3.2 課題解決のための要件定義 #
課題を把握した後に、課題解決のための要件を定義します。要件まで落とし込むことにより、自組織のニーズ(解決したい課題や目的)に合致したASMツールを選定する狙いがあります。
ASMツールやASMサービスは、提供する企業(セキュリティベンダ等)によって機能や内容が多岐に渡るため、本工程が実施されていない場合、ASMツールを導入しても課題解決に結びつかないことがあります。
以降の内容は2章までの内容を理解している前提で、前節で取り上げた課題の一部をもとに検討を進めていきます。(以下に課題を再掲)
- 企業構造や組織構造により、IT資産を一元管理することが難しい
- 脆弱性管理は現場に委ねており、第三者的観点を取り入れられていない
- 攻撃に悪用されている脆弱性が公表されても、横断的な調査に時間がかかる
まずは、機能要件を考えてみます。ASMに求める機能とプロセスが明確であれば、それらを機能要件にします。不明であれば、4章で紹介されているASMの機能を切り口に、要件を挙げても良いでしょう。参考として、機能要件の一例を下表にまとめました。
| 大項目 | 内容 |
|---|---|
| IT資産の発見 | ・ドメインからFQDN一覧を発見すること ・FQDNと紐付くIPアドレスを発見すること ・組織名からドメインを発見すること ・etc |
| 脆弱性情報含むIT資産の 付加情報収集 | ・IT資産にアクセス可能なポートや利用製品から用途を推測できること ・IT資産で利用しているコンポーネント、ライブラリ等を検出すること ・バージョン情報を収集すること ・検出結果の履歴を持つこと ・再現方法が提示されていること ・修正方法が提示されていること ・付加情報に対して検索できること ・etc |
| IT資産のリスク評価 | ・リスクが提示されていること ・CVSS/EPSS等が提示されていること ・etc |
| 運用面 | ・IT資産の除外ができること ・検出結果へ誤検知等のマーキングができること ・検出結果への対応ステータスを設定できること ・キーワードで検索できること ・etc |
ASMツールは導入がゴールではなく、運用してこそ価値を発揮します。そのため、運用のイメージがつくか、アクションに繋げやすい情報を出すかなど、運用面での要件も必ず考慮しましょう。
非機能要件は、各組織のセキュリティポリシーや運用ポリシーに準拠しているかを判断軸にすることが多いと考えられるため、ここでは割愛します。
次に、ASMのスコープを設定します。ASMツールやASMサービスのライセンス形態は複数あるため、コスト算出のためスコープの設定を推奨します。また、企業規模が大きくなるほど検出数が多くなるため、運用負荷もあがります。現行の運用メンバーで対応可能かも確認しましょう。スコープの一例を下表に示します。
| スコープ項目 | 例 |
|---|---|
| 対象企業 | 自組織、国内子会社 |
| 対象資産(IP、FQDNなど) | 1000程度 |
| ツール利用者数(運用者数) | 10人 |
| 運用期間 | 1年 |
| 成果物 | 四半期毎にマネジメント層に対して管理状況を説明する資料を作成 |
関連コラム:本当にASMが必要ですか?