米国のインターネットセキュリティセンター(CIS)が提示しているセキュリティコントロール トップ20のうち上位5のコントロールをご覧いただくとわかるように、うち2つのコントロールが資産管理に関連しています。1番目と2番目のコントロールは、ハードウェア資産とソフトウェア資産の管理に関する対策です。

企業がセキュリティを強化する上で、資産管理が唯一かつ最も重要な対策とされているのはなぜかと多くの方は疑問に思っています。ウイルス対策ソフトウェアや強力なパスワードが重要視されるべきはないかと直感的に思う方が多いかもしれません。

まずは、このリストが業界のエキスパートの経験と見解に基づいて作成されている点に留意することが重要となります。つまり、これは見解に基づくものであり、必ずしも結論がご自身の見解や自社で得られる結果と一致するわけではありません。

ただし、資産管理が実際に導入できる最も重要なセキュリティ対策であることを裏付ける説得力のある事例は実際に存在するのです。これについて説明するため、私自信の経験を共有させていただきます。

IT資産管理(ITAM)の必要性

金融サービス企業のCISO(最高情報セキュリティ責任者)として働いていた時、私はFFIEC(米国連邦金融機関検査協議会)の調査に参加しました。最初は「社内のサーバーとワークステーションにパッチを適用していますか?」といった簡単な質問を問われました。

その質問には一言「はい」と回答しました。 

ところが次に問われた質問は、正確に回答するには数時間を要するものでした。彼らはこう言ったのです。「どうして「はい」と言えるのですか?」 

その質問の意味と深さを私が本当に実感するまで数時間がかかりました。そして、さらなる質問が私の頭の中に次々と浮かんできました。

  • なぜ私は、すべてのサーバーとワークステーションにパッチを適用していると断言できるのか?
  • 社員が携帯しているノートパソコンにも漏れなくパッチを適用したと言い切れるのか? 
  • 社内のシステムにインストールされているすべてのソフトウェア製品にパッチを適用していると断言できるのか?
  • 1週間のうちに作成され、削除された仮想システムについて把握していると言い切れるのか?
  • クラウド上のソフトウェアとハードウェアについてどうやって情報を収集しているのか?

これらの質問に回答するためには、社内のソフトウェア資産とハードウェア資産すべてを網羅する正確なインベントリ(目録)が必要でした。しかもそれだけではなく、資産は頻繁に動き、変更され、削除/排除されるため、自社環境の新しい情報を収集するためのプロセスを確立する必要がありました。

インベントリ(目録)を追跡するために、サーバー、ワークステーション、ソフトウェア製品のリストを購入できた時代は遠い昔に過ぎ去ったのです。

効果的なIT資産管理(ITAM)の要素

現在、効果的な資産管理には複数の要素が求められます。

1. 検出

まず検出プロセスです。検出とは、自社環境の新しいソフトウェアとハードウェアについて情報を収集するプロセスです。これには、ネットワークからビジネスアプリケーションのインテリジェンスまで、幅広い手法を通して自社環境に追加された新しい資産を積極的にモニタリングすることが求められます。資産検出モジュールの中には、新しい資産を検出するためにpingスキャンを実行するものがあります。 

今の時代のネットワークにおいて、これは好ましいステップである一方、この手法自体によっては、正確な資産インベントリ(目録)が得られないことがほとんどです。サーバーとネットワークの構成の多くは、pingに応答しません。

このため、pingスキャンが、お使いの資産管理システムが新しいシステムを検出する唯一の方法である場合、得られる情報は十分ではないことや、正確性に欠けている可能性があります。最新のネットワークベースの資産検出には、複数のアクティブスキャンとパッシブスキャン、pingを含む検出モジュール、TCP同期スキャン、ARP、DHCP、Wi-Fiに加え、ネットワーク上に隠れているシステムの検出に役立つその他の手法が含まれます。

2. インベントリ(目録作成)

検出に続くプロセスがインベントリ(目録作成)です。最初は思っているよりも難しく感じるプロセスかもしれません。システムが動かされることはもちろん、ネットワーク構成が変更されることやソフトウェアが追加/削除されること、管理責任が変更される可能性もあります。

これらすべてを説明できることが求められており、可能な限り変更プロセスを自動化する必要があります。動的なソフトウェア、ハードウェア、仮想化資産のインベントリ(目録)を管理するには、自動化、優れたストレージ設計、自社の要件に一致するワークフローが必要となります。

これらの要素がなければ、世界で最も優れた資産インベントリ(目録)もすぐに意味をなさなくなり、役に立たなくなります。

ソフトウェア資産の管理

ソフトウェア資産の管理は、ハードウェア資産の管理よりさらに手強い可能性があります。企業がMicrosoftのオペレーティングシステムとアプリケーションのみを使用していた時代ははるか昔に終わっています。 

現在は、Microsoft、Apple、様々な種類のLinuxのオペレーティングシステムが混在し、数十社のベンダーのアプリケーション、オープンソース、多種多様なライセンス構成が存在している環境がほとんどです。ライセンスはいくつかの異なるグループや部門によって管理されている可能性があります。

また、一部の企業では一元管理されています。レガシーシステムには、アップグレードできない古いソフトウェアがインストールされている可能性があります。一部のソフトウェアは無料のため、料金や支払いに関連する記録が存在しないことがあります。

企業がライセンス条件を遵守しているか違反しているかを把握するためには、これらの異なるライセンスすべてを管理し、エンドポイントに新しいソフトウェアがインストールされた場合それを自動的に把握し、ライセンス条件を正確に理解する方法が必要となります。

Ivantiが役立つ仕組み

資産管理が、気が遠くなるような作業に思えるのは、実際にそれだけ大変な作業だからです!さらに資産管理は、企業の環境において、すべてのセキュリティ要素の最も重要な部分にもなります。

これらのインベントリ(目録)がなければ、パッチ適用、ログ管理、リスク管理、ウイルス対策の効果はもちろん、ライセンス違反や物理的な盗難の影響を把握することはできません。幸いにも、Ivantiは高いハードルに挑戦するソフトウェアを提供しています。 

Ivantiは、Ivanti Service Manager(ISM)Asset ManagerIvanti License Optimizer(ILO)を組み合わせることで、お客様のハードウェア資産とソフトウェア資産のインベントリ(目録作成)、検出、ストレージ、管理、ワークフローをサポートする非常に効果的なプロセスを実現します。

今すぐ、当社の営業担当者にお問い合わせになり、自社のセキュリティフレームワークの中で最も重要な要素に速やかに対応する上で、Ivantiが役立つ仕組みをご確認ください!