資産管理.

資産管理は、他のあらゆるセキュリティ統制の土台です。存在を把握していないものは、保護・パッチ適用・監視・対応のいずれもできないからです。現代の資産インベントリには、エンドポイント、サーバー、ネットワーク機器、モバイル、クラウドワークロード、SaaS テナント、ID、コードリポジトリ、データストアが含まれ、それぞれにオーナー・重要度・露出度といった属性が付与されます。発見作業は CMDB 連携、EDR データ、クラウド API、EASM プローブを通じて、ますます継続的かつツール主導で行われるようになっています。優れた資産管理は脆弱性管理、構成管理、インシデント対応、ゼロトラスト執行に情報を供給し、CIS Controls などのフレームワーク導入の前提条件でもあります。

その重要性は机上の空論ではありません。CIS Critical Security Controls(v8)は「企業資産のインベントリと管理」および「ソフトウェア資産のインベントリと管理」をコントロール 1 および 2 ――組織が真っ先に取り組むべき事項――に位置づけています。なぜなら、未管理のホストこそ侵入が潜む場所だからです。Log4Shell(CVE-2021-44228)はその教訓を痛感させました。「Log4j はどこで動いているのか?」に答えられなかったチームが何日も探し回る一方で、正確なソフトウェアインベントリと SBOM を備えたチームは数時間で露出範囲を特定しました。2017 年の Equifax の情報漏えい(CVE-2017-5638)も、脆弱な Apache Struts 資産がパッチを当てる責任者に紐づけられていなかったことが一因で長引きました。最も埋めにくい欠落は「シャドー」資産――忘れ去られたクラウドインスタンス、期限切れでも稼働中のサブドメイン、IT 部門の外で行われた SaaS の登録――であり、外部攻撃対象領域管理(EASM)ツールが攻撃者の視点からスキャンすることでこれらを可視化します。

flowchart LR
  A[発見ソース] --> B[正規化と重複排除]
  subgraph A[発見ソース]
    A1[EDR / エージェント]
    A2[クラウド・SaaS API]
    A3[ネットワークスキャン / EASM]
    A4[CMDB / DHCP / IdP]
  end
  B --> C[信頼できる唯一の情報源]
  C --> D[拡充:オーナー、重要度、露出度]
  D --> E[脆弱性管理]
  D --> F[パッチ・構成管理]
  D --> G[インシデント対応]
  E --> H{差異の照合}
  H --> A

目標は、継続的に照合される「信頼できる唯一の情報源」です。各サイクルで各ソースが捉えた内容を比較し、あるシステムには存在するが別のシステムには存在しない資産(未管理ホストや不正ホストの典型的な兆候)にフラグを立て、その資産が再び闇に紛れ込む前にオーナーを割り当てます。