Overview
IT資産管理(IT Asset Management:ITAM)とは、組織が保有するすべてのIT資産(ハードウェア、ソフトウェア、ネットワーク機器、クラウドサービスなど)のライフサイクル全体を体系的に管理するプロセスです。資産の調達・導入から運用・保守、そして廃棄に至るまで、各段階における状態を正確に把握し、セキュリティリスクの低減とコストの最適化を実現します。
セキュリティの観点からIT資産管理は極めて重要です。組織内に存在するすべてのデバイスやソフトウェアを把握していなければ、シャドーIT(IT部門が認知していないデバイスやサービス)が増加し、パッチ未適用の端末や脆弱なソフトウェアが攻撃の入口となります。CIS Controls(Center for Internet Security)においても、資産のインベントリ管理は最優先事項として位置付けられています。
現代のIT環境では、リモートワークの普及やクラウドサービスの活用により、管理すべき資産の範囲が大幅に拡大しています。物理的なオフィス内のPCだけでなく、従業員の自宅にあるリモート端末、SaaS契約、仮想マシン、コンテナ、IoTデバイスなど、多種多様な資産を統合的に管理するCMDB(Configuration Management Database:構成管理データベース)の構築と運用が不可欠となっています。
Details
ハードウェア資産管理
ハードウェア資産管理は、PC、サーバー、モバイルデバイス、ネットワーク機器、周辺機器など、組織が保有するすべての物理的なIT機器を管理する取り組みです。各資産には一意の識別番号(資産タグ)を付与し、所在地、利用者、スペック、購入日、保証期間、減価償却状況などの情報をデータベースで一元管理します。
ハードウェア資産の管理が不十分だと、紛失・盗難時にデータ漏洩のリスクが高まります。また、EOL(End of Life)を迎えた機器がセキュリティアップデートを受けられず、脆弱性を放置したまま運用され続けるケースも多発しています。定期的な棚卸しによる実査と台帳の照合が重要です。
ソフトウェア資産管理(SAM)
ソフトウェア資産管理(Software Asset Management:SAM)は、組織内で使用されているすべてのソフトウェアのライセンス、バージョン、インストール状況を管理するプロセスです。ライセンスコンプライアンスの確保、不正ソフトウェアの検出、脆弱性のあるバージョンの特定を目的としています。
未承認のソフトウェアがインストールされている端末は、マルウェア感染や情報漏洩の温床となります。SAMツールを活用して、ソフトウェアホワイトリストに登録されていないアプリケーションを自動検出し、ポリシー違反として対処する仕組みが必要です。また、SaaSの利用状況も含めたクラウドベースのライセンス管理が求められています。
資産ディスカバリーと自動検出
IT資産管理の精度を高めるためには、ネットワーク上の資産を自動的に検出する資産ディスカバリー機能が不可欠です。エージェント型(端末にソフトウェアをインストール)とエージェントレス型(ネットワークスキャンやSNMP、WMIなどで情報取得)の2つのアプローチがあります。
エージェント型は詳細な情報収集が可能ですが、すべての端末への導入が困難な場合があります。エージェントレス型はネットワークに接続されたデバイスを広範に検出できますが、情報の深度には限界があります。多くの組織ではこの2つを組み合わせたハイブリッドアプローチを採用しています。
ライフサイクル管理と廃棄プロセス
IT資産のライフサイクル管理では、調達→導入→運用→保守→廃棄の各フェーズにおけるセキュリティ要件を定義します。特に廃棄フェーズでは、ハードディスクやSSDに残存するデータの完全消去(データサニタイゼーション)が重要です。
NIST SP 800-88に基づくデータ消去手順(Clear、Purge、Destroy)を適用し、消去証明書を発行して廃棄記録を保管します。適切な廃棄プロセスを経ずに中古市場に流出した機器からデータが復元され、情報漏洩につながる事例が後を絶ちません。
CMDBとITSMの統合
CMDB(構成管理データベース)は、IT資産とその構成情報、相互の関連性を一元管理するデータベースです。ITサービスマネジメント(ITSM)フレームワーク(ITILなど)と統合することで、インシデント発生時の影響範囲の特定、変更管理時のリスク評価、キャパシティプランニングなどに活用できます。
CMDBには資産の物理的・論理的な依存関係を記録し、1台のサーバー障害がどのサービスに影響するかを即座に把握できるようにします。セキュリティインシデント発生時にも、影響を受ける資産の迅速な特定と対応が可能となります。
Security Measures
- 01資産インベントリの網羅的な構築と維持:ネットワークに接続されるすべてのハードウェア・ソフトウェア資産を自動検出ツールで定期的にスキャンし、資産台帳を常に最新の状態に保ってください。未登録デバイスの接続を検知した場合は、即座にアラートを発行し調査を行う仕組みを導入しましょう。
- 02ソフトウェアホワイトリストの運用:組織が承認したソフトウェアのみをインストール可能とするホワイトリストを策定し、エンドポイント管理ツールで強制してください。未承認ソフトウェアの検出時には自動的にIT部門へ通知し、リスク評価と是正措置を実施しましょう。
- 03EOL資産の計画的な更新・撤去:ベンダーサポートが終了した(End of Life / End of Support)ハードウェアおよびソフトウェアを台帳上で識別し、更新スケジュールを策定してください。やむを得ず使用を継続する場合は、ネットワーク分離や追加の監視措置を講じましょう。
- 04安全な廃棄プロセスの確立:NIST SP 800-88などの基準に準拠したデータ消去手順を確立し、物理破壊または論理消去の記録を保管してください。廃棄業者との契約にはデータ消去証明書の発行義務を含め、第三者監査を定期的に実施しましょう。
- 05クラウド資産とSaaSの可視化:IaaS/PaaS/SaaS環境で使用しているすべてのクラウドリソースとサブスクリプションを資産台帳に含め、シャドーITの利用状況をCASBやネットワークログ分析で検出してください。未承認のクラウドサービス利用を把握し、セキュリティ評価を行いましょう。
- 06定期的な棚卸しと監査の実施:最低でも年に1回、物理的な棚卸しを実施し、資産台帳と実物の照合を行ってください。差異が発見された場合は原因を調査し、紛失・盗難の可能性がある場合はインシデント対応プロセスに従って対処しましょう。
Incidents
📋 Morgan Stanley旧サーバー廃棄不備による顧客情報漏洩(2020年)
米金融大手Morgan Stanleyは、データセンターの閉鎖に伴い旧サーバーやネットワーク機器を廃棄業者に委託しましたが、業者によるデータ消去が不完全であったことが判明しました。顧客の個人情報を含むサーバーが消去不十分なまま転売されていました。
この事件を受け、Morgan Stanleyは6,000万ドルの罰金を科されました。IT資産の廃棄プロセスにおけるデータサニタイゼーションの重要性と、廃棄業者の監査・管理体制の必要性を示す代表的な事例です。
📋 SolarWindsサプライチェーン攻撃と資産管理の欠如(2020年)
SolarWinds社のIT管理ソフトウェア「Orion」にバックドアが仕込まれ、米国政府機関や大手企業を含む18,000以上の組織に影響が及びました。多くの被害組織では、Orionがネットワーク内のどのサーバーにインストールされているかを正確に把握していませんでした。
このインシデントは、ソフトウェア資産管理の不備がインシデント対応の遅延を招くことを明確に示しました。影響範囲の特定に数週間を要した組織もあり、正確なソフトウェアインベントリの維持が迅速なインシデント対応の前提条件であることが再認識されました。
📋 英国NHS WannaCry被害と未管理レガシー端末(2017年)
2017年のWannaCryランサムウェア攻撃において、英国国民保健サービス(NHS)は特に深刻な被害を受けました。主要な原因の一つは、Windows XPなどサポート終了済みのOSを搭載した医療機器やPCが多数存在し、IT資産管理が不十分であったことです。
NHSの調査報告書では、約70,000台のデバイスが影響を受け、推定9,200万ポンドの損害が発生したとされています。EOL資産の把握と計画的な更新、脆弱性管理と連携した資産管理の重要性を世界に知らしめる事例となりました。