IT資産管理とは

/セキュリティ

資産管理とは、組織内のネットワークに接続されているサーバやクライアントPCや周辺機器、ソフトウェア等を一元管理するだけでなく、搭載されているソフトウェアの脆弱性の有無を確認し、常に最新の状態の保つことなどが含まれます。

IT資産管理

IT資産管理を行わない場合、次のような問題が発生してしまう可能性があります。

  • コンプライアンス違反
    商用販売されているソフトウェアはインストールできる台数が定められており、それを超えてインストールするとライセンス違反になり、場合によっては高額な損害賠償を請求される可能性があります。
  • ライフサイクルが管理できない
    ハードウェアであれば経年による劣化でパフォーマンスが低下したり、メーカーの保守サポートが切れると、メンテナンスやセキュリティアップデートなどが行われなくなったりします。
  • 資産が行方不明になる
    従業員がIT資産を私物化することで、行方不明になる可能性があります。また、固定資産であれば棚卸を行う必要があります。
  • シャドーITが蔓延する
    シャドーITとは、会社が許可していないアプリケーションやクラウドサービスを従業員が勝手に利用することです。シャドーITが蔓延することで、情報漏えいなどのセキュリティリスクが増加する可能性があります。

管理対象となるIT資産は以下になります。

  • サーバ、クライアントPC
    及び、インストールされたOSやアプリケーション
  • スマートフォン、タブレット
  • ネットワーク機器
  • 複合機、印刷機、コピー機
IT資産管理ツール

IT資産管理は一般的に台帳が用いられますが、組織の規模が大きくなると、手作業による管理では工数が掛る、入力・転記ミスが起こるなど問題が出てきます。そのため、管理ツール導入による自動化が必要になります。

管理ツールのタイプとしては、各端末にプログラムをインストールするエージェント型と、インストールの必要のないエージェントレス型の2つに分かれます。

エージェント型 エージェントレス型
長所 端末の詳細な情報が取れる 端末へのインストールが不要
コンピュータに負荷がかからない
短所 端末へのインストールが必要
コンピュータに負荷がかかる
端末の詳細な情報が取れない

IT資産の管理ツールに必要とされる機能は以下になります。

  • IT資産の情報を自動収集して一元管理
  • ソフトウェアのインストール状況を自動収集してライセンスを確認
  • ソフトウェアやパッチの配布と適用

IT資産からの取得が必要な情報は以下になります。

  • 機器に関する情報
    コンピュータ名、利用者名、IPアドレス、MACアドレス、OSバージョン等
  • ソフトウェアのインストール状況
    インストールされているソフトウェア名、バージョン・エディション等
  • PCの操作ログ
    ファイル操作、プロセス起動ログ、Webアクセスログ、メール送受信ログ等

IT資産の管理ツールを選択する上でのポイントは以下になります。

  • オンプレミスではなくクラウド型を検討する
    クラウド型のメリットは、導入の時間が最小限で済む、サーバ等の管理が不要になる、最新のセキュリティを維持した環境が利用できる、社外に持ち出した端末が管理できるなど。
  • Windows以外のOSや周辺機器が管理できること
  • 運用時の手間や操作性を重視する
    直感的で分かりやすい管理画面であるなど、管理の手間を減らすための機能性を重視したツールかなど。
  •  導入や運用費用が予算に収まること

脆弱性診断

脆弱性診断とは、OSやアプリケーションの既知の脆弱性に対し診断を行い、情報システムの設定ミスとセキュリティ脆弱性を可視化するためのプロセスを指します。脆弱性診断には市販ツールが利用され、診断対象であるサーバやネット機器などをブラックボックスとして扱います。

Webアプリケーションの脆弱性
SQLインジェクション、OSコマンド・インジェクション、クロスサイト・スクリプティング、クロスサイト・リクエスト・フォージェリ

パッチ管理

パッチ管理とは、ソフトウェアベンダーから提供される修正プログラム(パッチ)を適用することで、全てのソフトウェアを最新のバージョンに保つための一連の作業です。

製品ベンダーなどから出されるアップデート情報を定期的に確認し、具体的な対処方法を設定し、システムが脆弱性を突いた攻撃を受ける前に、リスクを許容レベルまで極小化することが重要です。

パッチ管理のポイントは、脆弱性情報を収集し、緊急性の判断を行い、適用した後は、脆弱性に対応できていることを確認することです。

脆弱性情報を収集

脆弱性情報の収集先として、製品ベンダのホームページやIPA(JVN iPedia)、JPCERT/CCなどの公的機関からの情報が活用できます。IPAのサイトでは、データベース登録された脆弱性情報をWebから検索可能です。

JVN iPedia
JVN iPedia
JPCERT コーディネーションセンター 脆弱性対策情報
緊急性の判断

脆弱性の緊急性判断には、CVSS(Common Vulnerability Scoring System) が用いられます。CVSSとは、脆弱性に対するオープンで汎用的な指標で、緊急性の表現が標準化されています。

共通脆弱性評価システムCVSS概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「共通脆弱性評価システムCVSS概説」に関する情報です。

CVSSは、1.0~10.0の数値で表され、7.0以上が緊急度「High」とされており、早急な対応が必要と考えられています。

 

 

IT
マネジメント、セキュリティ、ネットワーク、システム
散策路TOP
古典物理、量子力学、物性論、数学、応用数学、力学、電磁気学、相対論、熱・統計力学、解析学、代数学、幾何学、統計分析、情報

 

タイトルとURLをコピーしました