5.1 現状のIT資産の特定と評価 #
ASM導入までの準備として、現状把握しているIT資産を特定し、管理策を決定しておく必要があります。また、管理対象とするIT資産やその範囲を決めておくことも重要です。 守るべき資産やその範囲、管理方針(管理プロセス)などを決定しておくことで、ASM導入後に発見されたIT資産を管理プロセスに合流させることができます。(そもそも守るべき資産や管理策が定まっていないと、ASMに取り組んでも管理者を特定できずに放置されてしまう可能性があります。)
ASMに取り組む前の自組織の資産の特定は、以下のプロセスで行うことを推奨します。 ※ASMのプロセスは2.2節で紹介しています。
flowchart LR
A[資産の洗い出し]
B[資産の分類と評価]
C[管理策/役割の設定]
A --> B --> C --> |可能なら|D(リスクの設定)
組織がISMS(ISO27001)認証を受けている場合には、IT資産を管理している台帳を採用することも効果的です。
ASMから始めるのも手段の1つ #
管理台帳が存在せず、イチから資産の特定を行うことが難しい場合には、4章で紹介されているASMツール/サービスを使用して、ひとまずアタックサーフェスの調査から行い、その結果から管理台帳を作成することを推奨します。
ただし、ASMツールを使用したアタックサーフェスの調査では、IPやドメインが調査のメインターゲットとなり、外部調査からでは特定しづらいVPN機器や特定の地域からのアクセス制限をしているサーバーが発見できないこともあるため注意が必要です。
また、発見されたIT資産の管理者情報が、ほとんど無い状態だと想定されるため、結果の取り扱い方法を予め想定しておくことや主管を決めておくことが重要です。
ASMによって発見される問題への備え #
管理台帳がある状態でASMに取り組む場合、把握していなかったIT資産(未知のIT資産)の発見や、脆弱なIT資産の発見に繋がります。そのため、ASMによって発見される以下のような資産をどのように管理するかがポイントです。
未知のIT資産 #
ASMへの取り組み時には、把握していなかったIT資産(責任者が分からないIT資産)が見つかる可能性もあります。それらを管理するためのプロセスが必要になることも視野にいれておきましょう。
ASM導入前の準備として、ASMで発見された未知のIT資産の管理者を特定できるように準備しておく必要があります。よく検出される対象には、公開Webサーバーはもちろんのこと、従業員によって組織のネットワークに接続されたものの、管理が忘れ去られているシャドーITなどがあります。4.1節では、発見できるIT資産の例も紹介しているため、そちらも参考にしてみてください。
脆弱なIT資産 #
資産の分類と評価を進めていく過程で設定の不備があるシステムや脆弱性情報が公開されているサーバーの存在が明らかになる場合もあります。脆弱性対応では対応コストが必要になるため、運用リソースの確保が必要になることを考慮しておきましょう。
上記のようなIT資産が発見された場合に、組織内で管理者(担当者)が分からず手がつけられない。といったことがないように、誰が発見されたIT資産の管理者探しをするのか等も役割を定めておきましょう。管理プロセスの詳細については後述の5.3節を参照してください。 また、ASMで得られた結果を自組織のIT資産管理のプロセスに合流させ、継続して管理・評価に取り組むことも重要です。