本当にASMが必要ですか?

本当にASMが必要ですか? #

課題/要件を洗い出す過程で気づかれたかもしれませんが、課題/要件によっては従来の管理施策の見直しや強化をするで十分に解決できることがあります。

例えばASMで解決したい課題が、以下のような場合です。

  • IT資産数が多く、台帳管理が難しい
  • IT資産が各部門で独自に取得されており、管理・把握できていない
  • IT資産数が多く、コスト的に脆弱性診断ができない

上記についてASMツールを導入することで解決しようとすると、従来の管理施策(IT資産台帳と脆弱性診断)と比べて、優れている点と劣っている点があります。

例えば、ASMツールが優れている点としては、一連のプロセスとして広範囲にIT資産を検出し、リスク評価まで行う点があります。

劣っている点としては、ASMツールによるIT資産の検出には限界があることです。完全に網羅してIT資産を検出できるわけではないため、従来の管理施策と比べて、ASMツールでの検出結果は漏れが多い状態となり得ます。加えて、ASMツールは、誤検知(自組織とは関係ないIT資産)を含む多くの既知・未知のIT資産が発見されるため、運用するために、技術(結果の理解)、コミュニケーション(複数部門や外部機関との調整)が可能な人材をアサインし、運用体制を整える必要があります。未知の資産が発見された場合には、担当部門や担当者を見つける必要があるために従来の管理施策よりも工数やリソースを要することもあります。

また、リスク評価についても、脆弱性診断より高い精度で脆弱性を検出できるわけでもありません。一部のASMツールでは高精度での脆弱性検出を謳っているがスキャン内容の攻撃性が高く、リスク評価前に調整が必要になるケースもあり、運用負荷が高まってしまうことが想定されます。

そのため、既存の管理施策(従来の管理施策)に改善の余地があるならば、既存の管理施策を強化することも一つの選択肢として適切です。 以下のような解決策が考えられます。

課題解決策
IT資産数が多く、台帳管理が難しいASMではなく組織内部のシステム等から同様の情報取得を試みることが可能です。例えば、DNSが一元管理されており、情報に容易にアクセス可能であれば、IT資産の一覧を作成できます。
IT資産が各部門で独自に取得されており、管理・把握できていないIT資産管理のガバナンスの見直し(フロー、ポリシーの再整備)により対応可能です。ASMを導入するとしても、無法地帯にならないように導入と並行して整備するべきです。
IT資産数が多く、コスト的に脆弱性診断ができないツールベースの診断を内製化して最低限でも脆弱性診断を実施する、CSPMなど脆弱性診断とは別の取り組みで設定やポリシーの不備を発見し安全性を保つなどの代替案も考えられます。

上記はあくまで例ですが、組織で何が課題となっており、既存の管理施策ではなぜ解決できないのかを整理してみましょう。
整理することで、阻害要因や制約事項が明確になるかもしれません。

なお、ASMの運用を想定した時にASMツールでは不十分な点がASMサービスであれば解消されることもあるため、ASMツール、ASMサービス、従来の管理施策の改善という選択肢があることを念頭に、導入是非や要件を検討することが重要です。