資産とは【用語集詳細】
資産(Asset)とは、組織にとって価値のあるものを指すコンセプトです。
セキュリティ対策やセキュリティ基準の策定は、守るべき資産に応じて定められます。このため、資産を特定し、適切なライフサイクルに従って管理することが非常に重要です。
IT資産には以下のようなものがあります。
- 情報
- データ
- ハードウェア
- ソフトウェア
- システム
- プロセス
- デバイス
- 機能
- 知的財産
- 組織のレピュテーション
- 施設
組織は、資産を特定しインベントリを作成するとともに、各資産のオーナーと価値を定めた後、保護策を講じ、その対策が適切に履行されているかをレビューします。
資産を適切に保護するためのライフサイクルは、一般的に以下のとおりです。
- 識別と分類(Classification)
- 保護
- モニタリング
- 復旧
- 処分
- 廃棄あるいはアーカイブ
資産の特定や管理ができていない場合、シャドーITなどが発生し、セキュリティ対策が無効となる危険性が生じます。
例えば、組織のエンドポイントに対しセキュリティ対策を導入したとしても、部門が独自にエンドポイントを導入していた場合、攻撃者はこの管理外エンドポイントを足掛かりに、容易に攻撃を行うことができます。
