ASM導入後に確認したいポイント #
ASMは導入するだけではなく運用することで価値を発揮します。
自組織でのASM導入目的を満たせているか(第3章で把握した課題を解決できているか)が重要ですが、せっかくASMに取り組むのであれば、うまく活用できているかを確認するのはいかがでしょうか。
以下の表にASMの効果測定時に確認したいポイントを記載します。
いずれの観点も運用プロセスにおいて効果が出ているかを確認するため、導入後、ある程度の期間が経過した後に確認してください。
| 番号 | 観点 | 好ましい状態 | 懸念がある状態 |
|---|---|---|---|
| 1 | IT資産管理プロセスへのASM組み込み | 既存のプロセスとASMを組み合わせられている (ASMで発見された資産を管理台帳に取り込み、そこから更にASMによるアタックサーフェスの検出プロセスを実行している) | 既存のプロセスとASMが独立している (ASMで発見された問題には対処するが、資産管理の仕組みなどと組み合わせられていない) |
| 2 | IT資産の把握 | ASMのプロセスが回ると共に、未知のIT資産の検出数が収束する (既存の資産管理方法+ASMで十分な管理を実現) | ASMのプロセスを回しても、想定外に未知のIT資産が発見され続ける (ガバナンスの不足により無法地帯となってしまっている可能性) |
| 3 | リスクへの対応 | 緊急対応を要する脆弱性公表時などに、即座に影響有無の調査や対応指示が可能 | 何らかの理由で左記の対応ができない (アタックサーフェスの管理に必要な情報が不足している可能性) |
ASMを運用することで得られる価値は、上記の「好ましい状態」を達成して、外部(インターネット)から見た自組織の安全を保つことです、
一見すると、番号2は「懸念がある状態」の方がASMの価値を実感できると思う方が多いと思います。確かにASMツールやサービスの実行結果として、普段気付けなかった問題に気付けるのは価値があることです。しかし、ASMのプロセスを回して改善に取り組んでいるのに、未知のIT資産や対応が必要なリスクが発見され続けるのは、組織としてのガバナンスが追いていない無法地帯状態になってしまっていると考えられるため「懸念がある状態」としています。
ASM導入による価値を得られやすい状態にするためにも、単に導入・運用するだけでなく、既存のIT資産管理プロセスと組み合わせたり、ASMの結果を踏まえて組織としてのガバナンスを見直したりすることをお勧めします。