. リスク分析を行った後に、対策結果だけを記録するために作成する
B. サーバやPCなどのIT機器だけを対象にして、台数を管理する
C. 情報資産の名称、管理者、保管場所、重要度などを整理し、リスクアセスメントの前提にする
D. 脅威の発生確率を計算し、リスク対応方針を自動的に決定する

▶ クリックして答えと解説を見る(ここを開く)

正解:C

解説

  • A:順序が逆です。情報資産台帳はリスク分析の前提として使います。
  • B:不十分です。IT機器だけでなく、データ、紙の資料、人が持つ情報なども対象になります。
  • C:正解です。守るべき情報資産を整理してから、リスクを評価します。
  • D:リスク分析やリスク対応の説明に近く、台帳そのものの役割ではありません。

👉 判断ポイント
情報資産台帳は「分析前に、守るものを見える化するもの」です。

まとめ(試験直前用)

  • 情報資産台帳=守るものの一覧
  • リスクアセスメントの前提(準備工程)
  • CIAで重要度を整理する
  • ITだけでなく情報そのものが対象
  • 迷ったら「分析前か」で切る

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る