SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

ITインフラ管理の最前線:CISコントロールとその実践的応用

IT資産をいかにうまく管理するか?:CISコントロールによる対策方法

第1回

 企業のITセキュリティの出発点は何か、どこから始めれば良いのか──それは「IT資産管理」だ。本記事では、IT部門管理職に向けて、国際的ガイドラインであるCISコントロールに基づいた資産管理の重要性と具体的な対策方法について深掘りする。シャドーITと呼ばれる非公式のIT機器やクラウド環境が浸透する中、把握していないものは守れない。だからこそ、最も基本であり最も重要なのがIT資産の明確な管理である。

1.1 IT資産管理の全体像を知る

1.1.1 IT資産管理はセキュリティの最も重要なテーマ

 この記事では、組織で最低限行うべきセキュリティについて、国際的に使用されているガイドラインである『CISコントロール』を参照した対策方法を説明していきます。CISコントロールは多くの標準の中でも技術的な具体性が高く、分量も多すぎないなどの理由から、近年注目されています。初回は、資産管理について解説していきます。

 組織のITセキュリティを考える時に、何からやるべきかというのはよく出てくる話題です。アンチウイルスが重要だ、脆弱性を消すためにアップデートを徹底することだ、とりあえずコンサルやITサービス企業に聞いてみることだ、などがよく言われています。しかし、CISコントロールでは、最も重要なことはハードウェアの資産管理となっています。それはなぜでしょうか。

1.1.2 なぜハードウェアの資産管理が重要か

 セキュリティとは何か。ITの世界では、機密情報が奪われること、データやアプリなどが改ざんされること、システムが使えなくなることなどだと言われています。

 しかしここで「何の?」という話を考えなければなりません。言うまでもなくここでは「組織のもの」です。たとえば会社から機密情報が奪われたりすることがセキュリティ被害なのです。ですがその機密情報は何か、しっかり把握しきれているでしょうか?

 契約しているクラウド上のサーバー。従業員が持っている一人ひとりのパソコンやスマートフォン。これらは当然、組織のものではあります。しかしそれで全てでしょうか。

 たとえば会社に誰も知らないパソコンが転がっていて、そこに実は機密情報が入っていて、それをある日、従業員の1人がこっそり持っていって内部のデータを売り払ってしまったら、それはセキュリティ被害です。それから最近はクラウド契約が進んでいます。従業員が個人で契約しているクラウドを勝手に利用していて、そこに脆弱性が見つかったり管理が甘かったりして、データが奪われてしまうことも考えられます。

 このように従業員が独自に導入したIT機器やシステム、クラウドサービスなどのことをシャドーITと呼びますが、これが最近問題となっています。

 当たり前ですが、把握してないものは守れません。対策としては無許可の通信を検出するCASBなどのサービスを使う方法もありますが、まずは「会社がよくわかっていないデータの保管場所」などを探して管理下に置く。それが第一です。

 ITの資産管理では、データを保存または処理するパソコンやスマートフォンなどのエンドユーザーデバイス 、ネ ットワークデバイス、IoTデバイス、サーバーなどの最新情報をリスト化します。ネットワークインフラストラクチャに接続されているものは物理的であれ仮想的であれ記録し、リモートで接続されている資産やクラウド環境内の資産も記述します。組織の管理下になくてもネットワークに定期的に接続されているものも記述すべきです。

つまり、組織に関係している情報資産かどうかが、第一の観点になります。

図1 管理されているIT資産とシャドーIT
図1 管理されているIT資産とシャドーIT [画像クリックで拡大]

1.1.3 シャドーIT:なさそうだが実はあるもの、ありそうだが実はないもの

 先程、会社に転がっているかもしれないパソコンや勝手に契約しているクラウドサービスを例に挙げましたが、実際にはデータを保存したり処理したりするすべての資産を正確に把握しきれている会社は意外と限られています。

 たとえばテスト用に構築したクラウド上の仮想環境、社員が経費精算して買ったUSBメモリ、従業員個人の持ち物だが業務で利用しているスマートフォンなどは、会社の台帳から漏れているケースなどです。

 こうしたデバイスには、本来は実施するはずだったセキュリティ対策がされておらず、OSのアップデートもされていなければウイルス対策ソフトも入っていない、それなのに会社で使うデータは入っている、ということがあります。

次のページ
1.2 資産管理の具体的なステップ

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ITインフラ管理の最前線:CISコントロールとその実践的応用連載記事一覧

もっと読む

この記事の著者

目黒 潮 (メグロ ウシオ)

ウィズセキュア株式会社 サイバーセキュリティ技術本部 シニアセールスエンジニア
情報処理安全確保支援士
エンドポイントやフィッシング詐欺が専門

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18319 2023/09/22 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング