1.1.2. 資産識別

コピーされた文書（契約書、計画書、メモ書き、ログイン、およびパスワード）のように、保護されるすべての情報がデジタル形式であるとは限りません。しかし、デジタル形式でなくても、これらの情報には大きな価値があります。

おそらく保護される資産はデジタルと物理の両方のフォーマットで存在します。
したがって、保護する資産を特定する際には、どの情報がデジタルでどの情報がそうでないのかという次の質問をする必要があります。

組織にとって価値がある資産はどれですか？
一般的に価値が高いとされる機密情報の例は以下のようなものがあります。

・顧客データ
・事業計画
・同社が開発した独自のソフトウェア
・システムマニュアル
・会社の財産となる写真や図表
・知的財産（プロセス、企業秘密など）
・財務諸表
・プレゼンテーションとトレーニングコース
・資料
・メール
・従業員レコード
・税務申告書

多くの資産は情報に関するものですが、組織内の一部の資産は物理的または無形の性質のものである可能性があります。これらの資産の例には次のようなものがあります。

・開発中の新しいデバイスの物理プロトタイプ
・サービスを提供する機能
・会社の評判と信頼

その資産はどのくらい価値がありますか？
多くの資産は明白な価値を持っています。他にも、損失のコストと結果でと測定される場合もあります。
たとえば、競合他社がライバルの事業計画取得した場合はどうでしょうか？

価値を確実に評価することは困難です。
ただし、デジタル資産の価値を判断する方法には、次のようなものもあります。

・資産によって生み出される将来の収益
・情報を入手できる競合他社にとっての価値
・資産の再作成に必要な時間と労力
・必要なときに情報を生成できなかったことに対する罰金（例：監査または訴訟）
・顧客データの損失に対する罰金

デジタル資産はどこにありますか？
昔は、デジタル資産はサーバーやデスクトップコンピューター、またはディスクやCDなどの周辺機器にありました。
これは時代遅れのアプローチですが、古いCDやDVD、およびUSBドライブに機密データが残っている可能性があります。

デジタル資産を保存するためのより安全な方法は、すべての機密データに強力な暗号化を使用し、安全なエンタープライズサーバーを使用することです。

安全なサーバーに保存されている機密データにアクセスするには、認証と承認を必要とします。さらに、インターネット経由で機密情報にアクセスするためのデジタル証明書など、他のセキュリティ保護が必要になる場合もあります。

ストレージは日々変化しています。
現在では、スマートフォン、タブレット、サムドライブなどのモバイルデバイスに大量のビジネスデータが存在する可能性があります。デジタル情報がクラウドストレージに移行されると、データアクセスに基づく一連の新しいセキュリティ上の問題が発生します。

また、データストレージの問題の重要性は、機密データを扱う人が、個人の顧客データとビジネスデータを保管しているハードドライブを会社の建物から持ち出すといった過去の事例もあります。米国におけるこのような事件の1つに、政府の治安機関の安全に保管された場所から盗まれたハードドライブに10万人以上の現職および元労働者の給与と銀行の情報が含まれていたこともあります。
[Washington Post 2007]

デジタル資産にはどのようにアクセスしますか？
デジタル資産にアクセスするための一般的な方法には次のようなものがあります。
・ローカルエリアネットワークまたはWi-Fiネットワーク経由のコンピュータでアクセスする
・Virtual Private Network（VPN）またはクラウドドライブを介してリモートでアクセスする
・物理的なデータストア（CD、DVD、USBドライブ）を人から人に渡す
・ファイルを電子メールで送信する

デジタル資産はどのように保護されていますか？
デジタル資産を保護する方法はいくつかあります。
・暗号化（タイプ、強度、鍵の保有者）
認証とトークン（デジタル証明書が必要ですか。パスワードポリシーは適切であり、準拠していますか）。
・認可（デジタル資産を扱うユーザーに付与されている特権のレベルはどれですか？）

1 セキュリティテストの基礎