効果的なサイバーセキュリティ戦略の基本は、環境に関する知識です。IT資産管理(ITAM)により、企業は所有資産と各資産の場所を把握し、すべての資産を追跡し、資産の安全を適切な方法で確保することができます。ここではITAMをサイバーセキュリティ戦略に含めるべき10の理由をご紹介します。

1. リスクを軽減するため

ITセキュリティ管理者が資産の場所や資産が管理されている方法、資産に脆弱性があるかを把握していない場合、把握している場合よりもセキュリティの脅威は高まり、法的責任は大きくなり、予期せぬイベントが発生した場合の状況は悪化します。ITAMは、共通の運用環境で使用されているIT資産に関する情報を提供します。IT資産が適切に追跡されていれば、管理者は不明なIT資産や紛失したIT資産、誤って設定されたIT資産に起因するセキュリティのリスクを軽減できます。

2. ソフトウェア資産のコスト管理を実現するため

所有しているソフトウェアを把握していれば、企業は使用されていないソフトウェアライセンスを回収し、そのソフトウェアをリクエストしているユーザーにライセンスを再割り当てできるため、新たなライセンスを購入する必要がなくなります。管理対象のソフトウェアアプリケーションが多すぎると、サポート終了を迎えたソフトウェアや、パッチが適用されていないソフトウェアに起因するセキュリティのリスクが高まります。適切なIT資産管理を行うことで、企業はソフトウェアのリクエストやソフトウェアの購入を首尾よく管理できるようになります。

ソフトウェアとハードウェアのITコストの削減についての詳細はこちらからご覧ください。

3. 確実なソフトウェアの更新とパッチ適用に役立つため

ソフトウェアの古いバージョンや適切にパッチが適用されていないソフトウェアは、企業にとってセキュリティのリスクとなる可能性があります。ITAMは、稼働中の資産と保管中の資産の両方を追跡します。正確かつ不足のないインベントリ(棚卸/目録)データがあれば、IT管理者はソフトウェアアプリケーションを最新の状態に保つ適切なツールを使ってすべてのIT資産が管理、設定されていることを確認できます。

4. ハードウェア資産の管理を実現するため

未承認のIT資産や不明なIT資産は、ネットワークにセキュリティのリスクをもたらす可能性があります。ITAMとネットワーク検出ツールを併用すれば、管理者がネットワークに接続されているすべてのデバイスを確認する上で役立ちます。ネットワークに接続されているデバイスを把握していれば、管理者は資産がセキュリティ対策やセキュリティアップデートを遵守していることを確認するための確認プロセスを導入できます。

一定期間ネットワークにチェックインしていない資産もまた、セキュリティのリスクをもたらす可能性があります。ITAMを活用することで管理者はネットワークにチェックインしていない資産について通知を受けることができるため、盗難や紛失により行方がわからなくなっている資産について調査を行うことが可能となります。予期せぬ法的手続きに関連する費用や罰金に加え、機密情報が含まれるIT資産の損失は、組織に対して広報に関連する悪夢をもたらす可能性があります。

ネットワーク上に存在する資産のの検出・インベントリを実現するためにはこちらからご覧ください。

5. IT資産の場所を把握するため

ITAMはIT資産の物理的な場所を把握する上でIT管理者の役に立ちます。ITAMは資産の使用者はもちろん、関連するコストセンターや資産が使用されている部門についても情報を提供します。IT資産がネットワークにチェックインしない場合や、ネットワークのセキュリティアップデートに適切に応答しない場合、技術スタッフが速やかに資産の場所を特定し、目視点検できるようにするため、資産の場所を把握していることが重要となります。

6. IT資産の目的をマッピングし適切なセキュリティ対策を適用するため

ITAMは、管理者がIT資産の目的を記録することを可能にします。ITAMソリューションは、IT資産とプロジェクト、もしくはIT資産とITサービスを関連付け、各資産を適切に保護するために必要な情報をセキュリティ管理者に提供できます。例えば、テスト環境用に購入されたサーバーには、本番環境でウェブサービスを提供するために購入されたサーバーとははるかに異なるセキュリティ対策が必要となる可能性があります。

7. ソフトウェア資産をマッピングするため

ITAMによって、ソフトウェアが企業に提供している機能や役割に加え、企業によってライセンスが取得されているソフトウェアパッケージについての情報も提供されます。ソフトウェアのタイトルがソフトウェア資産にマッピングされていれば、IT管理者はソフトウェアの重複購入を避けることができます。IT部門がサポートする必要のあるソフトウェアアプリケーションの数量を軽減すれば、セキュリティのリスクも軽減されます。

8. IT資産を分類することで資産の優先度を設定するため

IT環境においてはすべての資産が同じように扱われるわけではありません。ITAMは業務上の機能別にIT資産を分類できます。例えば、ITサービス業務にとってクリティカルなIT資産に分類されるIT資産は、資産に加えられる変更、更新、修正が、変更管理プロセスに沿って承認、スケジュール設定されることを保証するため、構成アイテム(CI)と関連付けられ、構成管理プロセスに従って構成管理データベースで管理される可能性があります。

機密情報や社外秘の情報が含まれるIT資産は、安全な場所に保管されることに加え、侵害された場合、適切な緊急度で該当するインシデント対応プロセスに割り当てられることを保証するため、適切に分類する必要があります。適切に分類されていれば、機密情報を含むIT資産を廃棄する際、廃棄前にデバイスからデータが適切な方法で削除されているかを確認するため、該当する廃棄プロセスに割り当てられます。

9.セキュリティ管理者のためにレポートの精度を改善するため

ITAMによって、セキュリティ管理者によって作成されるレポートの精度を改善できます。適切なセキュリティ対策を用いてすべての資産が管理、設定されていることを確認するために、IT資産管理データベースを信頼できる情報源として使用することを検討してください。見過ごされている資産は、適切なセキュリティ対策の対象から外れている可能性があり、これに該当する資産はネットワークにセキュリティのリスクをもたらします。

10. IoTなど従来のコンポーネントとは異なる新しいコンポーネントを追跡するため

今後、ネットワークに接続されるIoTなど従来のデバイスとは異なる新しいデバイスが増えていきます。セキュリティのリスクを正確に評価するため、IT管理者には従来のデバイスか最新のデバイスかを問わずすべてのデバイスを記録することが求められます。

スマート照明に関連するセキュリティのリスクはさほど問題ではないように思えますが、スマート照明をコントロールするソフトウェアは、適切に保護されていない場合、簡単に侵害される可能性があります。ITAMは従来のデバイスとは異なる新しいデバイスをセキュリティ管理者が常に確認できる状態を提供することで、IoTのハードウェアやそれらをサポートするソフトウェアなどすべてのデバイスが適切に保護されていることに加え、すべてのデバイスが最新のソフトウェア更新プログラムやセキュリティアップデートで最新の状態に保たれていることを保証します。