1.1 IT資産管理の全体像を知る
1.1.1 IT資産管理はセキュリティの最も重要なテーマ
この記事では、組織で最低限行うべきセキュリティについて、国際的に使用されているガイドラインである『CISコントロール』を参照した対策方法を説明していきます。CISコントロールは多くの標準の中でも技術的な具体性が高く、分量も多すぎないなどの理由から、近年注目されています。初回は、資産管理について解説していきます。
組織のITセキュリティを考える時に、何からやるべきかというのはよく出てくる話題です。アンチウイルスが重要だ、脆弱性を消すためにアップデートを徹底することだ、とりあえずコンサルやITサービス企業に聞いてみることだ、などがよく言われています。しかし、CISコントロールでは、最も重要なことはハードウェアの資産管理となっています。それはなぜでしょうか。
1.1.2 なぜハードウェアの資産管理が重要か
セキュリティとは何か。ITの世界では、機密情報が奪われること、データやアプリなどが改ざんされること、システムが使えなくなることなどだと言われています。
しかしここで「何の?」という話を考えなければなりません。言うまでもなくここでは「組織のもの」です。たとえば会社から機密情報が奪われたりすることがセキュリティ被害なのです。ですがその機密情報は何か、しっかり把握しきれているでしょうか?
契約しているクラウド上のサーバー。従業員が持っている一人ひとりのパソコンやスマートフォン。これらは当然、組織のものではあります。しかしそれで全てでしょうか。
たとえば会社に誰も知らないパソコンが転がっていて、そこに実は機密情報が入っていて、それをある日、従業員の1人がこっそり持っていって内部のデータを売り払ってしまったら、それはセキュリティ被害です。それから最近はクラウド契約が進んでいます。従業員が個人で契約しているクラウドを勝手に利用していて、そこに脆弱性が見つかったり管理が甘かったりして、データが奪われてしまうことも考えられます。
このように従業員が独自に導入したIT機器やシステム、クラウドサービスなどのことをシャドーITと呼びますが、これが最近問題となっています。
当たり前ですが、把握してないものは守れません。対策としては無許可の通信を検出するCASBなどのサービスを使う方法もありますが、まずは「会社がよくわかっていないデータの保管場所」などを探して管理下に置く。それが第一です。
ITの資産管理では、データを保存または処理するパソコンやスマートフォンなどのエンドユーザーデバイス 、ネ ットワークデバイス、IoTデバイス、サーバーなどの最新情報をリスト化します。ネットワークインフラストラクチャに接続されているものは物理的であれ仮想的であれ記録し、リモートで接続されている資産やクラウド環境内の資産も記述します。組織の管理下になくてもネットワークに定期的に接続されているものも記述すべきです。
つまり、組織に関係している情報資産かどうかが、第一の観点になります。
1.1.3 シャドーIT:なさそうだが実はあるもの、ありそうだが実はないもの
先程、会社に転がっているかもしれないパソコンや勝手に契約しているクラウドサービスを例に挙げましたが、実際にはデータを保存したり処理したりするすべての資産を正確に把握しきれている会社は意外と限られています。
たとえばテスト用に構築したクラウド上の仮想環境、社員が経費精算して買ったUSBメモリ、従業員個人の持ち物だが業務で利用しているスマートフォンなどは、会社の台帳から漏れているケースなどです。
こうしたデバイスには、本来は実施するはずだったセキュリティ対策がされておらず、OSのアップデートもされていなければウイルス対策ソフトも入っていない、それなのに会社で使うデータは入っている、ということがあります。
