公開日:2025年11月4日
ISO/IEC27001の審査が月額 ¥17,000円(税抜)から
東京スタンダードでは、ISO/IEC27001審査が
月額¥17,000(税抜)~。ISO未経験の企業でも、取得に向けて準備に取り組みやすいITツール・文書テンプレートもご提供しています。
この記事は11分で読了することができます。
「ISMS担当を任されたけれど、どこから手をつければいいのか分からない…」
「情報資産管理台帳って、どうやって作ればいいのかわからない…」
「Excel台帳を更新するたびに『これで合ってるのか?』と不安になる…」
「作成したはいいものの、更新が追いつかず形骸化してしまっている…」
そんな悩みを抱えているISMS担当者の方も多いのではないでしょうか?
この記事では、情報資産管理台帳の基礎知識から、効率的な作成方法、運用のポイントまでを、実例とテンプレート付きでわかりやすく解説します!ISMS認証取得を検討されている企業様や、現在運用中で改善を図りたい企業様は、ぜひ最後までご覧ください。
ISO/IEC27001(ISMS)とは何か知りたい方や取得を検討している方に向けて、ISO/IEC27001(ISMS)の仕組み、要求事項・管理策、認証取得のメリット・デメリットなどをわかりやすく解説!
情報資産管理台帳とは、組織が保有する情報資産を一覧化し、その重要度や管理方法を明確にするための文書です。
情報資産とは、企業が事業活動を行う上で扱う「情報」そのものと、情報を記録・保存・処理する「媒体」や「機器」のことを指します。
これらの情報資産を適切に把握・管理することで、情報漏えいや紛失などのセキュリティインシデントを防止し、事業継続性を確保することが可能になります。
つまり、情報資産管理台帳は「自社にどんな重要な情報があり、どのように守るべきか」を可視化するための重要なツールなのです。
情報資産管理台帳を一言で表すなら、「会社の大切な情報の住所録」です。
家にある貴重品をリスト化して管理するように、会社が持つ重要な情報を「どこに・何が・誰の管理で・どう守るか」を一覧にしたものと考えるとイメージしやすいでしょう。
ISO/IEC 27001(ISMS:情報セキュリティマネジメントシステム)の附属書A「5.9 情報及びその他の関連資産の目録」では、情報資産の目録(台帳)をそれぞれの管理責任者を含めて作成し、維持することが、管理策として定められています。
そのため、ISO/IEC 27001を取得する組織は、リスクアセスメント(企業が情報資産を安全に管理し、適正なセキュリティ体制を構築するうえで欠かせない重要なプロセス)を行う際に、洗い出した情報資産に関してまとめた文書として、情報資産管理台帳の作成・維持・更新を行います。
審査では「情報資産管理台帳が適切に更新されていない」「定められた管理方法が適用されていない」といった理由で不適合及び観察事項を指摘されるケースが少なくありません。
だからこそ、ISMS認証取得を目指す企業や運用する企業にとって、情報資産管理台帳の適切な作成と運用は避けて通れない重要な取り組みなのです。
実際の情報資産管理台帳がどのような形式になるのか、記載例をご紹介します。
※なお、この記載例には、洗い出した情報資産に対するリスク(脅威)特定、リスク分析、リスク評価、リスク対応まで載せてあります。(リスクアセスメントのプロセス)
《情報資産管理台帳のサンプル》
| No. | 資産分類 | 情報資産名 | 管理責任者 | 利用者範囲 | 保存媒体 | 保管場所 | 保管期間 | 廃棄方法 | 機密性 C |
完全性 I |
可用性 A |
資産価値 (CIA合計) |
脅威 | 影響度 | 発生頻度 | 脆弱性 | リスク値 | リスク対応方法 | 管理策(附属書A) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IT-001 | ハードウェア | 顧客管理データベース | 営業部長 | 営業部全員 | データセンター内サーバー | データセンター(東京) | 契約終了後5年 | データ完全消去 | 3 | 3 | 3 | 9 | 不正アクセス | 3 | 2 | 2 | 54 | リスク低減 | A.5.15 アクセス制御 A.5.17 認証情報 |
| 情報漏洩 | 3 | 1 | 3 | 27 | リスク低減 | A.5.33 記録の保護 A.5.34 プライバシーおよび個人識別情報(PII)の保護 |
|||||||||||||
| IT-002 | ハードウェア | メールサーバー | 情報システム部長 | 全社員 | 社内サーバー | 本社サーバー室 | 1年 | 自動削除 | 3 | 2 | 3 | 8 | ウイルス感染 | 2 | 2 | 2 | 32 | リスク低減 | A.8.7 マルウェアに対する保護 A.8.23 ウェブフィルタリング |
| サービス停止 | 3 | 1 | 1 | 24 | リスク受容 | 継続監視(定期的なリスク評価を実施) 残留リスク:対策コストが影響を上回るため、現時点では追加対策を実施せず一定のリスクを許容 |
|||||||||||||
| DOC-001 | 文書 | 製品仕様書ファイル | 開発部長 | 開発部のチームリーダー以上 | 紙文書 | 施錠キャビネット | 製品終了後3年 | シュレッダー処理 | 3 | 2 | 2 | 7 | 紛失 | 2 | 1 | 2 | 14 | リスク低減 | A.7.10 記録媒体 A.8.10 情報の削除 |
| 無断持ち出し | 3 | 1 | 3 | 21 | リスク回避 | 紙文書の電子化を推進し物理媒体を廃止 A.5.10 情報及びその他の関連資産の利用の許容範囲 |
✔ 《参考》評価基準の例
| C 機密性 | ||
|---|---|---|
| 資産価値 | 開示範囲 | 説明 |
| 1 | 公開 | 第三者に開示・提供可能。 内容が漏洩した場合でも、 ビジネスへの影響はほとんど無い。 |
| 2 | 社外秘 | 組織内では開示・提供可能。内容が漏洩した場合、ビジネスへの影響は少ない。 |
| 3 | 極秘 | 特定の関係者のみに開示・提供可能。内容が漏洩した場合、ビジネスへの影響は深刻かつ重大である。 |
| I 完全性 | ||
|---|---|---|
| 資産価値 | 対処 | 説明 |
| 1 | 影響小 | 情報の内容を変更された場合、ビジネスへの影響は少ない。 |
| 2 | 影響大 | 情報の内容を変更された場合、ビジネスへの影響は大きい。 |
| 3 | 影響深刻 | 情報の内容を変更された場合、ビジネスへの影響は深刻かつ重大。 |
| A 可用性 | ||
|---|---|---|
| 資産価値 | 利用手 | 説明 |
| 1 | 影響小 |
情報が利用できない状況が。 1日程度は許容される。 |
| 2 | 影響大 |
情報が利用できない状況が。 数時間程度は許容される。 |
| 3 | 影響深刻 |
情報の利用が不可となった場合。 1時間以内の復旧が求められる。 |
| 指数 | 影響度 | 説明 |
|---|---|---|
| 1 | 低 | 損失 |
| 2 | 中 | 大きな損失 |
| 3 | 高 | 非常に大きな損失 |
| 指数 | 発生頻度 | 説明 |
|---|---|---|
| 1 | 低 | 数年にわたって発生していない |
| 2 | 中 | 市場では頻繁に発生している |
| 3 | 高 | 過去に当社において発生した |
| 指数 | 脆弱性 | 説明 |
|---|---|---|
| 1 | 高 | 適切な対策を講じている |
| 2 | 中 | ある程度の対策は講じている |
| 3 | 低 | 対策を全く講じられていない |
| リスク対応基準値 25 |
リスク対応基準値とは、リスク対応をするかどうかを判断するための受容度
リスク値がこの許容値を超えた場合、リスク対応計画を策定する。
リスク値がこの許容値を下回った場合、リスク受容とする。
※(リスク値)=(資産価値)×(影響度)×(発生頻度)
|
|---|
| リスク対応方法 | 説明 |
|---|---|
| リスク回避 | リスクを伴う活動から撤退する。 |
| リスク低減 | 対策を講じてリスク発生確率を低くする。発生した際の影響を小さくする。 |
| リスク移転 | リスク発生による損害を保険契約等で補填する。 |
| リスク受容 | リスクの発生を認め、影響を受け入れる。 |
情報資産管理台帳の作成は、リスクアセスメントの一環として行われることが多いです。
以下の3つのステップで進めていきましょう。
まずは、自社にどのような情報資産があるかを網羅的に洗い出します。
この段階では、できるだけ細かく洗い出すことが重要です。後から重要度を評価して絞り込むことができます。
洗い出しのポイント
①部署ごとに実施する:各部署で扱う情報資産は異なるため、部署単位で担当者にヒアリングを行いましょう
②ライフサイクル全体を考える:情報の作成→保管→利用→廃棄までの全過程を考慮します
③物理的資産も忘れずに:電子データだけでなく、紙文書やUSBメモリ、ノートPCなども対象です
④外部委託先も確認:クラウドサービスや外部に預けているデータも忘れずにリストアップします
洗い出した情報資産について、その分類と資産価値を評価します。
資産価値の算出は、一般的にCIA評価を総合して決定します。
情報セキュリティの3要素に基づく評価(CIA評価)
✔ 資産分類の例
ハードウェア(サーバー、PC、ネットワーク機器など)
ソフトウェア(業務システム、アプリケーションなど)
データ(顧客情報、契約書、設計図など)
人的資源(従業員、外部委託先など)
物理的環境(オフィス、データセンターなど)
CIA評価というと難しく聞こえますが、シンプルに考えましょう。
• 機密性:「外部に漏れたらマズいか?」
• 完全性:「改ざんされたらマズいか?」
• 可用性:「使えなくなったらマズいか?」
この3つの質問に「すごくマズい=高」「まあまあマズい=中」「それほどでもない=低」で答えるだけです。
この3つの評価を総合して、情報資産の重要度を決定します。
【参考】IPA(独立行政法人情報処理推進機構)の評価基準例
IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」では、以下のような評価基準が示されています。
高:改ざん・欠損すると事業継続が困難になる(基幹システム、契約書など)
中:改ざん・欠損すると業務に支障をきたす(業務マニュアル、設計図など)
低:改ざん・欠損しても影響が軽微(参考資料、過去の議事録など)
高:使えないと事業が停止する(基幹システム、生産管理システムなど)
中:使えないと業務効率が大幅に低下する(メールシステム、業務用PCなど)
低:使えなくても一時的な影響のみ(アーカイブデータ、参考資料など)
IPAのリスク分析シート(無料)を活用しよう!
IPA(独立行政法人情報処理推進機構)では、「中小企業の情報セキュリティ対策ガイドライン」の付録として、情報資産管理台帳のExcelテンプレートを無料で提供しています。記入例も含まれているので、初めて作成する方にもおすすめです。
「中小企業の情報セキュリティ対策ガイドライン」で検索すると、IPAのサイトから「付録7:リスク分析シート」をダウンロードできます。
IPA 中小企業の情報セキュリティ対策ガイドライン(付録7:リスク分析シート)
これまでのステップで整理した情報を、台帳に記録していきます。
台帳は、定期的に見直し、情報資産の追加・変更・削除に応じて更新していく必要があります。
記録のポイント
①Excel形式が一般的:多くの企業では、Excelで台帳を作成しています
②シンプルな構成にする:複雑すぎると更新が続かないため、必要最小限の項目に絞りましょう
③更新ルールを明確にする:いつ、誰が、どのタイミングで更新するかを決めておきます
④バージョン管理を行う:更新日と更新者を記録し、変更履歴を残します
ISO/IEC27001を取得する組織は、このステップの後、洗い出した情報資産とその資産価値をもとに、リスクアセスメントを行います。詳しくは以下の記事をご確認ください。
リスクアセスメントの基本概念から5つの実施手順まで、初心者でも分かるよう詳しく解説。評価基準統一の方法や審査対応のコツも紹介。ISO/IEC27001認証取得を効率的に進めたい方必見の完全ガイド!
情報資産管理台帳を形骸化させないためには、更新のルールを明確にすることが大切です。
・新しい情報システムを導入したとき
・組織変更や人事異動があったとき
・業務プロセスが大きく変更されたとき
・セキュリティインシデントが発生したとき
情報資産の数が多い企業では、Excelでの管理に限界を感じることもあるでしょう。そのような場合は、ITツールの活用を検討してみてください。
東京スタンダードが提供する「T-web」は、情報資産管理台帳を含め、ISMSの運用や業務に使える文書テンプレートを200種類以上搭載しています!コンサルに頼らずに、自社の実態に合ったマネジメントシステムを効率的に構築できます。
(月額9,700円~)
ISMS認証審査では、情報資産管理台帳について以下のような点が確認されます。
| 確認項目 | 審査での確認内容 | 不適合及び観察事項になりやすいケース |
|---|---|---|
| ②台帳の存在と 最新性 |
・情報資産管理台帳が作成されているか ・最終更新日が記載されているか ・定期的に更新されているか |
・台帳が1年以上更新されていない ・更新日が記載されていない |
| ②網羅性と妥当性 | ・台帳の情報資産が漏れなく洗い出されているか ・重要な情報資産が漏れていないか ・資産分類が適切に行われているか |
・重要システムが記載されていない ・個人情報を含む資産が漏れている |
| ③資産価値の算出 | ・CIA評価など適切な評価が行われているか ・評価基準が明確に示されているか ・評価結果が妥当か |
・評価基準が不明確 ・各資産が同一評価になっている |
| ④管理者と責任の 明確化 |
・各情報資産の管理責任者が明確か ・責任者が役割を理解しているか |
・退職者が管理責任者のまま ・責任者本人が自覚していない |
審査では、台帳の記載内容だけでなく、実際に現場を確認して、台帳通りに管理されているかもチェックされます。
例えば、「顧客情報DBへのアクセスは限定された担当者のみ」と台帳に記載されている場合、実際にアクセス制御が設定されているかなどが確認されるのです。
だからこそ、台帳の記載内容と実際の運用を一致させることが重要です。形だけの台帳では、審査で指摘されてしまう場合があります。
ケース1:「昨年導入したクラウドサービスが台帳に記載されていない」→ 更新が追いついていない
ケース2:「管理責任者が異動しているのに台帳が更新されていない」→ 組織変更時の更新ルールがない
ケース3:「台帳には『アクセス制御』と書いてあるが、全員がアクセスできる状態」→ 台帳と現実の乖離
ケース4:「保管期限が『無期限』となっている個人情報」→ 個人情報保護法違反のリスク
これらの指摘を受けないよう、台帳の精度と実態の一致を常に意識しましょう。
東京スタンダードではお客様の実態に即した審査を心がけており、形式的な指摘ではなく、実際に組織の情報セキュリティレベルを向上させるために、充実していた点や改善できる点も報告します。
現在、他の認証機関で認証を受けている企業様も、認証機関の変更(移転)が可能です。有効期限をそのままに、東京スタンダードに切り替えることができます。
情報資産管理台帳は、ISMS運用の基盤となる重要な文書です。
この記事でご紹介したポイントをおさらいしましょう。
情報資産管理台帳作成・運用の重要ポイント
1.網羅的な洗い出し:部署ごとにヒアリングを行い、情報資産を漏れなく洗い出す
2.適切なリスク評価:CIA評価に基づき、情報資産の重要度を正確に判断する
3.継続的な更新:定期的な見直しと、変化に応じた随時更新を徹底する
4.現場との整合性:台帳の記載内容と実際の運用を一致させる
「情報資産管理台帳をどう作ればいいか分からない…」 「ISMS認証取得を効率的に進めたい…」
そんな悩みをお持ちの企業様は、ぜひ東京スタンダードにご相談ください!
お問い合わせ・ご相談
ISOご担当者様・ご興味がある企業様は、お気軽に貴社のご状況をご相談ください。
2023年東京スタンダード設立。エイエスアール株式会社、アームスタンダード株式会社、アフノールジャパン株式会社、QAICジャパン株式会社をグループ会社として持ち、ISO認証登録件数グループ合計5,500件以上の実績を持つ。長年の経験とノウハウを活かして、ISOをより活かすことができるお役立ち情報を発信。
記事の監修者
東京スタンダード編集部
こちらのフォームにご入力後、弊社サービスやISOに関する資料がダウンロードできます。
