資産管理での資産の扱い

資産は、組織にとって貴重なものを表します。資産は、ノートパソコンやサーバー、ソフトウェアなどの有形の資産であることもあれば、第三者との取引関係、知的財産、ポリシーといった無形の資産であることもあります。組織の資産を追跡することで、不正、盗難、コンプライアンスの問題、許容できないリスクから組織を守ります。

資産管理アプリには、IT リスクマネジメントまたはサードパーティ リスクマネジメントのサブスクリプションが必要です。

メモ

資産を管理する方法は、資産管理アプリだけではありません。資産インベントリ アプリでも行うことができますが、資産管理アプリではユーザー エクスペリエンスとタイムトゥバリュー (価値実現までの時間) において向上が図られています。資産管理は、お客様の IT およびサードパーティ資産の管理にもさらに適したアプリです。

機能の仕組み

資産管理アプリで資産を作成します。

すべての資産は、資産のタイプのインスタンスです。資産のタイプは、その資産のフォーマットと動作を定義するクラスであり、資産の属性、ライフサイクルの中で資産が移動するワークフロー、そして資産を確認して、作業ができる人を定義します。

シナリオ

組織のサードパーティリスクマネジメントプログラムの一環として、あなたは、サードパーティと呼ばれる資産のタイプを使用して、すべてのサードパーティの資産を追跡します。

組織では、社内のコミュニケーションニーズに対処するために、Slack という名の新しいベンダーと取引をしたいと考えています。それを行う前に、新しい Slack の資産を作成し、通常のサードパーティリスク評価プロセスを通じてこれを配置する必要があります。

プロセス

  1. サードパーティの資産のタイプに移動します。
  2. Slack という名の新しい資産を作成します。
  3. サードパーティの資産ワークフローを通じて Slack を移動します。
    1. Slack に関する重要な詳細、たとえば、ベンダーの所有者、リスク マネージャー、そのタイプ、簡単な説明、重要度レベルなどを入力して、資産を登録、分類します。
    2. Slack のリスクを評価します。手動で行うか、またはリスク評価を配信して Diligent One に評価を計算してもらうようにします。
    3. Slack をアクティブ化します。

結果

Slack の資産が作成、登録され、分類、評価されました。これには "アクティブ化済み" のマークが付き、購入の手続きに進むことができます。Slack は定期的に 再評価でき、ある日、組織が Slack の使用を中止した場合は、アーカイブできます。

資産のタイプの作成、更新、削除

ソリューションの一部として、資産のタイプが提供されます。貴社独自に資産のタイプの作成、更新、または削除はできませんが、当社のコンサルティングチームと契約されますと、ご利用の環境をカスタマイズできます。

フレームワークで資産のタイプとリスク カテゴリの関連付けを管理する

フレームワークで資産のタイプとリスク カテゴリの関連付けを管理します。その後に、プロジェクトでこれらの関連付けを使用して、資産のコンテキストでリスクと統制を評価できます。

メモ

インターフェイス用語はカスタマイズ可能であり、フィールドとタブも設定可能です。Diligent One の別の領域では、リスク カテゴリの用語が異なる場合があります。

  1. フレームワークアプリを開きます
  2. 資産のタイプを関連付けたいフレームワークを開きます。
  3. [評価] タブで、リスク カテゴリの [レコード] タブに移動します。
  4. 関連する資産のタイプ]から、[関連付けを管理]をクリックします。
  5. 資産のタイプの関連付けを管理]パネルで、フレームワークとの間の関連付けを作成または削除する資産のタイプを選択します。
  6. 保存]をクリックします。

結果 フレームワークの資産のタイプの関連付けを使用して、プロジェクトを作成できるようになりました。必要に応じて、プロジェクトのレベルで追加的な関連付けを加えることができます。

フレームワークからプロジェクトにリスク カテゴリをインポートする

フレームワークでリスク カテゴリを資産のタイプに関連付けた後は、リスク カテゴリをプロジェクトにインポートできます。

メモ

インターフェイス用語はカスタマイズ可能であり、フィールドとタブも設定可能です。Diligent One の別の領域では、リスク カテゴリの用語が異なる場合があります。

  1. Launchpad ホームページ(www.highbond.com)から、プロジェクト アプリを選択して開きます。

    すでに Diligent One を使用している場合は、左側のナビゲーション メニューを使用してプロジェクト アプリに切り替えることができます。

    プロジェクトのホームページが開きます。

  2. 目標のインポート先のプロジェクトを開きます。

    プロジェクトダッシュボードが開きます。

  3. 評価]タブをクリックします。
  4. リスク カテゴリのインポート]をクリックします。
  5. リスク カテゴリのインポート元になる[フレームワーク]一覧から、必要なフレームワークを選択します。
  6. インポートするリスク カテゴリを選択します。
  7. インポート]をクリックします。

    結果 Diligent One で選択したリスク カテゴリがインポートされます。

詳細については、目標の複製とインポートを参照してください。

プロジェクトで資産とリスク カテゴリの関連付けを管理する

フレームワークで資産のタイプをリスク カテゴリに関連付けた後は、これらのリスク カテゴリをプロジェクトにインポートできます。その後に、プロジェクトで、リスク カテゴリに関連付けた資産のタイプから個別の資産を選択し、プロジェクトでこれらの資産に関連付けられたリスクを軽減できます。

メモ

インターフェイス用語はカスタマイズ可能であり、フィールドとタブも設定可能です。Diligent One の別の領域では、リスク カテゴリの用語が異なる場合があります。

資産をプロジェクトに関連付ける

資産とリスク カテゴリの関連付けを作成し、プロジェクトでこれらの資産に関連付けられたリスクを軽減できます。

  1. 資産を関連付けるプロジェクトを開き、[スコーピング・BIA]タブをクリックします。
  2. 範囲]タブで[資産をスコーピング]をクリックします。
  3. 資産をスコーピング]ウィンドウで資産のタイプを選択し、[続行]をクリックします。
  4. 省略可能。属性タイプで資産のリストを絞り込みます。
    1. フィルター]をクリックします。[フィルター]サイドパネルで、資産インベントリにドロップダウン リスト入力がある属性タイプを使用して、1 つ以上のフィルターを作成します。
    2. 適用]をクリックします。Diligent One では条件と一致しない資産が除外されます。
  5. プロジェクトに関連付ける資産を選択し、[続行]をクリックします。
  6. プロジェクトに関連付けるリスク カテゴリを選択し、[続行]をクリックします。
  7. 選択した資産とリスク カテゴリをレビューして確定します。戻って変更するか、[保存して資産をスコーピング]をクリックして選択した関連付けで続行することができます。

資産をプロジェクトに関連付けた後、資産名をクリックして、資産の詳細を表示したり、プロジェクトからの関連付けを削除したりできます。また、資産管理の[資産の詳細]パネルで資産名をクリックして、資産に移動することもできます。

資産とリスク カテゴリの関連付けを削除する

資産が不要になった場合、または誤ってリスク カテゴリに関連付けられた場合は、資産とリスク カテゴリの関連付けを削除できます。これらの関連付けを削除すると、プロジェクトの範囲から資産が削除されます。

  1. 資産を削除するプロジェクトを開き、[スコーピング・BIA]タブをクリックします。
  2. 範囲]タブで、削除する資産に関連付けられた資産のタイプに移動し、展開アイコンをクリックします。
  3. 削除する資産の名前をクリックします。
  4. 資産詳細]パネルが表示されます。[資産の削除]をクリックします。
  5. 表示される確認メッセージで、[資産の削除]をクリックします。
  6. プロジェクトから削除する残りの資産関連付けについて、手順 1 ~ 5 を繰り返します。

結果 プロジェクトから任意の資産とリスク カテゴリの関連付けを削除しました。

資産の作成

資産管理アプリに資産を追加すると、資産に関する情報を保存・収集し、資産に付随するリスクを評価し、リスクを軽減するためのアクションを取ることができます。

  1. 資産管理アプリを開きます
  2. 資産を追加したい資産のタイプをクリックします。
  3. +[資産のタイプ] を追加]をクリックします。
  4. [資産のタイプ]を追加]パネルで、新規資産の名前を入力します。
  5. 必要な他の詳細を入力して、以下のいずれかをクリックします。
    • 資産を追加]をクリックすると、資産が保存されパネルが閉じます。
    • 保存および新規を追加]をクリックすると、資産を保存して別の資産を追加できます。

結果 資産が作成されました。ライフサイクルを通じてレコードの移動を始めるには、レコードを別の進捗状況に移行します

資産の詳細の更新

資産が変更した際に新しい情報を反映するように、その資産に関連付けられたデータを更新できます。

  1. 資産管理アプリを開きます
  2. すべての資産のタイプ]で、対象の資産のタイプをクリックします。
  3. 資産の詳細を含むテーブルで、編集したい資産名をクリックします。多数の資産がある場合は、検索、並べ替え、フィルタリングによって適切な資産を見つけることができます。
  4. 詳細]タブで、必要な変更を加え、[変更を保存]をクリックします。
  5. 省略可能。資産の進捗状況も変更されたら、資産を別の進捗状況に移行できます。

資産の所有者を追加または変更する

資産の所有者を追加または更新するには、以下の手順を実行します。

  1. 資産管理アプリを開きます

    資産管理のホームページが開きます。

  2. すべての資産のタイプ]で、対象の資産のタイプをクリックします。
  3. 資産リストで、対象の資産の名前をクリックします。多数の資産がある場合は、検索、並べ替え、フィルタリングによって適切な資産を見つけることができます。
  4. 詳細]タブで、追加または変更する所有者フィールドを見つけてクリックします。例: ビジネス所有者、技術所有者など。
  5. ドロップダウン リストからユーザーを一人選択し、[変更を保存する]をクリックします。

    結果 資産は選択されたユーザーに割り当てられ、割り当てられたユーザーには電子メールの通知が送信されます。

資産の別な進捗状況への移行

資産を別な進捗状況に移行するとは、どのようにそのライフサイクルを通じて資産を移動するかです。資産のタイプが使用するワークフローに応じ、異なるアクションが移行の中で発生する場合があります。たとえば、Diligent One では、必要なフィールドにデータが含まれているかをチェックしたり、資産に関するさらなる情報を入手するアンケートをトリガーしたりする場合があります。

  1. 資産管理アプリを開きます
  2. 移行したい資産の、資産のタイプに移動します。
  3. 資産の詳細を含むテーブルで、移行したい資産名をクリックします。多数の資産がある場合は、検索、並べ替え、フィルター処理をすることで、適切な資産を見つけることができます。
  4. 右上のボタンをクリックすると、資産の状態が遷移します。これにより、資産は選択した進捗状況に移行します。

    5. メモ

    さまざまな進捗状況の移行には、加えられる特定の属性など、さまざまな状況が必要になる場合があります。または、不完全な情報の収集ためにアンケートを送信するなど、イベントをトリガーする場合があります。他の進捗状況への資産の移動に問題がある場合は、システム管理者、または貴社の Diligent 担当者に連絡し、支援を受けてください。

資産と他の資産、リスク、または統制とのリンク

資産と他の資産、リスク、統制間のカスタム関係を作成できます。詳細については、資産管理での関係の管理を参照してください。

アンケートを使った資産の評価

ユーザーにアンケートを実施することで、資産を評価することができます。詳細については、「資産管理でのアンケートの管理」を参照してください。

リンクされた個別資産を Tenable から表示する

以下の手順を実行して、集約された資産にリンクされた個別資産を表示します。

メモ

表示する前に、集約された資産に個別資産をリンクしてあることを確認します。リンクについて詳しくは、「個別資産を集約された資産にリンクする」を参照してください。

  1. 資産管理アプリを開きます
  2. 表示する資産を含む資産のタイプを選択します。
  3. 表示する資産を選択し、[個別資産]を選択します。

    結果 リンクされた個別資産が表示されます。各個別資産には、資産、関連した調査結果、および CVE の詳細が含まれています。[調査結果を表示]を選択すると[調査結果]タブに移動し、[CVE を表示]を選択すると関連した CVE を表示できます。

脆弱性を Tenable から表示する

以下の手順を実行して、資産に関連した脆弱性(CVE と調査結果)を表示します。

メモ

CVE を表示する前に、Tenable からデータをインポートしており、集約された資産に個別資産をリンクしてあることを確認します。詳細については、Tenable データを資産管理にインポートする個別資産を集約された資産にリンクするを参照してください。

  1. 資産管理アプリを開きます
  2. 表示する資産を含む資産のタイプを選択します。
  3. 表示する資産を選択し、[脆弱性]を選択します。
  4. CVE]または[調査結果]を選択して、それぞれの項目を表示します。

    結果 リンクされた項目が表示されます。CVE では、ある CVE をクリックすると National Vulnerability Database(脆弱性情報データベース)にあるその詳細を表示でき、[調査結果を表示]をクリックすると[調査結果]タブに移動できます。[調査結果]で[CVE を表示]を選択すると、関連した CVE を表示できます。

資産の削除

資産は恒久的に削除できます。一般的に、資産を誤って作成した場合を除き、通常のライフサイクルを通じて資産を移行するのがより良い方法です。

注意

資産を削除すると元に戻せません。これにより、その資産プロファイルを含む関連作業、および関連する評価や関連する調査結果もすべて削除されます。これらのことのいずれも必要ないことを確認してから、資産を削除してください。

  1. 資産管理アプリを開きます
  2. 削除したい資産の、資産のタイプをクリックします。
  3. 資産の詳細を含むテーブルで、削除する資産の名前をクリックします。
  4. その資産のページで、 をクリックして、[削除] をクリックします。これにより、確認を求める警告メッセージが示されたダイアログボックスが表示されます。
  5. 削除]をクリックして確認します。資産と関連するすべての作業が削除されます。