IT資産インベントリとは

資産インベントリ管理は、ITチームまたはサイバーセキュリティ チームのどちらに所属しているかによって、意味が大きく異なります。この違いを理解すれば、サイバーセキュリティ チームが特有の種類のインベントリ管理を行う必要がある理由と、資産管理をリアルタイムで実施することが重要である理由がわかりやすくなります。

IT資産インベントリとは

ITチームが資産インベントリを管理する目的は、コスト効率の高い効果的な方法で組織に必要なITリソースを提供することです。このインベントリに保存される資産データは、場所、ユーザー、メンテナンスとサポート、ドキュメント、パフォーマンス、ライセンス、コンプライアンス、コスト、ライフサイクルの段階などです。IT資産には以下のものがあります。

• ハードウェア - サーバ、ラップトップ、スマートフォン、プリンタなど
• ソフトウェア インベントリ - ソフトウェア、Software as a Service (SaaS)、クラウドな

この種類のインベントリと、セキュリティ チームが所有するインベントリの間には重複する部分もありますが、セキュリティ目的の監査で重視すべき点は、脆弱性と攻撃のリスクがある、インターネット経由で組織に接続されているすべての資産インベントリを優先することです。これには、ハードウェア、ソフトウェア、デバイス、データ、クラウド環境、IoTデバイス、産業向けIoT (IIoT)が含まれます。つまり、オンプレミス、クラウド内、または同一の場所に配置されている、世界のあらゆる場所にあるものです。

IT資産インベントリが重要である理由

これが重要である理由を簡単に説明すれば、攻撃者が脆弱性を見つける前に、SecOpsチームが脆弱性を見つけて修正する必要があるからです。これらの脆弱性を漏れなく迅速に発見することは簡単ではありません。脅威は増殖しながら進化し、最新のアタックサーフェスは無秩序に拡大し、複雑化しています。多くの資産が古くなっているか不適切に設定されており、従業員は意図せずシャドーITを作成しています。さらに、サードパーティ ベンダーが所有する資産が組織側に接続して、組織に脅威をもたらす可能性もあります。問題は山積みです。

組織が所有しているすべての資産について知っていると思い込むだけでも危険です。Cortex^® Xpanse^™の利用者の場合、導入前と比べて検出できた資産の数が平均で35%増加しました。ESGによる調査では、資産管理プロセスのインベントリの完成度が75%を超えていると考えている組織は、わずか28%でした。

資産管理に変革が必要である理由

従来の資産管理は手動のインベントリに基づいており、このインベントリは毎月または四半期ごとに実施される特定時点の監査として作成されていました。しかし、この方式には大きな欠点があります。作成には時間と労力がかかり、さらに悪いことに、その労力を費やして作成されるインベントリはそもそも間違いが多く、すぐに古くなってしまいます。

このことが特に危険である理由は、セキュリティ チームが使用するインベントリによってほかのプロセスの精度が決まるためです。脆弱性スキャナやアンチウイルス/アンチマルウェア スキャナは、インベントリ内の資産のみをスキャンするため、把握できていない資産があるとリスクや脆弱性が未発見のままになります。さらに、侵入テストなど、レッド チームの活動にはすべての資産に関して信頼できる唯一の情報源が必要であるため、レッド チームにスコーピングの問題が生じます。

最新のアタックサーフェスは絶え間なく変化しており、日増しに複雑化しているため、古くなった資産インベントリや不完全な資産インベントリに基づいて作業することは本質的に危険です。この問題は重大なジレンマを引き起こします。存在すら知らないものを、どのように保護すればよいのでしょうか。

資産管理を実施する方法

最新のアタックサーフェスの問題を考えると、資産がハードウェアまたはソフトウェアのどちらであろうと、オンプレミスまたはクラウド内のどの場所にあっても、あらゆるインターネット接続の資産を継続的に検出し、監視することが、資産の追跡と包括的なインベントリの維持のために重要であることが明らかになります。この資産管理のアプローチにより、資産の位置に関係なく、所有者がパートナーやベンダーであっても、資産に関して信頼できる唯一の情報源が得られます。

また、セキュリティ チームは、すべてのアタックサーフェス管理(ASM)ソフトウェアや資産管理ソフトウェアの質が同じではないことも考慮する必要があります。質の高いASMソリューションは、組織のコンプライアンスを維持するために役立ちます。また、攻撃の防御を支援してコストを削減し、アタックサーフェスのリスクの検出と緩和に必要な人間の作業を減らしてSecOpsをさらに効率化します。

ASMソリューションは、脆弱性を検出して、必要なコンテキスト データを資産の所有者と問題修復の責任者に提供できなければなりません。さらに効率化を図るには、これらのアラートとデータをセキュリティ オーケストレーション、自動化、レスポンス(SOAR)ツールに容易に転送して、修復作業を自動化する機能が必要です。

インベントリを完全なものにするために、外部からの資産スキャンを実行する必要があります。この視点が重要である理由としては、ほかの資産管理ツールやソフトウェアからのデータ提供に依存せずにすべての資産を検出できることに加えて、これがアタックサーフェスに対する攻撃者の視点であることも挙げられます。

脅威アクターは、インターネットのスキャンを自動化して、脆弱な資産を1時間足らずで見つけることができます。したがって、セキュリティ チームは、そのスピードに負けない迅速さでインベントリを管理する必要があります。最新のアタックサーフェス管理はそのように高い効率と効果を発揮できるため、SecOpsはクラウド内でも、サプライヤや合併/買収された企業が保有する環境でも、アタックサーフェスのリスクを検出して評価し、緩和できます。ASMはリスクの優先度設定機能も備えているため、チームは最も重大なリスクに集中できます。

防御側に資産インベントリが必要な理由

完全な最新の資産インベントリが不可欠である理由はほかにもあります。攻撃者は侵入口を絶え間なく探し回っており、その作業の自動化も導入しています。攻撃者の仕事は素早く、1時間もあればインターネット全体をスキャンして脆弱なシステムを発見できます。

また、共通脆弱性識別子(CVE)の公表も利用しています。CVEの公表後、通常は15分から60分以内にその脆弱性を検索し、さらに早い時点で始めることもあります。たとえば、2021年3月2日にMicrosoftが公表したMicrosoft Exchange ServerとOutlook Web Access (OWA)の脆弱性の場合、公開から5分以内に脆弱性のスキャンが始まりました。

Cortex Xpanseで資産インベントリを管理する方法

Xpanseはインターネット全体を継続的にスキャンして、包括的な資産インベントリを提供します。これにより、SecOpsが把握できていない資産を発見し、アタックサーフェスのすべてのリスクを監視して評価できます。

Cortex Xpanseによって検出される脆弱性には、以下のものがあります。

• リモート アクセス サービス(例: RDP)。
• 安全でないファイル共有/交換サービス(例: SMB、NetBIOS)。
• 公開済みの脆弱性を用いたエクスプロイト攻撃に弱い、パッチ未適応のシステムや、保守期限(EOL)を迎えたシステム。
• IT管理者のシステム ポータル。
• 機密情報を扱うビジネス運用アプリケーション(例: Jenkins、Grafana、Tableau)。
• 暗号化されていないログインと、テキスト プロトコル(例: Telnet、SMTP、FTP)。
• 直接公開されるIoT(モノのインターネット)デバイス。
• 強度が低く、安全でない/旧式の暗号。
• 公開されている開発インフラ。
• 安全でない/放置されているマーケティング ポータル。
• 重大なCVEの公表が行われたソフトウェア バージョンを実行している資産。

Xpanseは、ほかのASMにはない追加機能も備えています。会社のポリシーに従って設定することで、不要なアラートを減らすことができます。統合と双方向APIを使った運用化を導入し、内部と外部の両方のデータを収集して資産をより詳細に把握します。また、当日に報道された事件に従ってフィンガープリントやポリシーを迅速に作成します。

さらに、XpanseはCortex XSOARなどのツールと統合してアラートの処理を自動化します。これにより、組織は回復力の向上につながるプロセスを構築でき、今後のリスクと脆弱性の処理が容易になります。

資産インベントリとASMについては、さらに詳しくリサーチを続けることをお勧めします。学習を始めるにあたって、まずは以下のリソースをご活用ください。

• その他のXpanseとASMに関するコンテンツ