セキュリティ対策の観点からみたIT資産管理の重要性

これまでのIT資産管理関連サービスの提供経験から

当法人ではIT資産管理関連のサービスとして、IT資産管理（ITAM）・ソフトウェア資産管理（SAM）成熟度評価やソフトウェアライセンス監査等を提供しています。
これまでそれらのサービスを提供する中で、ソフトウェアライセンスが不足していた企業と不足していなかった企業の割合を以下の図に示しました。

図１：ライセンス不足割合

図1の通り、ライセンスが不足していた企業は全体の7割を占めています。またそれ以外の企業も、ライセンスの数に不足はなかったにせよ、余分にライセンスを購入しているなど、適切にIT資産の管理ができているとはいえない企業が大半を占めました。私たちはこうした経験をもとに、自社のIT資産を適切に管理できている日本企業はごく少数であると考えています。
ではIT資産を適切に管理できていない企業にとって、どのようなセキュリティ上のリスクがあるのでしょうか。代表的なリスクを4つのカテゴリに分類して紹介します。

リスク1：サポート切れソフトウェアの使用に伴うリスク

2017年5月に発生した「WannaCry」による大規模なサイバー攻撃は記憶に新しいものです。「WannaCry」はMicrosoft Windowsを標的としたワーム型ランサムウェアで、病院や鉄道などの公共機関、日本でも大手企業の被害が確認されています。既にサポートが終了していたWindows XP等に対しても、臨時でセキュリティパッチがリリースされるなどの異例の対応が取られました。このサイバー攻撃は、発生以前にリリースされていたセキュリティパッチを適用していれば防げていたものでした。IT資産管理には、インストールソフトウェアだけでなく、こうしたセキュリティパッチの適用状況を管理する目的もあります。IT資産管理のプロセスが成熟したレベルで運用されていれば、タイムリーにセキュリティパッチの適用がなされ、被害は未然に防げていたかもしれません。また今回のケースでは、サポート終了製品に対する臨時のセキュリティパッチのリリースが行われましたが、こうした対応は極めて異例であるため、常日頃から製品のライフサイクルを把握し、サポート終了製品の利用中止を検討しておく必要があります。セキュリティパッチのリリース状況や製品のサポート期間については各製品ベンダーのホームページなどで確認することができます。

リスク2：アンチウィルスソフトウェアの管理に伴うリスク

近年のサイバー攻撃は、標的型攻撃と呼ばれる個々の企業向けにカスタマイズされたものとなり、その手口も日々巧妙さを増しています。またこれらのウィルスは、短時間で多くの亜種に分化し、パターンマッチによる検出が困難なものが多く、未知の脅威とみなすべきものかもしれません。今日、未知の脅威に対してアンチウィルスソフトウェアのみでIT資産を保護することは難しくなりつつあります。しかし、アンチウィルスソフトウェアはIT資産を保護するための最低限の防衛策として、現在においても引き続き重要であり、以下の二つの点については対応しておくことが望まれます。
一つは、自社のIT資産に対するアンチウィルスソフトウェアの網羅的な導入です。せっかくセキュリティ対策を施しても、その対象から漏れているIT資産が一つでも存在する限り、その企業には常にセキュリティホールが存在することになります。セキュリティ対策の一環としてアンチウィルスソフトウェアを利用するにあたっては、網羅的に導入されているかどうかをIT資産管理の中で確認することが重要になります。私たちの経験では、IT資産を網羅的に把握できていないために、アンチウィルスソフトウェアがインストールされていない端末が存在するケースが散見されます。
そしてもう一つは、パターンファイルのバージョン管理です。たとえ網羅的にアンチウィルスソフトウェアが導入されていたとしても、パターンファイルが最新状態に保たれていなければ意味がありません。上述の通り、サイバー攻撃の手口は日々変化しています。アンチウィルスソフトウェアのベンダーでは、こうした新たに発生した脅威に対応し、定期的にパターンファイルの更新・配信を実施しています。最新のサイバー攻撃に対応するためには、IT資産管理の中でアンチウィルスソフトウェアの導入だけでなく、パターンファイルのバージョン管理まで行うことが必要となります。
上述の二つの点に対応した、最新のアンチウィルスソフトウェアが自社のIT資産に網羅的に導入されている状況は、いわば既知の脅威に対応できている環境といえます。自社のIT資産を把握し、既知の脅威に対応できる環境を構築することが、未知の脅威への対応のスタートラインとなります。

リスク3：ドメイン管理されていないことに伴うリスク

上述の通り、IT資産管理のポイントは網羅的な管理にあります。セキュリティポリシーの適用やインターネットの閲覧制限、未承認のソフトウェアのインストール制限など、ドメイン管理ができていれば、全てのIT資産に一括して各ポリシーを適用することが可能になります。ドメイン管理にあたっては、一部用途や制約によってドメインに参加できないIT資産も含め、全てのIT資産を網羅的に管理することが望まれます。ドメインに参加できないIT資産については、別途マニュアルでポリシーに準拠していることを確認するなど、追加の管理を実施する必要があります。

リスク4：シャドウITに伴うリスク

シャドウITとは、企業で使われる情報システムや情報機器、ソフトウェア、ネットサービスなどのうち、会社側の承認なく従業員が勝手に持ち込んで利用しているものや、各部門が独自に導入し、情報システム部門の関与や管理が行き届いていない情報システムを指します。シャドウITの代表的なパターンとそのリスクとしては、以下の４つが想定されます。

• 私物のITデバイスの利用
  私物のITデバイス（PC、スマートフォン、タブレット型端末等）に、社内の機密情報が存在し、そこから情報漏えいが発生してしまうリスク
  
• 未許可のクラウド・ストレージサービスの利用
  未許可のクラウド、ファイル共有、ストレージサービス等を利用し、ウェブサイト経由で社内の機密情報を漏えいしてしまうリスク
  
• 未許可のアプリやプログラムの利用
  未許可のアプリやプログラムを利用し、社内の機密情報を漏えいしてしまうリスク
  
• ソーシャルサイトの利用
  ソーシャルサイトを利用し、社内の機密情報を漏えいしてしまうリスク
  

シャドウITの網羅的な把握と対応には、ツールなどの導入だけではなく、利用ポリシーや運用ルール作りなどが必要です。その中には、契約管理、懲戒規定の作成、教育・啓発の実施、インシデント発生時の対応方法の検討、セルフチェックや監査の実施等も含まれます。

ここで挙げたリスクはほんの一部ですが、セキュリティ対策にあたってIT資産の把握がいかに重要であるかをご理解いただけたことと思います。リスクへの対応に、会社の規模は関係ありません。「うちは小さい会社だから…」、「うちにサイバー攻撃があるはずがない…」と考えていると、知らぬ間に攻撃を受け、気づいた時には社会的信用を失い、莫大な損害を被る羽目に陥ることになりかねません。その対策として、まずは自社のIT資産の把握をすることから始めてみてはいかがでしょうか。

PwCのIT資産管理支援サービスについて

IT資産管理はセキュリティ対策のみならず、コンプライアンス対応やコスト削減にも寄与します。また、以前のコラムでも紹介させていただいた通り、IT資産管理はIT部門の成熟度を向上させるためのキーとなる取り組みのひとつでもあります。（※2）

PwCあらた有限責任監査法人では、IT資産管理が十分でないとお考えの企業やIT資産管理の導入を検討されている企業向けに、IT資産管理の成熟度評価サービスを提供しています。
また、技術的対策、物理的対策、人的対策、組織・ガバナンス上の対策の総合的な評価を目的として、これらの観点を網羅した独自のサイバーセキュリティアセスメントも提供しています。この独自のサイバーセキュリティアセスメントでは、NIST cyber security frame work ver1.0（※3）、経済産業省 サイバーセキュリティ経営ガイドライン（※4）、ISO/IEC 27001（※5）、SANS The Critical Security Controls（※1）など、それぞれ特色のある指針から重複しない観点をアセスメントの項目として抽出し、評価を行います。

※1 [ CIS Controls ] / CIS Controls及びFirst 5 CIS Controls
※2 [コラム　IT資産管理‐企業を取り巻くIT環境のパラダイムシフトとIT資産管理]
※3 [CYBERSECURITY FRAMEWORK] / cyber security frame work ver1.0
※4 [経済産業省] / サイバーセキュリティ経営ガイドライン
※5 [日本適合性認定協会] / ISO/IEC 27001