企業をサイバーセキュリティのリスクから守る『OODAセキュリティ』 » 診断で終わりではないサイバーセキュリティリスクへの対策OODAループ » 【Observe(観察)】
資産のインベントリを作成して管理する

【Observe(観察)】
資産のインベントリを作成して管理する

ここではサイバーセキュリティリスクの対策OODAループObserve(観察)で行うべきインベントリ管理について解説。実施することでどんな効果を生み出すのかご紹介します。

目次

Observe(観察)におけるインベントリ管理

インベントリ管理とはIT資産の目録や台帳を作成して一元管理する仕組みのことを言います。会計業務では棚卸資産(在庫)を計算することがありますが、この考え方をセキュリティ管理にも応用しようというわけです。

リスク分析においても資産ベースの情報資産の洗い出しを行いますが、インベントリ管理ではハードウェア、ソフトウェアはもちろんライセンスの保有数や期限、設置場所、利用部履歴などの情報まで事細かく管理します。

インベントリ管理がなぜ必要なのか

セキュリティ対策でインベントリ管理が重視されるのは、OSやファームウェアがウイルス対策ソフトのバージョンなどが最新の状態になっているかが可視化できるからです。システムの脆弱性はセキュリティの穴を放置することで大きくなります。

脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る

インベントリ管理を行うことで、遅れることなく各種デバイスの更新作業を行ったり、セキュリティリスクの高い状態のハードウェア、ソフトウェアなどを検出し排除することも可能になります。またライセンスの不正使用も防止できます。

具体的な手法およびすべきこと

情報機器管理

社内で保有しているパソコンやサーバー、プリンタ、USBメモリなどの情報機器の保管場所や利用状況を記録するなど、ハードウェアに注目し状況を把握することを情報機器管理と言います。

こうした管理をしっかり行うことで、情報機器を外部に勝手に持ち出したり紛失するなどセキュリティの人為的ミス防止につなぐことができます。

IT資産管理

インベントリ管理の中心となる部分で、ハードウェアはもちろんソフトウェアやライセンスなど無形資産を含む管理を行います。こうした台帳管理はExcelなどを使えば簡易的な管理はできますが、管理項目が増えると更新作業が困難になります。

近年はインベントリ管理専用ツールもあるため、それを利用した方が効率的にできます。

契約管理

企業や組織が使用している情報機器の中にはリースやレンタルで使用しているものも存在します。それらは会計上は資産として計上されませんが、セキュリティ上のリスクは他の情報機器・ソフトウェアと同様にあります。

そのためそれらも含む契約管理を行う必要があります。旧型の機器は最新型に入れ替えるなど契約の見直しも必要です。

イメージ
攻撃者がデータベースに対して
悪意のある命令を実行できる

インベントリ管理とは、組織内のIT資産に関するすべてのデータを一元的に管理し、可視化する取り組みです。近年ではインベントリ一覧の自動作成ツールの利用などで管理が可能となりましたが、高機能なツールは費用も高くなる傾向があります。そのため、自社の管理方針を決め、自社に適するインベントリ管理ツールの選定をすることが重要です。
インベントリ管理ツールを使用し、資産の状況を確認しましょう。例えば、資産の利用状況や使用頻度を把握することで、無駄なく資産を配分をすることができます。また、資産の種類、OSやソフトウェアなどのバージョン、アップデート状況など、更新履歴を自動で取得・更新する機能をもつツールもあるので、活用しましょう。

次にすべきこと

インベントリ管理で重要なことは継続性です。社内の情報機器やソフトウェア、ライセンスなどの情報は買い替えや更新、廃棄などにより変わります。バージョンアップなどに関しては、常に最新にしておくことがセキュリティ向上のために求められます。

【Orient(状況判断)】
脆弱性を特定する

取材協力
株式会社アルファネット
多種多様な企業の状況に合わせ
セキュリティ対策を根本から支える

当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。

大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。

巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。

提供するサイバー
セキュリティサービス

ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス

アルファネットの公式HPから
サイバーセキュリティリスクの対策について相談する

電話で問い合わせる