5.2 主管の決定・運用リソースの確保 #

ASMの導入後には、ASMによって洗い出されたIT資産・脆弱性情報に対応するために運用していかなければなりません。そのため、このような運用を行う主管(部門・部署・担当者)を導入事前に取り決め、運用するために準備する必要があります。

運用には対応する人員が必要であり、当然コストが発生します。主管は後述する節に記載するような運用時の具体的な対応プロセスを想定し、想定する運用コストや運用者に必要なスキルなどについて導入事前に検討する必要があります。

例えば、後述する「発見したIT資産・脆弱性情報への対応プロセス」では担当部門とのやり取りが必要であるため、運用者にはコミュニケーションスキルやレポーティングスキルがあることが望ましいです。
また、発見したIT資産や脆弱性情報について、検出した情報を正しく読み解き、運用側で切り分けを行う必要があるため、ある程度の技術的なスキルを持った人材が必要となります。経済産業省が発行したASMのガイドラインの中でもASMツールの活用にあたって備えていると望ましい知識やスキルを詳細に定義しているので参考としてください。また、導入前にASMツールのトライアルを実施し、運用後の具体的なオペレーションを想定することで、実際の運用に必要となる運用者の人数や自組織での運用に必要となるスキルをより具体的に検討することができるため、実施を推奨します。

上記のような検討の上で、運用に必要となる対応人員のリソースを確保しましょう。検討の結果、自組織にて人員の確保が難しいことが分かった場合には、運用のアウトソースやASMサービスの利用なども検討すべきです。