3.1 課題の把握 #
ASMに取り組む目的は、先にもある通り外部から攻撃され得るIT資産を管理することです。そのためには、組織のIT資産管理にどのような課題があるかを把握し、それがASMによって解決可能かを吟味する必要があります。
下表によくある課題を記載します。表を参考に、自社/自組織の課題を考察してみましょう。
分類 | 課題の項目 |
---|---|
既知のIT資産管理 | ・ 企業構造や組織構造により、IT資産を一元管理することが難しい ・ サービス数/IT資産数が多く、台帳管理が難しい ・ 破棄済みサービスの稼働状況を把握できていない ・ 廃棄済みドメインの残存有無を把握できていない ・ 管理者不在となり、現状が不明なIT資産が存在している ・一部のIT資産の管理者が定まっていない ・ 管理台帳の鮮度を保つことが難しい(更新が難しい、時間がかかる) |
未知のIT資産管理 | ・ IT資産が各部門で独自に取得されており、管理できていない ・ IT資産が頻繁に一時取得されており、管理できていない ・ 公私で契約したIT資産が混在しており、管理できていない |
平時の脆弱性管理・対応 | ・ IT資産数が多く、全資産に脆弱性診断ができない ・ 利用しているコンポーネントやサービスが把握できない ・ 現場の運用に一存しており、客観的に把握できていない ・ 昨今の脅威動向を踏まえて、IT資産の脆弱性評価ができない |
有事の脆弱性管理・対応 | ・ 攻撃に悪用されている脆弱性が公表されても、横断的な調査に時間がかかる ・ IT資産起因のセキュリティインシデント調査時に、横断的な調査ができない ・ 脆弱性対応の立て付けが整理されていない |
対外的コミュニケーション | ・ 第三者機関やメディアから脆弱性情報が共有されても、調査に時間がかかる ・ 適切なサイバーセキュリティ施策がなされているかエビデンスを元に回答できない |