第2章. 資産管理と文書化

全体として、資産管理はしばしば情報セキュリティ関数とみなされない。しかし、資産管理プロセスが成熟していないと、情報セキュリティ・プログラムが危険にさらされる可能性があることが発見された。資産管理がない場合、次のような事象（）にどのように対処するかを考えてみよう（もし、これらの事象が不安を煽るようであれば、定期的に実施する卓上演習のリストに追加することをお勧めする）：

1. 時代遅れの公衆向けシステムが露出していることがソーシャルメディアで報告されている。

2. ランサムウェアは、既知の脆弱性を悪用して内部ネットワークに拡散している。

3. 経理部門から、クラウドへの支出が大幅に増加しているとの報告があった。

4. 従業員からデバイスが盗まれたと報告があった。

5. あなたの会社の重要な人事記録すべてがネット上にダンプされた。

もしあなたの会社に信頼できる資産情報がなければ、これらのシナリオを解決するのはかなり難しくなる。というのも、所有者やシステム管理者の詳細がわからなければ、シナリオ1の被害拡大を防ぐためにシステムにパッチを当てるなど、適切な措置を取るために誰に連絡すればよいのかわからないからだ。同様に、ランサムウェア攻撃の場合、すべての企業資産にインストールされているアプリケーションのバージョンのインベントリがなければ、どの資産が影響を受けているのか、どのようにランサムウェアの拡散を食い止めるのかを判断することは難しい。

特にオーケストレーションされたコンテナ環境では、悪意のあるアクターがクリプトマイ ナーをデプロイしてシステムを悪用する可能性がある。盗難にあった従業員用デバイスの場合、資産管理プロセスと正確なインベントリがなければ、デバイスが暗号化されていることを検証したり、リモートでワイプしたり、法執行機関にシリアル番号を提供したりすることさえ難しくなる。

最後のシナリオについては、特に大規模な組織では、人事システムのアーキテクチャが複雑になる可能性がある。適切な文書化と資産情報がなければ、人事データが企業全体をどのように流れ、誰がデータにアクセスし、人事エコシステムがどのように相互接続されているかを理解することは不可能かもしれない。

情報セキュリティ・インシデントに対処し、組織への損害を防止するためには、強固な資産管理プロセス、ポリシー、テクノロジーを導入することが極めて重要である。最もカバーするのが難しい分野の1つではあるが、適切な資産管理なくして環境を最大限に保護することはできない。未知の資産を保護することは不可能であり、セキュリティ・インシデントのトラブルシューティングや調査において大きな欠点となり得る。多くの大規模で古いネットワークでは、接続されているすべてのデバイスやユーザがインストールしたすべてのソフトウェアを完全に把握することは不可能に思えるかもしれない。しかし、適切な組織とセキュリティ管理があれば、資産管理の負担は管理可能になる。

本章の目的は、包括的な計画の作成を支援することである。既存の資産管理手法がない場合、本章の目的は、一から資産管理手法を確立するよう導くことである。すでにシステムを導入している場合、この章は、現在のプロセスを評価し、ギャップを特定して対処し、批判的思考を刺激することを目的とする。また、資産を特定し、情報を統合し、アクセスしやすく問題解決しやすいように文書化するための最適なメソッドについても説明する。最終的に、資産管理の2つの重要な原則は、信頼できる情報源を維持することと、資産管理は一過性のプロジェクトではなく、継続的なプロセスであることを理解することである。 ...