実務チェックリスト
自社ホスト型IT資産管理システムの権限・MFA・更新確認チェックリスト
資産台帳やライセンス情報を扱う自社ホスト型システムについて、修正版適用だけでなく、権限、MFA、テナント境界、管理者ログを同時に確認する。
- 対象者
- 情シス
- 緊急度
- 初動
- 領域
- 管理画面
- 難易度
- 中級
- 所要時間
- 約14分
- 最終更新
- 2026-06-28
このページを現場で使う
チェック状態はこの端末のブラウザにだけ保存されます。メモや機密情報は保存しません。
確認進捗
完了 0/0いつ使うか
Snipe-ITなどのIT資産管理システムで、認可、MFA、API、テナント分離、管理者操作に関するCVEやベンダー公式アドバイザリを受け取った直後に使う。
誰が使うか
資産管理システムの管理者がバージョンと設定を確認し、情シスまたはCSIRTが権限棚卸し、ログ保全、更新判断、報告を整理する。
エスカレーション条件
影響バージョンが残る、インターネットから管理画面へ到達できる、管理者やAPI権限に不審な変更がある、資産台帳の改ざん疑いがある、MFA試行やログ欠損がある場合はCSIRTへ上げる。
何を確認するか
Snipe-ITなど自社ホスト型IT資産管理システムの脆弱性情報を受け取ったとき、対象バージョン、公開範囲、権限、MFA、ログ、更新判断を確認するチェックリスト。
なぜ重要か
IT資産管理システムは端末、ライセンス、利用者、会社境界、棚卸し結果の基準になる。ここで権限や台帳の整合性が崩れると、退職者対応、端末回収、監査、脆弱性対応の判断にも影響する。
見落とすと何が起きるか
修正版の適用だけで終えると、更新前に発生した権限変更、管理者ロックアウト、MFA設定の弱さ、資産台帳の不整合、API権限の過剰付与を見落とす可能性がある。
確認前に準備するもの
- 対象製品名、現在バージョン、修正版、ベンダー公式アドバイザリ、NVD、GitHub Advisory Database
- 管理画面URL、公開範囲、SSO/MFA設定、ローカル管理者、緊急用アカウント
- ユーザー、ロール、API権限、会社・部門・テナント分離設定、保守委託先の権限
- 監査ログ、サインインログ、管理者操作ログ、変更履歴、バックアップ、資産台帳のエクスポート
確認後に残すべき記録
- 対象、対象外、更新済み、未更新、未確認のインスタンス一覧
- ユーザー権限、API権限、管理者権限、MFA設定、SSO外ログインの確認結果
- 資産、アクセサリ、ライセンス、ユーザー、会社境界に関する不審な変更の有無
- 公式情報の確認日時、対応判断、暫定緩和策、残リスク、再確認日
対象バージョンと公式情報を確認する
公開範囲と認証設定を確認する
権限・API・会社境界を確認する
ログと台帳の整合性を確認する
更新・封じ込め・報告を進める
よくある質問
自社ホスト型IT資産管理システムの権限・MFA・更新確認チェックリストは何のためのチェックリスト?
IT資産管理システムは端末、ライセンス、利用者、会社境界、棚卸し結果の基準になる。ここで権限や台帳の整合性が崩れると、退職者対応、端末回収、監査、脆弱性対応の判断にも影響する。
いつ使う?
Snipe-ITなどのIT資産管理システムで、認可、MFA、API、テナント分離、管理者操作に関するCVEやベンダー公式アドバイザリを受け取った直後に使う。
誰が対応する?
資産管理システムの管理者がバージョンと設定を確認し、情シスまたはCSIRTが権限棚卸し、ログ保全、更新判断、報告を整理する。
確認漏れがあると何が起きる?
修正版の適用だけで終えると、更新前に発生した権限変更、管理者ロックアウト、MFA設定の弱さ、資産台帳の不整合、API権限の過剰付与を見落とす可能性がある。
信頼性と注意事項
- 想定環境
- Snipe-ITなどの自社ホスト型IT資産管理、ライセンス管理、備品管理、社内台帳、管理画面、API、SSO/MFA、複数会社・部門管理を含む環境
- 注意
- 攻撃再現、PoC実行、第三者環境の探索、不審リクエスト送信は行わない。確認は正規の管理画面、ログ、台帳、ベンダー公式情報に限定する。
- 最終更新日
- 2026-06-28