企業のIT資産管理という概念は、まったく魅力的に聞こえないかもしれませんが、情報セキュリティ担当者は、この2つの分野がどのように絡み合っているかに驚くことでしょう。情報セキュリティ担当者は、IT資産管理のベスト・プラクティスを活用して、組織内のITリスクを軽減することができます。
ITAMとは?
IT資産管理は、テクノロジー資産のライフサイクルとインベントリを管理するために設計された一連のビジネスプロセスです。IT資産管理は、10年前から正式なビジネスプロセスとして存在していますが、一般的なビジネスプロセスに比べると成熟度は低いです。
IT資産管理と企業の情報セキュリティが交差する領域は、すぐにはわからないかもしれません。情報セキュリティは、高度なスキルを持つITエンジニア、アーキテクト、ストラテジストが関与する複雑な活動であり、その任務には、スパムやフィッシング攻撃に対する防御、コンピュータ攻撃キャンペーンを通じて金融市場に大混乱をもたらす多国籍テロ活動、そしてその中間に位置するあらゆるものが含まれます。
また、IT資産管理には、情報技術に対する事業投資の最大化など、多くの目標があります。この目標を達成するために、一般的なアプローチは、組織のITニーズを理解し、そのニーズを満たすための標準を確立することです。これは、資産タイプの合理化、および資産タイプの数の削減につながります。たとえば、アプリケーションの合理化によって、ソフトウェア・アプリケーションの数を大幅に削減することができます。アプリケーションの選別が進むと、ハード化、修正、監視、監査を行うアプリケーションの数が減るため、IT セキュリティチームのセキュリティが向上します。
ITAMのもう一つの利点は、組織の誰がどのITリソースを必要としているかを理解することです。このアプローチを採用する組織は、誰が機密データにアクセスできるかを理解することができ、ユーザー権限を必要性に基づいてより論理的に制限することができ、場合によっては権限管理システムや論理チェックの基礎として使用することもできます。
お分かりのように、この2つの分野は実は多くの点で絡み合っています。
ITAMの過去と現在のトレンド
21世紀初頭、IT資産管理と情報セキュリティの間にはほとんど相関関係がありませんでした。ITAMは、ハードウェア管理とソフトウェア・ライセンシングのコンプライアンスを通じて、ビジネスからの支持を得ることに重点を置いていました。ITAMは、ハードウェア管理とソフトウェア・ライセンシング・コンプライアンスを通じて、ビジネスからの支持を得ることに重点を置いていました。その主な焦点は、物理的なハードウェアがいつでもどこにあるかを把握し、組織内外への移動を制御し、価格レバレッジを活用して大量購入の機会を実現することでした。ITAMは当初、IT資産管理者が単に「モノ」の棚卸しをしているという印象を与えていました。
現在の傾向では、ITAMはデータ・セキュリティのプロセスや懸念事項と多くの点で重複しています。さらに、モバイルの在庫管理や、ネットワーク・アクセス・ポイントの管理および企業管理外の機器のセキュリティに重点を置いたリスク管理も重複しています。
ITAMの資産管理統制と使用終了のプロセスは、現在では非常に成熟しており、資産にはバーコードラベルやRFIDラベルが貼られ、高度な在庫追跡システムや明確な人的資産割り当てシステムが導入されています。ラベルが貼られ、高度な在庫追跡システム、明確な対人資産割り当てが行われています。これらの機能は、情報セキュリティ・アイデンティティ管理、堅牢なアクセス追跡およびアクセス管理コントロールと相まって、両分野における幅広い機能を提供します。また、これらの堅牢なコントロールにより、セキュリティ・リスクに対処し、特定の時間に特定のIT資産で誰が何をしているのかを組織が容易に把握できるようになります。
さらに、紛失や盗難に遭った資産の特定や追跡が容易になり、ネットワーク通信と個人のデバイスやアクセスポイントとの関連性が向上し、組織は最新のITAMデータリポジトリに基づいてソフトウェアを承認済みか未承認かを識別できるようになります。このような現実的なリスクはまだありますが、IT資産管理はデータ・セキュリティに対処するための素晴らしい追加ツールを提供します。
アプリケーションを正しく配備し使用することで、組織はこれらの資産をより効果的に監視することができます。しかし、コミュニケーションと教育の分野で、多くの企業はまだ最大の見返りを実現していません。ITAMプロセスの成功は、組織内の全員の協力に大きく依存しており、この協力は、従業員がITの正しい使用に関して適切な責任を理解している状況でのみ達成されます。ITは企業にとって非常に有用である一方、ITには常に深刻なリスクがつきまといます。
ITAMの未来予測
ITAMとITセキュリティは同じような目標を持っています。このため、一部のITAMプログラムはITセキュリティ部門の管理下に置かれるか、あるいは両方ともより広範なIT運用部門の管理下に置かれます。場合によっては、ITAMとセキュリティの組み合わせが、ITAMプログラムのための資金を得る唯一の方法となることもあります。しかし、今後2~5年の間に、ITAMプログラムと機能、および情報セキュリティのニーズは、新しい有意義な方法で絡み合い、重なり合うようになるでしょう。一部の大規模な組織では、これら2つの統制が融合され、広範な責任を持つ単一の部門になりつつあります。ここでの主な推進力は、さまざまなIT機器に統合され始めているグローバル・ポジショニングです。資産追跡、ユーザー識別、ネットワーク・アクセス・コントロールに新たな機能が出現し始めるでしょう。
現在では、ネットワーク・アクセスは主に企業認証システムを通じて制御され、ネットワーク・アクセス・コントロールなど、他のさまざまな技術が関与しています。ハイエンドのシステムには、事前に承認された特定のIPアドレスへのアクセスを制限する機能を持つものもあります。しかし、自分のデバイスを職場に持ち込むというトレンドは、IP制御アクセスをさらに推進させています。GPSが追加されたことで、認証プロトコルにGPSを追加して、特定の地理的エリアからのアクセスのみを許可するのが自然な使い方です。この機能の出現により、ITAMは資産追跡の観点から統合することができるようになり、資産からGPS、一意識別子への三角測量が、現在の不便で統合されていない資産タグに取って代わることになります。データ・セキュリティは、この機能の上に構築され、ジオロケーション・マップに組み込まれ、最終的には第2世代の機能として、位置特定をネットワーク・アクセスやアプリケーションの使用にまで結びつけることになるでしょう。
ITAMとITセキュリティ・コントロールが共に進化するにつれて、場所はあなたが誰であるかということと同じくらい重要になるでしょう。
今後のITロードマップ
ITAMの用途、新しいGPSスタイルの機能、データ・セキュリティに対する組織のニーズについて時間をかけて考えてみれば、物事がどこに向かっているかがわかります。情報セキュリティチームが忘れてはならないのは、IT資産管理は利点につながるトレンドであるということです。組織は、この2つの領域がどのように交差しているかに注目し、今後数年間のIT戦略とロードマップに従って、この2つを組み合わせる方法を見つけ始めます。
