『Project Zero Trust』のChapter 4で、主人公ディランは「守るべきもの(Protect Surface)」を決めずに防御機器を買うことの愚かさを指摘されます。
しかし、多くの日本企業の情シス担当者はこう悩みます。
「守るべきものが何かなんて、誰も把握していない……」
シャドーIT、各部署が勝手に契約したSaaS、机の引き出しに眠る古いスマホ。
これらを整理するために、数百万円の資産管理ツールは必要ありません。まずは「Excel(またはGoogleスプレッドシート)」を開いてください。
今回は、本書のDAASモデルを日本企業向けにアレンジした「資産棚卸しシート」のテンプレートを公開します。
この記事は『Project Zero Trust』特集の一部です。全記事一覧はこちら↓
1. DAASモデルとは?(復習)
ゼロトラストでは、資産を以下の4つに分類します。
これらを「ごちゃ混ぜ」にするのではなく、カテゴリごとに分けて管理するのがコツです。
2. 実践!「DAAS棚卸しシート」の項目定義
新しいシートを作成し、1行目に以下のヘッダーを作ってください。
これが「ゼロトラストへの地図」になります。
| A列: DAAS分類 | B列: 資産名 | C列: 利用部署/オーナー | D列: 重要度 (H/M/L) | E列: 現状のアクセス制御 |
|---|---|---|---|---|
| Data | 顧客台帳(2025年度版) | 営業部 / 佐藤部長 | High | ファイルサーバー(全部署アクセス可) |
| Application | 勤怠管理(SaaS) | 人事部 / 鈴木課長 | Medium | ID/Passのみ (MFAなし) |
| Asset | 社長用iPad | 経営企画室 | High | パスコード4桁 |
| Service | DNSサーバー | 情シス | High | ファイアウォール内 |
ポイント:全部書こうとしないこと
完璧を目指すと挫折します。まずは「重要度:High(これが漏れたら会社が潰れる)」のものだけを埋めてください。それがあなたの守るべき「クラウン・ジュエル(王冠の宝石)」です。
3. 「E列(現状)」を見て絶望しよう
このシートを作ると、恐ろしい事実が見えてきます。
この「資産の価値(High)」と「防御の薄さ」のギャップ(Gap Analysis)こそが、あなたが次にやるべき仕事です。
「全員のPCにウイルスソフトを入れる」よりも、「顧客台帳のアクセス権を営業部だけに絞る」ほうが、コストゼロでセキュリティは劇的に向上します。
まとめ:Excelは「生きた文書」にする
この棚卸しは、一度作って終わりではありません。
四半期に一度、各部署のマネージャーにこのシート(の一部)を送り、「増えたSaaSはないですか?」「退職者のIDは消えていますか?」と確認してください。
高価なCMDB(構成管理データベース)を買うのは、この運用がExcelで回らなくなってからで十分です。
まずは今日、空白のシートを開くことから始めましょう。
👉『Project Zero Trust』特集トップへ戻る
この連載の元となった書籍『Project Zero Trust』は、技術書とは思えないほどドラマチックな小説です。 詳しい内容はこちらの書評記事で紹介しています。
