未把握のIT資産は攻撃の入口に、情シスが実践すべき脆弱性管理のポイント

　Webサイトを簡単に構築できるようになった昨今。各部署が立ち上げたWebサイトを把握しきれていないという企業が少なくない。未把握のIT資産は十分な脆弱性対策が実行されていないケースが多く、サイバー攻撃の入口として狙われるリスクが高い。実際に、放置された古いキャンペーンサイトから個人情報が漏えいしたという事例もある。

　そのため情報システム部門には、管理が行き届かないWebサイトなどがないように、外部からアクセス可能な自社のIT資産をしっかり把握することが求められる。また、これらに対して定期的なセキュリティ診断を実施することも大切だ。そして、脆弱性などの問題がある場合はその情報を管理者と共有し、早急な対策を取る必要がある。

　情報システム部門に求められる、こうした脆弱性管理において注目したいのが、ASM（Attack Surface Management）というアプローチだ。本資料では、ASMの具体的なプロセスや、よくある課題、実現のポイントなどについて解説している。また、自社の脆弱性管理を効率化するツールも紹介しているので、参考にしてほしい。