• はじめに
• 「情報のラベル付け」とは？
• 具体的な実施例
  • 情報の分類の伝達を容易にする（正確に伝達する）
  • 情報の処理と管理を自動化する
  • オブジェクトストレージの利用拡大
  • ラベル付け手順策定の際に考慮すべき事項
• まとめ
• 参考資料
• 脚注

はじめに

　情報セキュリティのための管理策の中で組織的対策として分類されている「情報のラベル付け」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。

「情報のラベル付け」とは？

　先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。

ISO/IEC 27002:2022 5.13 Labelling of information から引用

Purpose：
To facilitate the communication of classification of information and support automation of information processing and management.
管理目的：
情報の分類の伝達を容易にし、情報処理と管理の自動化をサポートするため。

Control：
An appropriate set of procedures for information labelling should be developed and implemented in accordance with the information classification scheme adopted by the organization.
管理策：
情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従って策定し、実施することが望ましい。

※）英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

　ブログ　”「情報の分類」について”　で述べた通り、情報の分類は実施しただけでは有効ではなく、最終的な目的は、「組織の事業上の目的達成」、「法的責任」、「日常的な機能維持」、「個人の保護」が損なわれないために、対象の情報および関連資産に求められるセキュリティ上の保護ニーズを満たすことであり、そのためには割り当てられた分類相当の適切な利用が求められます。
　上記とラベル付けの関連性については管理目的から読み取ることができ、ラベル付けにより直接期待される効果は以下の二つを想定していることが理解できます。

• 情報の分類の伝達を容易にする
• 情報の処理と管理を自動化する

ここまで理解した内容を図示してみます。

具体的な実施例

情報の分類の伝達を容易にする（正確に伝達する）

　情報の分類を正確に伝達するための具体的な実施例としては、紙のような物理媒体にはスタンプの押印、電子データであればファイル名に含めるなどがあげられます。また、ラベル付けされる情報の種別は、機密性に関連する情報（例えば、極秘、秘密、社外秘など）が一般的です。個人情報取扱事業者であれば、個人情報への該当有無を表示することも考慮すべきです。

情報の処理と管理を自動化する

　情報の分類を表すラベルをメタデータ上にクリアテキストとして保存することにより、通常であれば、煩雑な作業が生じる情報のライフサイクル全体にわたる管理を自動化でき、以下のような効率的な保護が可能になります。

• 様々なシステム（アプリ、サービス）によるラベルの読み取り、制御フローの適用が可能
• ラベルがコンテンツと一体化しているため、格納場所等の環境に左右されない管理が可能

　実際の運用イメージについては、以下のサイトが参考になります。

• Microsoft 365 / 情報保護の管理 / 秘密度ラベルの詳細（Microsoft）

• SALESFORCE HELP / DOCS / EXTEND SALESFORCE WITH CLICKS, NOT CODE / Data Classification Metadata Fields (Salesforce)

オブジェクトストレージの利用拡大

　従来は、非構造化データを保管する場合、ファイルストレージを用いフォルダ単位で保管されているファイルの属性に合わせたアクセス権を付与することで管理を効率化している組織が多かったのではないかと思います。
　他方、Amazon S3以降、主にクラウド環境ではスケールアウトの容易さなどの理由からオブジェクトストレージの利用が一般的となっており、このようなケースでは、個々のオブジェクトのメタデータ上にラベリングされた情報（ACLなど）を元にアクセス制御を行います。

ラベル付け手順策定の際に考慮すべき事項

　ラベル付けの手順を策定する場合、以下のような事項を考慮することにより有効性が向上すると思われます。

• 情報の分類で確立された分類体系
• ラベル識別の容易性
• 情報の利用環境
• 正確なラベル付けと取り扱いの教育・訓練
• ラベルを省略できる条件
• ラベル付けできない場合の代替管理策

まとめ

　今回は、「情報のレベル付け」について考えてみました。他の管理策にも言えることですが、効果的な実施のためには、その目的や関連する管理策を理解することが重要だと思います。

参考資料

　本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。

• ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

• NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations MP-3, PE-22

脚注