第2回:アセットマネジメントを確実に実現する3つのステップ

藤川紳太郎(Absolute) 2018年06月24日 07時30分

  • このエントリーをはてなブックマークに追加

この記事はエンドポイントセキュリティの専門家が、デバイスやデータ、アプリケーションの保護のポイントを語っていく全5回のシリーズです。第1回に続く第2回は、4つの基礎のひとつである「アセットマネジメント」について集中的に解説します。

エンドポイントセキュリティの4つの「基礎」

 エンドポイントセキュリティはケーキのレシピのようなものである。ネットでケーキのレシピを検索したら文字通り何百万ものレシピが見つかるだろう。同じものは2つとない。でも成分は同じなのだ。材料の90%はどのレシピにも共通、残り10%で各レシピのオリジナリティが出る。これはエンドポイントセキュリティにとてもよく似ている。

 まず90%をきちんと作り、次に残り10%の「アイシング」を施せば美味しいケーキができる。コンテストで一等賞が獲れるほど素晴らしいケーキかと言われればそうとはいえないだろう。しかし、ともかく基礎ができていなければ、どんなに高価な材料を使ってどんなに素晴らしいレシピ通りに作ったとしても、焦げた失敗作しかできないのだ。

 効果的なエンドポイントセキュリティプログラムの実現に向け、集中的に取り組むべき大事な4つの「基礎」は以下である。これら4つの柱が確立して初めてセキュリティプログラムを拡大して他の領域に進むことができるのである。

  1. アセットマネジメント
  2. ソフトウェア検査
  3. 脆弱性マネジメント
  4. 事故対応

「基礎」の前に重要なこと

 ここでひとつ、基礎的を語る前に最も重要なことを伝えておく。それは、デバイスがどこにあろうとエンドポイントデバイスにアクセスできることである。ネットワーク内部、あるいはVPNでつながっているエンドポイントにしかパッチを適用できないという環境では、修正プログラムの効果は著しく阻害されるだろう。ある範囲の外にあるデバイスについてはステイタスを確認できないというのなら、そのデバイスはアップデートを受けられない期間中ネットワークにとって日々大きな脅威となる。

アセットマネジメントの必要性

 アセット(経営資産・資源)をきちんと数え上げ管理するのは、セキュリティコントロールに最も重要なことである。自分が何を持っているのかを知らなければ、それを守るための第一歩さえ踏み出せないのだから。優れたアセットマネジメント戦略を構築するには、次の3つのステップを踏まなければならない。どれも当たり前のようでいて、段階的には行われづらいポイントである。

  • ステップ1: ベースラインを策定する
  • ステップ2: インベントリを更新し管理する
  • ステップ3: 自動化、情報統合、アラートシステムを導入する

ステップ1:ベースラインを策定する

 エンドポイントセキュリティの旅に出発する前に、まずは今自分がどこにいるのかを理解し、はっきり目に見えるようにする必要がある。そのために必要なのがセキュリティベースライン、つまり、自組織の対策基準である。セキュリティベースラインとは、全体的な方針を示したセキュリティポリシーを、より実務的なレベルにまで落とし込んだものと考えていい。そして、ベースラインの策定は、時間をたっぷりかけてネットワーク環境の隅々から情報を収集することが大事だ。

 例えば、Microsoft Visioで作成された図表、ネットワークマップ、インベントリ購入に関するスプレッドシート、ハードウェアシリアルナンバーのリスト……。見つけたものは全て収集し、できる限りの情報を集める。そして、分類する。全てが集まったらまた時間をかけてそれらをまとめ、アセットのマスタレポジトリを作成する。この時にどんなツールを使うかや、どう情報を保管するかは重要ではない。とにかくアセットに関する情報を収集し、まとめるのだ。1枚のスプレッドシートを作成してもいいだろうし、もっと複雑なデータベースが必要だという人もいるだろう。

 最初のベースラインができたら、情報の穴や、発見されずドキュメント化されなかったデバイスを探し出さねばならない。そのためにはスキャニングが必要だろう。Nmapのようなアクティブスキャナを使えば、ネットワークの隅々を探り、ネットワーク内部の全てをあぶりだすことができる。 Kismetのようなパッシブスキャナは見つけにくいトラフィックを見つける能力に優れている。このようなタイプの違うスキャナを複数使って、常にベースラインを最新のものにしておく必要がある。

 スキャンをするときに大切なことは、探査されたら破壊される要素をネットワーク環境内に置かないことだ。 IoT 、OTデバイスの中にはアグレッシブなアクティブスキャンに十分に反応しないものもある。ネットワークの一部が脆弱であるかどうか確信が持てない場合は、その部分をスキャニングの対象から外し別の方法を使ってデバイス一覧を作る。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]