マルチデバイス時代に向けたIT資産管理の勘所：すご腕アナリスト市場予測（2/3 ページ）

[岩上由高，ノークリサーチ]

業務利用では「端末導入コスト」よりも「管理性」が重視される

　このように、企業が利用するIT端末は今後も多様化が進んでいくと予想される。新しいIT端末はそれだけ進化のスピードも速く、企業としては個人端末の業務利用（BYOD）を促進するなどの取り組みで端末導入コストを抑えたいと考えるかもしれない。

　その一方で、こうしたIT端末の多くは業務に必要なデータを取り扱い、ネットワークにも接続される。だからこそ、従来のPCと同等もしくはそれ以上のしっかりとした管理が必要となってくる。つまり、IT端末の多様化という今後の変化を見据えた場合、「端末導入コスト」と「管理性」のどちらを重視すべきなのか、今から考えておく必要があるといえるだろう。

　その際の参考となるのが以下のデータである。年商500億円未満の企業に対して、「端末の個人所有/企業所有の比率と管理に関する今後の方針」を尋ねたものだ。

図2 端末の企業所有/個人所有の比率と管理に関する今後の方針（年商500億円未満全体）（出典：ノークリサーチ「2015年版 中堅・中小企業におけるPC/スマートデバイス活用の実態と展望レポート」）

　グラフ中の項目は「端末を個人所有とするか、企業所有とするか」という軸と「端末の管理を個人に任せるか、企業が担うか」という軸を掛け合わせることで4つの選択肢に分けられている。他の3つと比べて高い回答割合を示しているのが、「企業所有端末の比率を増やし、端末管理は企業が担う」という項目だ。

　つまり、IT端末の購入、管理はいずれも企業が担うという方針を採用しようと考えている企業が多いということになる。もちろん、どんな端末を何の業務で利用するかによって「端末導入コスト」と「管理性」の優先度は変わってくる。場合によっては個人所有端末を活用した方が良いケースもあるだろう。だが、全般的に見た場合には「端末導入コスト」を下げることよりも、「管理性」の方がより重視される傾向にあるといえる。

意外と見落としがちな「標的型攻撃」と「IT資産管理」の関係

　「管理性」が重視される背景には、セキュリティが大きく関係している。ネットワーク接続されたIT端末の数や種類が増えれば、外部から攻撃を受ける可能性もそれだけ高まることになる。従ってIT端末が多様化する時代に向け、セキュリティという観点からIT資産管理を考えることが非常に重要となってくる。

　特に留意が必要なのは「標的型攻撃」との関連性だ。標的型攻撃とは、特定の企業や個人を標的とした攻撃のことだ。例えば、ある企業の情報システム管理者A氏がSNS上で自身の勤め先や趣味を紹介していたとする。同じ会社の営業部に勤務しているB氏も同様にSNS上で自己紹介などを行っていたとしよう。公開されている企業名や氏名を見れば、メールアドレスはおおむねね検討がつく。

　そこで攻撃者はA氏を装ってB氏に対し、「お疲れさまです。システム管理担当のAです。セキュリティ対策のガイドを作成したので以下のURLをクリックして参照してください」という内容のメールを送る。A氏は名前も顔も知っているA氏からのメールなら安心だと考え、攻撃者が仕掛けたURLをクリックしてしまう。このように特定した相手の情報を事前に得た上で攻撃を行うため、「標的型」と呼ばれる。

　 IT資産管理の観点から見た場合、標的型攻撃において留意すべき点はさらにその先にある。攻撃者はB氏のPCにマルウェア（不正なプログラム）を仕掛け、そこを踏み台に社内のサーバなどへの攻撃を試みる。通常はB氏のPCに導入されたセキュリティ対策ツールが不正な動きを検知し、攻撃を未然に防ぐことができる。

　だが、マルウェアの中にはPC内にインストールされた正規のプログラムを利用して攻撃を行うものもある。一般のユーザーが利用する機会は少ないが、PCにはサーバへファイルを転送するコマンドラインツールなどがデフォルトの状態でインストールされていることも多い。こうした正規のプログラムはマルウェアではないため、セキュリティ対策ツールが「不正な攻撃である」かどうか判断することが難しい場面もある。標的型攻撃ではこうした正規のプログラムを利用した手法が併用されることが少なくないのだ。

　こうした攻撃への対策としては、セキュリティ対策ツールと合わせてIT資産管理を実践することが有効だ。昨今のIT資産管理ツールの多くはライセンス管理や資産の棚卸に加えて、特定のプログラムの導入、実行を禁止する機能を備えている。これを活用し、一般のユーザーが使用するPCでは必要のないさまざまなコマンドラインツールの実行を禁止しておくわけだ。つまり「正規のプログラムであっても、日々の業務に不要なものは実行できないようにしておく」という対策を講じるということになる。

　 IT資産管理という言葉から企業が連想するのは、依然として「ライセンス管理」や「資産の棚卸」であるケースが多い。IT活用に際し、法的な観点からライセンスを順守することは大前提だ。だが、年商規模が小さくなるにつれてライセンスに関する知識や意識が十分に浸透していないという実情もある。こうした背景もあって年商規模が小さな企業層ではIT資産管理ツールの導入率が低くなる傾向にある。

　しかし、上記に述べた標的型攻撃の現状を踏まえると、企業としてもIT資産管理の捉え方を変えていく必要がある。大企業のみならず、中堅・中小企業も標的型攻撃の対象となる可能性がある。むしろ規模の小さな企業の場合には攻撃によって生じた情報漏えいなどが企業の存続を脅かす事態にもなりかねない。IT端末が多様化し、社員の多くがSNSなどを通じて自身の情報を発信する昨今においては、IT資産管理の役割を「ライセンス管理」や「資産の棚卸」から「セキュリティ対策の一環」へと拡大して捉える必要があるわけだ。