【サイバーセキュリティ】情報資産管理台帳の作り方 ― 中小企業が「守るべき資産」を見える化する実践ガイド
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
~ サンプル表付きで今日から始められる、情報資産の棚卸し方法 ~
「セキュリティ対策をしなければいけないのはわかっている。でも、何を守ればいいのかがわからない。」
アクセルパートナーズが中小企業の経営者やIT担当者からいただくご相談の中で、最も根本的な課題がこの「守るべきものが見えていない」という問題です。UTMやEDRといったセキュリティツールを導入しても、そもそも自社にどんな情報資産があるのかを把握していなければ、「何を、どこまで、どの優先度で守るか」という判断ができません。
情報資産管理台帳は、セキュリティ対策の最初の一歩です。NISTサイバーセキュリティフレームワークの「特定(Identify)」フェーズに位置する、すべての対策の土台となる取り組みです。
本記事では、情報資産管理台帳の基本から、サンプル表を使った具体的な作成手順、そして中小企業が陥りやすい失敗パターンまで、「これを読めば今日から作り始められる」と思える情報をまとめました。
セキュリティ対策の全体像
本記事は、NISTサイバーセキュリティフレームワークに基づく対策体系の「特定(Identify)」フェーズに該当します。対策の全体像については「【サイバーセキュリティ】セキュリティ対策の全体像がわかるようになる」をご覧ください。
この記事でわかること
- 情報資産管理台帳とは何か、なぜ中小企業に必要なのか
- 台帳に記載すべき項目と分類方法
- サンプル表を使った具体的な作成手順(5ステップ)
- 中小企業が陥りやすい失敗パターンと対処法
- 助成金・補助金との関係
1. 情報資産管理台帳とは何か ― 「会社の財産目録」のセキュリティ版
そもそも情報資産管理台帳とは?
情報資産管理台帳とは、自社が保有する情報資産(データ、文書、システムなど)を一覧化し、それぞれの重要度・保管場所・管理責任者を記録した台帳です。
「情報資産」と聞くと難しく感じるかもしれませんが、要するに「なくなったら困るもの」「漏れたらまずいもの」のリストです。会計で言えば「固定資産台帳」に近い存在です。固定資産台帳がなければ減価償却も棚卸しもできないように、情報資産管理台帳がなければセキュリティ対策の優先順位付けもリスク評価もできません。
情報資産の3つのカテゴリ
情報資産は大きく以下の3つに分類できます。
| カテゴリ | 内容 | 具体例 |
|---|---|---|
| 電子データ | デジタル形式で保存されている情報 | 顧客リスト、売上データ、設計図面、契約書PDF、メールデータ |
| 紙媒体 | 物理的な文書・書類 | 紙の契約書、履歴書、手書きの設計図、伝票 |
| ソフトウェア・システム | 業務に使用するアプリケーションやサービス | 会計ソフト、基幹システム、SaaS(Microsoft 365等)、自社開発アプリ |
多くの中小企業では「電子データ」ばかりに目が行きがちですが、紙媒体の情報資産も忘れてはいけません。キャビネットに保管された紙の契約書や履歴書が盗まれたり、誰でもアクセスできる状態にあったりすれば、それは立派な情報漏えいです。
2. なぜ中小企業に情報資産管理台帳が必要なのか
「うちには大した情報なんてない」は本当か?
中小企業の経営者からよく聞く言葉です。しかし、本当にそうでしょうか。
あなたの会社には、こんな情報がありませんか?
- 顧客リスト: 氏名、住所、電話番号、メールアドレス、購入履歴
- 従業員情報: マイナンバー、給与情報、家族構成、健康診断結果
- 取引先情報: 仕入先リスト、契約条件、発注単価
- 財務情報: 銀行口座情報、決算書、資金繰り表
- 営業秘密: 製品の設計図、製造ノウハウ、仕入原価
これらの情報が漏えいしたり、ランサムウェアによって暗号化されたり、不正に改ざんされたりしたら、事業に重大な影響が出ます。中小企業にとっても、守るべき情報は確実に存在します。
情報資産管理台帳が必要な3つの理由
① セキュリティ対策の「出発点」になる
何を守るかがわからなければ、何にお金をかけるべきかもわかりません。情報資産管理台帳を作成することで、「最も重要な情報は何か」「その情報はどこに保管されているか」「誰がアクセスできるか」が明確になり、対策の優先順位を合理的に判断できるようになります。
② SECURITY ACTION二つ星の取得要件に含まれる
IPA(情報処理推進機構)が推進する「SECURITY ACTION」の二つ星宣言には、情報セキュリティ自社診断の実施が必要です。この自社診断の中で「重要情報の管理」に関する項目があり、情報資産の把握が前提となります。二つ星を取得すれば、東京都のサイバーセキュリティ対策促進助成金の申請資格を得ることもできます。
③ 個人情報保護法への対応に不可欠
2022年4月施行の改正個人情報保護法により、個人情報の漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。漏えいが発生した際に「どんな個人情報を、どこに、どれだけ保有していたか」を迅速に把握するためには、日頃から情報資産管理台帳を整備しておくことが不可欠です。
3. 情報資産管理台帳に記載すべき項目 ― 10のフィールド
情報資産管理台帳に「何を書けばいいのか」がわからなければ、作り始めることもできません。ここでは、中小企業が最低限記載すべき10のフィールドを解説します。
| No. | フィールド名 | 説明 | 記入例 |
|---|---|---|---|
| 1 | 資産ID | 一意の管理番号 | IA-001 |
| 2 | 資産名称 | 情報資産の名前 | 顧客マスタデータ |
| 3 | カテゴリ | 電子データ/紙媒体/システム | 電子データ |
| 4 | 内容・説明 | 何が含まれているか | 顧客の氏名・住所・電話番号・取引履歴 |
| 5 | 重要度 | 機密性・完全性・可用性の評価 | A(最重要) |
| 6 | 保管場所 | 物理的・論理的な保管場所 | 基幹システムDB(AWS東京リージョン) |
| 7 | 管理責任者 | 当該資産の管理責任を持つ人 | 営業部 部長 |
| 8 | アクセス権限 | 誰がアクセスできるか | 営業部全員(読取)、部長(編集) |
| 9 | 保存期間 | いつまで保持する必要があるか | 取引終了後10年 |
| 10 | バックアップ | バックアップの有無と方法 | 日次自動バックアップ(AWS S3) |
重要度の評価基準 ― CIA三要素で考える
情報資産の重要度は、セキュリティの基本概念であるCIA三要素を使って評価します。
| 要素 | 意味 | 評価の視点 |
|---|---|---|
| C(機密性) | 許可されていない人に見られないこと | この情報が漏れたら、どの程度の被害が出るか? |
| I(完全性) | 情報が正確で改ざんされていないこと | この情報が書き換えられたら、どの程度の被害が出るか? |
| A(可用性) | 必要なときに使える状態にあること | この情報が使えなくなったら、業務がどの程度止まるか? |
それぞれの要素を3段階(高・中・低)で評価し、最も高い評価を総合的な重要度とします。
| 重要度 | 基準 | 対応レベル |
|---|---|---|
| A(最重要) | 漏えい・改ざん・利用不可で事業存続に影響 | 最優先で保護。暗号化・アクセス制限・多重バックアップ |
| B(重要) | 漏えい・改ざん・利用不可で業務に大きな支障 | 標準的な保護措置。アクセス制限・定期バックアップ |
| C(一般) | 影響が軽微または社内限定 | 基本的な保護措置 |
4. 情報資産管理台帳のサンプル ― そのまま使えるテンプレート
以下は、従業員30名規模の中小企業を想定した情報資産管理台帳のサンプルです。ExcelやGoogleスプレッドシートにそのままコピーしてお使いいただけます。
【サンプル】情報資産管理台帳
| 資産ID | 資産名称 | カテゴリ | 内容・説明 | 重要度 | 保管場所 | 管理責任者 | アクセス権限 | 保存期間 | バックアップ |
|---|---|---|---|---|---|---|---|---|---|
| IA-001 | 顧客マスタデータ | 電子データ | 顧客の氏名・住所・電話・メール・取引履歴 | A | 基幹システムDB | 営業部長 | 営業部全員(読取)、部長(編集) | 取引終了後10年 | 日次自動(クラウド) |
| IA-002 | 従業員個人情報 | 電子データ | マイナンバー・給与・家族構成・健康診断結果 | A | 人事システム(オンプレ) | 総務部長 | 総務部2名のみ | 退職後7年 | 週次手動(外付HDD) |
| IA-003 | 財務データ | 電子データ | 決算書・月次試算表・資金繰り表・銀行口座情報 | A | 会計ソフト(freee) | 経理担当 | 経理1名+社長 | 法定保存10年 | 日次自動(クラウド) |
| IA-004 | 製品設計図 | 電子データ | CADデータ・製品仕様書 | A | ファイルサーバー(NAS) | 技術部長 | 技術部全員 | 無期限 | 週次(NASミラーリング) |
| IA-005 | 取引先契約書 | 電子データ | 業務委託契約・売買契約・秘密保持契約 | B | SharePoint | 管理部長 | 管理部+関連部門長 | 契約終了後10年 | 日次自動(Microsoft 365) |
| IA-006 | 社内規程文書 | 電子データ | 就業規則・セキュリティポリシー・各種マニュアル | B | 社内ポータル | 総務部長 | 全従業員(読取) | 改定まで | 月次(クラウド) |
| IA-007 | 採用応募書類 | 紙媒体 | 履歴書・職務経歴書(紙原本) | B | 総務部鍵付きキャビネット | 総務部長 | 総務部2名のみ | 選考終了後6ヶ月 | なし(紙のみ) |
| IA-008 | 日次売上データ | 電子データ | POSデータ・日別売上集計 | B | POSシステム | 営業部長 | 営業部・経理 | 7年 | 日次自動 |
| IA-009 | 社内メールデータ | システム | Microsoft 365 Exchange Onlineのメール全体 | B | Microsoft 365(クラウド) | 情報システム担当 | 各個人 | 退職後1年 | Microsoft標準バックアップ |
| IA-010 | Webサイトコンテンツ | 電子データ | コーポレートサイトのHTML・画像・記事 | C | レンタルサーバー | マーケ担当 | マーケ2名 | 無期限 | 月次手動 |
| IA-011 | 社内会議議事録 | 電子データ | 経営会議・部門会議の議事録 | C | Google Drive | 各部門長 | 参加者のみ | 3年 | Google標準 |
| IA-012 | 名刺データ | 電子データ | 受領名刺のデジタルデータ | C | 名刺管理アプリ | 各担当者 | 各個人 | 担当変更まで | アプリ標準 |
サンプルの読み方
このサンプルでは、重要度Aの資産が4件(顧客マスタ・従業員個人情報・財務データ・製品設計図)あります。これらは最優先で保護すべき情報であり、セキュリティ対策の予算配分もこれらを中心に考えるべきです。
一方、重要度Cの資産(Webサイトコンテンツ・会議議事録・名刺データ)は、基本的な対策で十分です。限られた予算の中でメリハリのある投資判断をするために、この重要度の分類が役立ちます。
5. 情報資産管理台帳の作成手順 ― 5ステップで完成させる
ステップ1:部門ごとに情報資産を洗い出す(1~2週間)
情報資産の洗い出しは、各部門の責任者やキーパーソンへのヒアリングが最も効果的です。IT部門やセキュリティ担当者だけで行おうとすると、現場が日常的に扱っている情報を見落とす原因になります。
ヒアリング時の質問例:
- あなたの部門で、日常的に扱っている「なくなったら困る情報」は何ですか?
- その情報は、どこに保管されていますか?(PC、サーバー、クラウド、紙)
- その情報には誰がアクセスできますか?
- その情報が外部に漏れた場合、どのくらいの影響がありますか?
- バックアップは取っていますか?
実務上のアドバイス: 最初から完璧を目指さず、まずは「各部門5~10件」を目安に洗い出してもらいましょう。完璧な台帳を一度に作ろうとすると、いつまでも完成しません。
ステップ2:洗い出した情報を台帳フォーマットに整理する(2~3日)
ステップ1で集まった情報を、先ほどのサンプルテンプレートの形式に整理します。ここでのポイントは命名規則の統一です。
- 資産ID: 「IA-001」のように、部門ごとにプレフィックスを変えるのもおすすめです(例:営業部は「IA-S-001」、総務部は「IA-G-001」)
- カテゴリ: 「電子データ」「紙媒体」「システム」の3分類を統一する
- 保管場所: 「○○さんのPCのデスクトップ」ではなく、「ファイルサーバー \\server\share\営業部」のように具体的に記載する
ステップ3:重要度を評価する(1~2日)
CIA三要素(機密性・完全性・可用性)の観点で、各資産の重要度をA・B・Cに分類します。
評価のコツ: 迷ったら「この情報が明日突然なくなったら、何が起きるか」を想像してください。
- 事業が止まる → 重要度A
- 業務に大きな支障が出るが、事業は継続できる → 重要度B
- 影響は軽微、または復旧が容易 → 重要度C
ステップ4:経営層のレビューと承認を受ける(1日)
完成した台帳は、必ず経営層(社長または取締役)のレビューと承認を受けてください。理由は2つあります。
- 経営層しか知らない情報資産がある(例:株主名簿、M&A検討資料、特許出願中の技術情報)
- 重要度の判断は経営判断である(何を最優先で守るかは、事業戦略と直結する)
ステップ5:定期的な見直しサイクルを設定する
情報資産管理台帳は作って終わりではありません。新しいシステムの導入、組織変更、人事異動などに伴い、情報資産の状況は日々変化します。
推奨される見直し頻度:
| タイミング | 見直し内容 |
|---|---|
| 年1回(定期見直し) | 全資産の棚卸し。新規追加・削除・重要度の再評価 |
| 随時(イベント駆動) | 新システム導入時、組織変更時、セキュリティインシデント発生時 |
| 四半期ごと(推奨) | 重要度Aの資産について、保管場所・アクセス権限の再確認 |
6. 中小企業が陥りやすい5つの失敗パターン
失敗①:「IT部門だけで作ろうとする」
情報資産は全部門に散在しています。営業部のExcelファイル、経理部の紙伝票、社長のPCにしかない経営資料。IT部門(または情報システム担当者)だけで作ろうとすると、現場の「隠れた情報資産」を見落とします。
対処法: 各部門から1名ずつ「情報資産棚卸し担当」を任命し、ヒアリングではなく本人に記入してもらう形式にする。
失敗②:「粒度が細かすぎて終わらない」
「メールの1通1通を登録するべきか」「共有フォルダの中のサブフォルダごとに分けるべきか」と考え始めると、永遠に完成しません。
対処法: まずは業務プロセス単位で大きく分類する。「メールデータ」は1件として登録し、個々のメールは登録しない。共有フォルダも「営業部共有フォルダ」として1件にまとめる。
失敗③:「紙の情報資産を忘れる」
デジタル化が進んでいても、多くの中小企業にはまだ紙の情報資産が残っています。キャビネットの中の契約書、金庫の中の印鑑証明、引き出しの中の名刺ファイル。
対処法: ヒアリング時に「紙で保管しているものはありますか?」と明示的に質問する。
失敗④:「作ったまま引き出しにしまう」
台帳を作成しても、その後まったく更新されなければ意味がありません。半年後には「実態と合っていない台帳」になってしまいます。
対処法: 見直しサイクルをカレンダーに登録し、責任者を明確にする。年1回の棚卸しを「情報セキュリティ月間」(毎年2月または10月)に合わせて実施するのが効果的です。
失敗⑤:「重要度の基準が曖昧」
「なんとなく重要そうだからA」「よくわからないからとりあえずB」という曖昧な評価は、対策の優先順位付けに使えません。
対処法: CIA三要素の評価基準を事前に明文化し、全員が同じ物差しで評価できるようにする。先ほど紹介した「この情報が明日なくなったら何が起きるか」テストが最もシンプルで有効です。
7. 情報資産管理台帳と他の対策との関係
リスクアセスメントへの接続
情報資産管理台帳が完成したら、次のステップはリスクアセスメントです。台帳に記載された各情報資産に対して、「どんな脅威があるか」「その脅威が実現する可能性はどのくらいか」「実現した場合の影響はどの程度か」を評価します。
情報資産管理台帳は、リスクアセスメントのインプット(入力情報)になります。台帳がなければ、リスクアセスメントも始められません。
セキュリティポリシーへの接続
情報資産の重要度に応じて、アクセス制御のルールやバックアップの方針を策定します。たとえば「重要度Aの情報は、アクセスできる人を3名以内に限定し、日次でバックアップを取る」といったルールです。これがセキュリティ管理規程の骨格になります。
IT資産管理台帳との違い
混同されやすいのが「IT資産管理台帳」です。両者の違いは以下の通りです。
| 項目 | 情報資産管理台帳 | IT資産管理台帳 |
|---|---|---|
| 管理対象 | 情報そのもの(データ、文書) | ハードウェア・ソフトウェア(機器) |
| 主な記載内容 | データの種類、重要度、保管場所 | PCの台数、OSバージョン、ライセンス数 |
| 主な目的 | セキュリティ対策の優先順位付け | 機器の管理・ライセンス管理 |
| CSFフェーズ | 特定(Identify) | 特定(Identify) |
どちらも「特定」フェーズに位置する重要な台帳ですが、情報資産管理台帳が「守るべき中身」を管理し、IT資産管理台帳が「守るべき入れ物」を管理する、という関係です。両方を整備することで、「何を(情報)」「どこで(機器)」守るかが明確になります。
8. 助成金との関係 ― 台帳整備が助成金の申請資格につながる
情報資産管理台帳の整備は、直接的にお金がかかる作業ではありません。しかし、この作業を通じて得られるSECURITY ACTION二つ星は、東京都のサイバーセキュリティ対策促進助成金の申請要件です。
| 項目 | 内容 |
|---|---|
| 助成率 | 対象経費の1/2 |
| 上限額 | 500万円 |
| 対象要件 | SECURITY ACTION 二つ星を宣言済みの都内中小企業 |
| 対象経費 | UTM、EDR、バックアップシステムなどのセキュリティ機器・ソフトウェア |
つまり、情報資産管理台帳の整備は「お金をかけずにできる作業でありながら、将来の助成金獲得への布石になる」という、極めて費用対効果の高い取り組みです。
おすすめの進め方
アクセルパートナーズの「サイバーセキュリティ やり切りパック」では、情報資産管理台帳の作成支援を含むSECURITY ACTION二つ星取得から事業継続力強化計画の策定まで、ワンストップで支援します。料金は120,000円(税別)、約4~6週間で完了します。
9. よくある質問(Q&A)
Q1. 従業員10名以下の小さな会社でも、情報資産管理台帳は必要ですか?
A. はい、必要です。規模が小さいほど、1件の情報漏えいが事業に与えるインパクトは大きくなります。むしろ小規模だからこそ、全体像を把握しやすいうちに整備しておくべきです。10名以下であれば、1日あれば主要な情報資産を洗い出せるはずです。
Q2. ExcelとGoogleスプレッドシート、どちらで管理すべきですか?
A. どちらでも構いません。重要なのは「作ること」と「更新し続けること」です。複数人で同時編集するならGoogleスプレッドシート、社内のセキュリティポリシーで外部クラウドの使用が制限されているならExcelが適しています。専用のIT資産管理ツールを導入する必要はありません。
Q3. 情報資産が100件以上になりそうです。全部登録すべきですか?
A. 最初は「重要度A」に該当する資産だけでも十分です。まず20~30件の主要な情報資産を登録し、台帳の運用に慣れてから範囲を広げていくのが現実的です。完璧を目指すより、「まず始める」ことが大切です。
Q4. クラウドサービス(SaaS)上のデータも台帳に載せるべきですか?
A. はい、載せるべきです。Microsoft 365のメールデータ、Salesforceの顧客情報、freeeの会計データなど、クラウドサービス上にも重要な情報資産は存在します。保管場所の欄に「Microsoft 365(クラウド)」のように記載してください。
Q5. 個人のPCに保存されているファイルも対象ですか?
A. 業務に使用するファイルであれば対象です。「個人のPCのデスクトップにしかない重要ファイル」は、セキュリティ上の大きなリスクです。台帳作成をきっかけに、個人PCから共有サーバーやクラウドストレージへの移行を進めましょう。
Q6. 台帳を作ったら、社外に公開する必要がありますか?
A. いいえ、公開する必要はありません。情報資産管理台帳は社内管理用の文書です。むしろ、台帳自体が「自社の情報資産の一覧」という機密情報ですので、アクセス権限を限定して管理してください。
Q7. 情報資産管理台帳の作成を外部に委託することはできますか?
A. 作成支援を外部の専門家に依頼することは可能ですし、効率的です。ただし、情報資産の洗い出し自体は、日々業務に携わっている社内のメンバーにしかできません。外部専門家は「フォーマットの提供」「ヒアリングのファシリテーション」「重要度の評価基準の設定」といった部分で力を発揮します。
まとめ:情報資産管理台帳は「セキュリティの地図」
情報資産管理台帳は、セキュリティ対策のすべての起点となる「地図」です。この地図がなければ、どこに向かって防御を固めるべきかがわかりません。
本記事のポイントを整理します。
- 情報資産管理台帳は、自社の「守るべきもの」を見える化する台帳
- 10のフィールド(資産ID、名称、カテゴリ、内容、重要度、保管場所、管理責任者、アクセス権限、保存期間、バックアップ)を記載する
- CIA三要素(機密性・完全性・可用性)で重要度をA・B・Cに分類する
- 5つのステップ(洗い出し→整理→評価→承認→定期見直し)で作成する
- 完璧を目指さず、まず始めることが最も重要
台帳の整備を通じてSECURITY ACTION二つ星を取得すれば、東京都のサイバーセキュリティ対策促進助成金(最大500万円)への道も開けます。
「何から始めればいいかわからない」なら、まずはご相談ください。
アクセルパートナーズでは、情報資産管理台帳の作成支援から、SECURITY ACTION二つ星の取得、助成金を活用したセキュリティ機器の導入までワンストップで対応しています。
- ルール整備・SECURITY ACTION取得 → サイバーセキュリティ やり切りパック
- セキュリティ機器の導入(助成金活用) → 東京都サイバーセキュリティ対策促進助成金 申請サポート
初回相談(60分・Zoom)は無料です。「うちにはどんな情報資産があるのか」を一緒に整理するところから始めましょう。
お問い合わせ:0120-659-057(平日 9:30~18:00)
編集:アクセルパートナーズ
出典・参考資料:
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
