事業部門と情シスの双方に負荷のない「効率的な脆弱性管理」を実現する方法

　情報システム部門で把握できない“外部公開されたIT資産の増加”に、不安を感じる企業は少なくない。こうした未把握の資産は、脆弱性が放置されていることが多い。つまり攻撃者が狙う対象が増えることを意味する。実際に、放置された外部公開されている古いWebサイトの脆弱性を突かれて、インシデントに発展したケースもある。

　そこで「自社の外部公開資産の把握」「定期的・継続的なセキュリティ診断の実施」が求められるが、これらを事業部門が実施するのは難しい。なぜなら、関係部署へのヒアリングや報告内容の確認などで負荷がかかり、本業に影響が出る可能性が高いからだ。とはいえ、情報システム部門が主導で行うとなると、情報システム部門側の負担が増えてしまう。

　そこで本資料では、事業部門と情報システム部門の双方にとって負荷が少なく、実効性の高い効率的なIT資産管理と脆弱性診断を実現する方法を解説する。さらに「IT資産の棚卸」「脆弱性の情報の収集」「リスク評価」といった全社的な脆弱性管理とセキュリティ診断を効率化できる製品を紹介するので、併せて参考にしてほしい。