セキュリティのための取り組みを強化するIT資産ガバナンス
データは企業の生計です。世界中で1秒に何兆件ものデータのやりとりが行われており、そのすべてに企業の機密情報が含まれているのです。データ侵害は増加し続けている危険です。
例えば医療業界においては、2018年に1,500万件と報告されていた患者カルテの侵害件数が、2019年1月~2019年6月のわずか半年の間にその2倍となる3,200万件に達しています。この事実を頭に入れておいてください。Protenus社によれば、2019年上期に、患者カルテの侵害件数は2018年1年間に報告された件数の2倍になっているのです。
当然、データ侵害の一番の原因は外部からの攻撃者です。これに続いて多く認められるデータ侵害の原因は、意図せぬデータ損失、すなわち人的ミスです。Saasアプリケーションへの完全なアクセス権が付与されたままになっている元社員、不正に使用されている検出が難しい資産、ライセンスが付与されていないソフトウェア、紛失または盗難されたデバイスなどは、IT部門とセキュリティ部門が定期的に対処できる問題の一例となります。
ITAMの取り組みの半数の原動力がセキュリティに関する懸念
ガートナー社は、2022年までは、主に情報セキュリティのニーズや懸念が原動力となってITAMに関する取り組みが半数を占めると見込んでいます。(「Enabling the Management of IT Assets With a Comprehensive IT Asset Life Cycle」(アナリスト-Ryan Stefani)、ガートナー社主催ITソーシング、プロキュアメント、ベンダー&アセット・マネジメントサミット)
IT部門とセキュリティ部門は大抵、自社環境に存在するすべてのIT資産を特定することに苦戦しています。ネットワークへの接続/切断を繰り返すデバイスやモバイルデバイス、クラウドインスタンスなどのテクノロジーには動的な性質があるため、資産の特定は一筋縄ではいかないのです。
把握できていない資産により、サイバー攻撃の対象範囲が広がるため、企業に甚大な被害をもたらすサイバー攻撃が発生する可能性が高まります。
これまでIT資産管理(ITAM)の領域は主にライセンスのコンプライアンスを保証するために使用されてきました。もちろん現在もラインセンスのコンプライアンスが主な推進力のひとつであることに変わりはありませんが、ITAMはセキュリティ部門にとって、所有しているすべての資産、各資産の場所、使用状況、各資産に存在する可能性のあるセキュリティリスクを完全に把握するために重点的に目を向けるべき領域になりつつあります
IT管理者の3分の2がIT資産すべてを網羅する正確な記録を持っていない
「ComputerWeekly」で報告されている通り、IT管理者の66%が自社のIT資産すべてを網羅する正確な記録を持っていないと認めています。また、資産管理の取り組みに多くに企業が依然としてスプレッドシートを使用しています。
サイバー攻撃の脅威から自社を守るためにセキュリティ部門が実施する脆弱性の評価とパッチ適用に関連するプロセスはかなり高度である可能性があります。ところが、インベントリ(棚卸/目録作成)の管理には多くの企業が依然として手作業で入力するスプレッドシートを使用しているため、いまだにインベントリはうまく管理できていないという現状があります。
「EY Report」では、企業の約56%が年に一度しか資産の場所を確認しておらず、10~15%の企業にいたっては、5年に一度しか確認していないと指摘されています。
資産を管理するためにISO規格を遵守し、レベル1の「所有している資産を把握すること」から実現できていないのであれば、資産の最適化レベルも不可能でしょう。自社ネットワーク上のすべてのデバイスを把握していますか?すべてのデバイスが認証されていますか?不正に使用されている検出が難しい資産はありませんか?本当にすべてのデバイスにパッチが適用されていますか?
脆弱性を適切に評価するには、所有している資産を把握するための適切な基準を設ける必要があり、その基準がなければ資産を管理し、安全に保護することはできません。
IT資産とセキュリティ向けのデータシステムを連携させれば、所有している資産を把握でき、さらに自社のサイバーセキュリティの回復力(レジリエンス)を強化し、効率を向上させるためのビジネスとセキュリティのルールと自動化を適用できます。具体的な例を紹介させていただきます。
デジタルマガジンである「CIO」の記事によりますと世界中の各オフィスで使用されているコンピューター1台あたりにインストールされている不要かつ使用されていないソフトウェアは平均で約259ドルに相当すると指摘されています。使用されているか否かを問わず、各ソフトウェアライセンスとハードウェアには脆弱性のリスクがあります。使用されていない場合、自社環境に置いたままにしておくべきではありません。
未使用の資産を排除すれば、攻撃対象領域を縮小できるだけでなく、セキュリティ上の弱点も軽減できます。
IT資産管理ガバナンスは、資産の最適化、コスト管理、リスク軽減を確実に実現することを目的に、IT資産の投資、活用、処分に関する決定の権限や責任の割り当てに対応します。IT資産管理ガバナンスは、セキュリティ部門とIT部門両方にとって重要なのです。
取り組みを始めるにあたり
米国国立標準技術研究所(NIST)は、ITAMに関する「Cyber Security Guide」(サイバーセキュリティガイド)を発行しています。国立サイバーセキュリティ研究開発(National Cyber Security Centre of Excellence:NCCoE)との共著であるこのガイドでは、セキュリティのプロが資産管理システムに期待することに加え、セキュリティのプロが資産管理システムの構成にどう取り組むかに関する洞察が提供されています。NISTは次のような見解を示しています。
「ITAMにより、セキュリティアナリストは資産を把握しやすくなるため、ITAMは結果的により効率的な資産活用やセキュリティの強化につながります」また、NISTはITAMを「効果的なサイバーセキュリティ戦略の基本」と考えています。
IT資産管理ガバナンスは、チームで力を合わせて進める取り組みです。自社の資産のライフサイクルとセキュリティプロセスを定義し、構築し、モニタリングして最善の結果を得るため、資産部門をセキュリティ部門や調達部門、財務部門と密に連携させてください。職能上の枠を超えたチームが、プロセス、管理、オペレーションをNISTの各種フレームワークをベースにしている場合、このガイドはチームに対する共通のフレームワークとなります。
Ivantiの資産管理ソリューションは、こちらのページからご確認いただけます。