効果的なサイバーセキュリティ戦略に不可欠な IT 資産管理

Blog image 1

サイバーセキュリティは、民間企業と政府機関のどちらにおいても最重要課題となっています。 2014 年 10 月、IDC 社 のレポート『FutureScape for CIO Agenda』によれば、2017 年までに、CIO はその 80 %の時間をデジタル・サービスを活用した分析、サイバーセキュリティ、新たな収益源の開拓にあてることになると予測しています。 そして、2016 年までにグローバル企業の 70 %の CEO にとって、セキュリティがビジネスの 3 大優先課題の 1 つになるとも予測しています。

また、Information Management の Web サイトのスライドショー『Top 10 CIO Priorities for 2015』では、セキュリティは米国の各CIO の最優先課題であると提示されています。 これは、National Association of State Chief Information Officers(NASCIO:全米州最高情報責任者協会)の年次調査に基づいています。 NASCIO では、セキュリティは「リスク評価とガバナンスから、セキュリティフレームワーク、データ保護、トレーニング/周知徹底、内部脅威の緩和にいたるすべてに対応するものであり、 州政府はセキュリティに対して「細心の取り扱い」や「適切な」対処の設定に努める」とされています。

IDC 社は、先頃、調査レポート 『IDC PeerScape: IT Asset Management — Practices to Enhance Cybersecurity』を発行しました。 この PeerScape レポートで、IDC 社はある世界的な企業を例に取り、サイバーセキュリティに関連したビジネス・リスクを低減する IT 資産管理(ITAM)の 5 つのベスト・プラクティス・プロセスについて説明しています。 このケース・スタディの企業は 50,000 人を超える従業員と契約社員を擁し、IT 関連の年次予算は、5 億ドルを超え、4000 種を超えるソフトウェア製品とバージョンが使われています。

IDC 社のレポートでは、「IT ガバナンス全体における ITAM の役割と貢献を考えなおす時期に来ている」と述べています。また、「致命的なアプリケーション・ダウンタイムの解決方法とともに、サイバー脅威に関連したビジネス・リスクの低減と、重要アプリケーションに不可欠な知識の向上に結びつく実行可能なガイダンス」もレポートには記載されています。

レポートが最初に取り上げているのは喫緊の課題となっているサイバーセキュリティの脅威に ITAM の焦点をあてるということです。

サポート終了(EOL)またはパッチ適用や更新が適切に実施されていないために陳腐化したハードウェアとソフトウェアは、組織をサイバー攻撃に晒す致命的な脆弱性を捉えていると指摘されています。 IDC 社のレポートは、「悪用された脆弱性の 99.9 %は、共通脆弱性データベース(CVE)で公開されてから、1 年以上後に侵害を受けている」と『Verizon Data Breach Investigations Report (DBIR) for 2015』から統計データを引用して記載しています。また、米国土安全保障省のコンピューター緊急対応チーム(US-CERT)によると、85 %もの標的型攻撃は、セキュリティ・パッチの適用で防ぐことができるとされています。 しかし、多くの企業は利用可能なパッチをタイムリーに適用していないとHP Security Briefing, Episode 22: The Hidden Dangers of Inadequate Patching(2015 年 6 月)が報じています。

ソフトウェア・ライセンス最適化ソリューションは、このようなサイバーセキュリティの課題に取り組むにあたり、どのように機能するでしょうか? まず、ハードウェア/ソフトウェアのインベントリ・データを正確に収集することが、IT 環境で何が設置/インストールされているのかを把握するうえで不可欠です。 生のインベントリ・データを分析しソフトウェア製品名のみならずバージョンとエディションも正確に識別できるツールが必要です。 何がインストールされているのか、いつソフトウェア製品のサポートが終了するのかを把握できれば、セキュリティの脆弱性を抱えるアプリケーションに対して、更新または削除の対処ができます。 また、これらのツールは、ライセンスが割り当てられていないアプリケーションを報告し、セキュリティ・リスクを抱える禁止ソフトウェアを削除することができます。

さらに、ソフトウェア資産管理とライセンス最適化のツールにより、保守メンテナンス契約の終了日の告知アラートを発行することで、サポートが途切れソフトウェアにパッチが適用されていない状態や、陳腐化したハードウェアが存在する状態を作らないようにすることができます。 下図は、管理ダッシュボードに数種の情報が表示されている例です。 

Blog image 2

ソフトウェア・ライセンス最適化ソリューションを使って統合されているエンタープライズ・アプリケーション・ストアにより、承認済みハードウェア・デバイスとソフトウェア製品の一覧をエンド・ユーザーに提供します。 これにより、ユーザーが重大なセキュリティの脆弱性を抱えた禁止アプリケーションをダウンロードしてインストールするリスクを低減します。

アプリケーションの合理化と統合で役立つ企業の武器として重要なツールがもう 1 つあります。 不要なアプリケーションを削除することにより、適切にソフトウェアを更新しパッチを適用するためにかかる時間も作業も削減でき、ポートフォリオ全体を最新の状態に保つことができます。

Flexera の FlexNet Manager Suite 製品の詳細とサイバーセキュリティ向上機能については、データシート『Cybersecurity Strategy Must Include Software License Optimization』をご覧ください。 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です