3.2 課題解決のための要件定義

3.2 課題解決のための要件定義 #

課題を把握した後に、課題解決のための要件を定義します。要件まで落とし込むことにより、自組織のニーズ(解決したい課題や目的)に合致したASMツールを選定する狙いがあります。
ASMツールやASMサービスは、提供する企業(セキュリティベンダ等)によって機能や内容が多岐に渡るため、本工程が実施されていない場合、ASMツールを導入しても課題解決に結びつかないことがあります。

以降の内容は2章までの内容を理解している前提で、前節で取り上げた課題の一部をもとに検討を進めていきます。(以下に課題を再掲)

  • 企業構造や組織構造により、IT資産を一元管理することが難しい
  • 脆弱性管理は現場に委ねており、第三者的観点を取り入れられていない
  • 攻撃に悪用されている脆弱性が公表されても、横断的な調査に時間がかかる

まずは、機能要件を考えてみます。ASMに求める機能とプロセスが明確であれば、それらを機能要件にします。不明であれば、4章で紹介されているASMの機能を切り口に、要件を挙げても良いでしょう。参考として、機能要件の一例を下表にまとめました。

大項目内容
IT資産の発見・ドメインからFQDN一覧を発見すること
・FQDNと紐付くIPアドレスを発見すること
・組織名からドメインを発見すること
・etc
脆弱性情報含むIT資産の
付加情報収集
・IT資産にアクセス可能なポートや利用製品から用途を推測できること
・IT資産で利用しているコンポーネント、ライブラリ等を検出すること
・バージョン情報を収集すること
・検出結果の履歴を持つこと
・再現方法が提示されていること
・修正方法が提示されていること
・付加情報に対して検索できること
・etc
IT資産のリスク評価・リスクが提示されていること
・CVSS/EPSS等が提示されていること
・etc
運用面・IT資産の除外ができること
・検出結果へ誤検知等のマーキングができること
・検出結果への対応ステータスを設定できること
・キーワードで検索できること
・etc

ASMツールは導入がゴールではなく、運用してこそ価値を発揮します。そのため、運用のイメージがつくか、アクションに繋げやすい情報を出すかなど、運用面での要件も必ず考慮しましょう。
非機能要件は、各組織のセキュリティポリシーや運用ポリシーに準拠しているかを判断軸にすることが多いと考えられるため、ここでは割愛します。

次に、ASMのスコープを設定します。ASMツールやASMサービスのライセンス形態は複数あるため、コスト算出のためスコープの設定を推奨します。また、企業規模が大きくなるほど検出数が多くなるため、運用負荷もあがります。現行の運用メンバーで対応可能かも確認しましょう。スコープの一例を下表に示します。

スコープ項目
対象企業自組織、国内子会社
対象資産(IP、FQDNなど)1000程度
ツール利用者数(運用者数)10人
運用期間1年
成果物四半期毎にマネジメント層に対して管理状況を説明する資料を作成

関連コラム:本当にASMが必要ですか?