Dept of Know Live! : Daniel Miessler 氏が語る「アセット管理プログラムを構築する際のポイント」
存在を把握していないものは守れない。これはセキュリティの基礎となる考えです。しかしアセットに対する包括的でリアルタイムなインベントリ管理に必要となる、強固な戦略やシステムを導入していない企業があまりに多いという現状があります。
私が先週ゲストで呼ばれたトークシリーズ「Dept of Know Live!」の最終回では、Kelly Shortridge 氏や Bea Hughes 氏とセキュリティにおいてアセット管理が重要である理由と、組織が従来のアプローチを改善する方法について話をしました。セッションはこちらから視聴できます。このブログ記事では、その際にお話しした内容の主なポイントをご紹介します。
1. 完璧を追求することに意味はない
アセット管理は大切ですが、完璧を追求し過ぎることもまた問題です。アセットとそれに関連する情報は日々変化しており、常に完璧かつ正確にインベントリを管理するという考えは非現実的です。私はどちらかというと、自分が納得できる結果を達成するのに役立つ一連の質問として、セキュリティプログラムを捉えています。いくつか例を挙げましょう。
自分たちの明日のビジネスに深刻な影響を与えかねないシナリオは何か?
自分たちのアセットでネット上に公開されているものは何か? ネット上に公開されており、脆弱性を抱えているアセットはないか? undefined
時代遅れのアセットはないか? 寿命が近づいているアセットはあるか?
こうした質問への正解を把握していないと、インシデント対応に苦労し、大惨事を引き起こしかねません。例えばインシデントが発生し、Python を使用している Web アプリケーションのインスタンスをすべて探し出す必要が突然生じると、作業担当者たちが慌てふためく事態になります。アセット管理プログラムを導入していれば、上記のような質問と回答を事前に行っているので、クエリを実行するだけで問題に対応できるのです。
2. 問題を取り上げる際に当事者を考慮する
Ellen Körbes 氏が前回の Dept of Know Live! で述べたように、当事者の優先順位や、彼らの望むことに配慮しなければ、何も達成できません。彼らに何を伝えるかだけでなく、伝える情報の流れや量をどのようにコントロールするかも検討する必要があります。開発チームやエンジニアチームがあまり時間を割くことができないと判断した場合は、自分たちのビジネスにとって最も重要な問題だけを伝えるようにします。すべての問題を担当チームに押し付けると、チームは圧倒されて無力感で一杯になり、セキュリティの問題に向き合うことをやめてしまうからです。
また、特定の役割に関連する脆弱性コンテキストを担当者別にダッシュボードを使って説明するという方法もあります。エンジニアチームを率いている方の場合、システム上でご自身はチームに関わるあらゆる脆弱性を把握できるようにし、チームの開発者たちにはそれぞれの担当に関わる脆弱性のみを確認できるようにするという手もあります。
3. アセット管理にはトップからの賛同が不可欠
強固なアセット管理プログラムの構築には、経営者や経営幹部たちの賛同が要ります。しかし彼らからの同意を得るには、論理よりも感情に訴える方が効果的かもしれません。過去に脆弱性の影響範囲を正確に把握せずパッチの適用を試みて苦労したので、セキュリティのリスクを見直し、同様の問題を今後避けるためにソリューションを導入したいと思っている人たちが社内に一定の人数いるのが、望ましいシチュエーションといえます。過去のインシデントの具体例を挙げ、脆弱性のあるインスタンスをすべて見つける作業に、アセット管理ができていればクエリを実行して30秒で済むところを、毎日8時間、合計4日間も費やさなければならなかったことを示せば、その大変さをより明確な形で実感を込めて伝えられるはずです。
4. サイバー保険の重要な要素としてのアセット管理の可能性
今後サイバー保険が、アセット管理に投資をする動機のひとつになると私は考えています。監査機関や保険会社が組織の成熟度と安定性を評価する際、アセット管理を判断基準のひとつとみなす時代がもうそこまで来ています。社内に専任のアセット管理者がいなかったり、ネットに公開されているすべてのアセットを確認できるリストが存在しない場合、アセットを適切に管理している組織に比べて高いリスクを抱えているという印象を保険会社に与え、保険料の値上げが必要であると見なされかねません。
結論
アセットに関する知識が豊富なほど、セキュリティ体制が強化されます。アセット管理の重要性は見落とされがちです。その大切さは、インシデントが実際に発生し、影響を受けた可能性のあるアセットを正確に把握できず、自信を持って問題解決にあたれない状況になり初めて認識されるのです。必要な知識がないとプロアクティブなセキュリティプログラムを作成できず、対応が後手に回ることになります。
詳細はオンデマンドでご覧ください。過去のエピソードはこちらでご覧になれます。「Dept of Know Live!」の全5回はオンデマンドで視聴可能ですので、お気に入りの回を何度も観ることができます。