企業のIT資産管理とは?資産管理の重要性とセキュリティリスクを回避する方法
はじめに
企業の情報システムにおいてセキュリティ対策やコンプライアンスの面で必要不可欠となる作業が、IT資産管理です。組織内にあるIT資産を適切に把握していないままでは、たとえ最新のセキュリティ対策を実施したとしても漏れが発生してしまいます。
この記事では、IT資産管理の重要性や、セキュリティリスクを回避するための対策をご紹介します。
この記事では、IT資産管理の重要性や、セキュリティリスクを回避するための対策をご紹介します。
企業のIT資産管理とは?
企業におけるIT資産管理とは、PCやサーバーなどのハードウェア、業務のためのソフトウェアおよびそのライセンス、関連機器などIT資産の状況を把握し、管理することです。IT資産管理は、新たなIT資産を購入・廃棄したいとき、セキュリティパッチを適用したいときやセキュリティ事故発生時の原因究明などで、各対策の土台となります。
IT資産管理の対象は多岐にわたりますが、おもに下記があります。
ハードウェア:PC、スマートフォン、タブレット端末、サーバー、
USBメモリ、ネットワーク関連機器、モニターなど
ソフトウェア:OS、アプリケーション、ウイルス対策ソフトなど
ライセンス:端末やソフトウェアを利用するためのライセンス
IT資産管理の対象
IT資産管理の対象は多岐にわたりますが、おもに下記があります。
ハードウェア:PC、スマートフォン、タブレット端末、サーバー、
USBメモリ、ネットワーク関連機器、モニターなど
ソフトウェア:OS、アプリケーション、ウイルス対策ソフトなど
ライセンス:端末やソフトウェアを利用するためのライセンス
IT資産管理はなぜ必要なのか
IT資産を管理すると、ITコストの削減やセキュリティ対策、コンプライアンスの遵守につなげることができます。
適正なITコスト管理
IT資産管理が適切に行われていないと、無駄なコストが発生する可能性があります。たとえば遊休資産となっていたPCがあるにもかかわらずその存在が知られていないために、新しいPCを購入してしまった、というケースも起こりうる話です。IT資産管理が適切に行われていれば、遊休資産の活用が検討できるため、ひいてはITコストを適正にすることにもつながります。
セキュリティ対策
IT資産管理を行うと、ソフトウェアやネットワーク機器の脆弱性を原因とするセキュリティ事故を回避できます。過去の企業におけるセキュリティ事故では、組織内の一部のPCがマルウェアに感染したことで、組織全体の情報システムに障害が起きたケースもありました。IT資産管理では、すべてのPCやサーバーに対してOSやソフトウェアが最新のバージョンにアップデートされているか、パッチが適用されているかどうかも管理します。したがって、OSやソフトウェアの脆弱性を狙った攻撃を回避することが可能です。
コンプライアンスの遵守
IT資産管理は、コンプライアンスの遵守にも関係してきます。たとえばソフトウェアの中には、「〇人まで利用可能」というライセンス方式をとっているものがあります。ライセンスとは、ソフトウェアの著作権者と利用者間で結ばれる使用許諾契約で、ソフトウェアの使用範囲が定められているものです。使用許諾範囲を超えたユーザー・デバイスでソフトウェアが利用された場合には契約違反となり、著作権侵害の恐れも発生します。IT資産管理でライセンスの利用状況の管理を行っておくと、ライセンス違反の可能性は低下します。
IT資産管理ツールやサービスの機能
IT資産管理を行う上では、管理を行いやすくするツールや、アウトソーシングとして利用できるサービスがあります。ツールやサービスによって違いはありますが、おもな機能は下記の通りです。
・台帳管理:社内の資産の名称と保管場所、利用状況などを台帳に記載する。
・インベントリ管理: PCやサーバー、ネットワーク機器などIT資産のハードウェア情報、
ソフトウェア情報、その他設定などの詳細データを管理する。
・セキュリティパッチ管理:各ハードウェアに対し、セキュリティパッチのバージョンを管理する。
・ライセンス管理:購入したソフトウェアのライセンス数や割当先、利用状況を管理する。
・デバイス制御:デバイスの動作を制御する。(例:USBメモリへのファイル不正コピーの禁止)
・禁止ソフトウェアの起動制御:危険性の高いソフトウェアが使用されようとしている場合などに
起動を制御する。
・操作ログの管理:ファイルの操作やダウンロード、その他操作の履歴をログとして残し管理する。
・台帳管理:社内の資産の名称と保管場所、利用状況などを台帳に記載する。
・インベントリ管理: PCやサーバー、ネットワーク機器などIT資産のハードウェア情報、
ソフトウェア情報、その他設定などの詳細データを管理する。
・セキュリティパッチ管理:各ハードウェアに対し、セキュリティパッチのバージョンを管理する。
・ライセンス管理:購入したソフトウェアのライセンス数や割当先、利用状況を管理する。
・デバイス制御:デバイスの動作を制御する。(例:USBメモリへのファイル不正コピーの禁止)
・禁止ソフトウェアの起動制御:危険性の高いソフトウェアが使用されようとしている場合などに
起動を制御する。
・操作ログの管理:ファイルの操作やダウンロード、その他操作の履歴をログとして残し管理する。
IT資産管理の課題
IT資産管理はメリットの大きさに反して、課題もあります。
IT資産管理が対象となるものはハードウェアからソフトウェア、ライセンスまで幅広く、操作ログなど細部にわたります。そのためIT資産管理は運用が煩雑になり、手間がかかります。煩雑なIT資産管理だと、万が一のトラブルが起こった場合には、どのIT資産が原因なのか突き止めるまでに時間がかかり、適切な対策がとれないことも考えられます。
また企業規模が大きくなれば、管理すべきIT資産の数も増加します。さらに昨今は多くの企業がテレワークを導入しているため、会社の外で働く機会が増えるとノートパソコンやスマートフォンなど、管理対象となるハードウェアは多くなるでしょう。
グループ会社や海外との協力会社など企業の拠点が複数ある場合には、資産数の多さとともに別の問題が発生します。拠点間に距離があるために、万が一のセキュリティ事故が発生したときにすぐに対応に駆けつけられず、初動対応が遅れる結果にもなりかねないのです。
IT資産管理は管理の範囲が幅広く、作業も煩雑であるため、すべてを自社で賄おうとすると多くの人手が必要となります。しかし日本ではそもそもIT人材が不足しており、さらにIT人材の多くがIT企業に所属しています。
IPA 独立行政法人 情報処理推進機構が行った調査によると、2020年では日本において人材の所属先がIT企業である割合は73.6%、IT企業以外である割合は26.4%でした。IT人材がIT企業で囲い込まれていて、特に非IT企業においてIT人材が行き渡っていないことがわかります。
出典:IPA「DX白書2023」
IT資産管理ツールを使用している場合でも、資産管理上の情報からリスク分析を行い、セキュリティ対策に活用するには人材が必要です。人材が不足している状況では、IT資産の情報をセキュリティ対策に活用できていない企業が多いかもしれません。
セキュリティリスクを回避するためには、IT資産管理に基づく情報収集だけでなく、セキュリティ対策支援も可能なツール・サービスの活用をおすすめします。
IT資産管理ツールはネットワークやネットワーク関連機器などの制御システムをスキャンして、脆弱性診断をします。この脆弱性診断をする際には実際のネットワークを使用するため、本来の業務に影響を及ぼす可能性があるのです。
スキャンの方法には、アクティブスキャンとパッシブスキャンがあります。アクティブスキャンを行うと得られる情報は比較的多いものの、ネットワークや関連機器に負荷がかかってしまい、システム停止やデータの欠損が起こる可能性があるため注意が必要です。
パッシブスキャンは、ネットワークへの影響が少ない状態でリスク診断が行えます。その分パッシブスキャンで得られるデータはアクティブスキャンより少なくなる可能性があります。ツールを使う際には、スキャンの方法や精度を調査しておくことが必要です。
対応範囲が広く運用が煩雑化する
IT資産管理が対象となるものはハードウェアからソフトウェア、ライセンスまで幅広く、操作ログなど細部にわたります。そのためIT資産管理は運用が煩雑になり、手間がかかります。煩雑なIT資産管理だと、万が一のトラブルが起こった場合には、どのIT資産が原因なのか突き止めるまでに時間がかかり、適切な対策がとれないことも考えられます。
また企業規模が大きくなれば、管理すべきIT資産の数も増加します。さらに昨今は多くの企業がテレワークを導入しているため、会社の外で働く機会が増えるとノートパソコンやスマートフォンなど、管理対象となるハードウェアは多くなるでしょう。
グループ会社や海外との協力会社など企業の拠点が複数ある場合には、資産数の多さとともに別の問題が発生します。拠点間に距離があるために、万が一のセキュリティ事故が発生したときにすぐに対応に駆けつけられず、初動対応が遅れる結果にもなりかねないのです。
IT人材が不足している
IT資産管理は管理の範囲が幅広く、作業も煩雑であるため、すべてを自社で賄おうとすると多くの人手が必要となります。しかし日本ではそもそもIT人材が不足しており、さらにIT人材の多くがIT企業に所属しています。
IPA 独立行政法人 情報処理推進機構が行った調査によると、2020年では日本において人材の所属先がIT企業である割合は73.6%、IT企業以外である割合は26.4%でした。IT人材がIT企業で囲い込まれていて、特に非IT企業においてIT人材が行き渡っていないことがわかります。
出典:IPA「DX白書2023」
IT資産管理ツールを使用している場合でも、資産管理上の情報からリスク分析を行い、セキュリティ対策に活用するには人材が必要です。人材が不足している状況では、IT資産の情報をセキュリティ対策に活用できていない企業が多いかもしれません。
セキュリティリスクを回避するためには、IT資産管理に基づく情報収集だけでなく、セキュリティ対策支援も可能なツール・サービスの活用をおすすめします。
制御システムへの影響が懸念される
IT資産管理ツールはネットワークやネットワーク関連機器などの制御システムをスキャンして、脆弱性診断をします。この脆弱性診断をする際には実際のネットワークを使用するため、本来の業務に影響を及ぼす可能性があるのです。
スキャンの方法には、アクティブスキャンとパッシブスキャンがあります。アクティブスキャンを行うと得られる情報は比較的多いものの、ネットワークや関連機器に負荷がかかってしまい、システム停止やデータの欠損が起こる可能性があるため注意が必要です。
パッシブスキャンは、ネットワークへの影響が少ない状態でリスク診断が行えます。その分パッシブスキャンで得られるデータはアクティブスキャンより少なくなる可能性があります。ツールを使う際には、スキャンの方法や精度を調査しておくことが必要です。
IT資産管理やセキュリティ施策についてのご相談はアクセリアへ
アクセリアでは、IT資産管理・セキュリティリスクの分析が可能な「パケットキャプチャ型セキュリティレポートサービス」を提供しています。
IT資産を把握でき、脅威の検出や通信ログの分析が可能。実際にネットワークで流れている通信から、セキュリティリスクを洗い出します。スキャンにはシステムへの影響が少ないパッシブスキャンを採用し、レポートご提出後はセキュリティ対策の実装・運用・効果検証までの支援体制があります。IT資産管理だけでなく、セキュリティ対策全般で評価サイクルをサポートします。
詳しくはアクセリアまでお問い合わせください。
IT資産を把握でき、脅威の検出や通信ログの分析が可能。実際にネットワークで流れている通信から、セキュリティリスクを洗い出します。スキャンにはシステムへの影響が少ないパッシブスキャンを採用し、レポートご提出後はセキュリティ対策の実装・運用・効果検証までの支援体制があります。IT資産管理だけでなく、セキュリティ対策全般で評価サイクルをサポートします。
詳しくはアクセリアまでお問い合わせください。
まとめ
IT資産管理について、利点と課題をご紹介しました。IT資産管理は企業規模に比例して業務が増加しますが、専門家と協力すればアウトソーシングも可能となる作業です。人材不足に悩んでいる場合には、各事業者のIT資産管理サービスを比較しながらアウトソーシングを検討してみてください。
アクセリア
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service