こう書くと、「情報端末系やソフトウェア系については、ISMSやITSMSが管理対象としている」と考える人もいるかもしれません。しかし、ISMSは情報を管理の軸に置き、そのセキュリティを管理する仕組みであり、ITSMSはITサービスを管理の軸に置き、そのサービスレベルを適切に管理する仕組みです。つまり、情報を生み出す「情報端末やソフトウェアそのもの」を管理するための仕組みではないため、これらに対する管理の粒度は粗いものとなっています。BCMSについては、さらに上位のマネジメントシステムであることから、粒度はもっと粗くなります。
これをより具体的に表現すると、こういうことです。例えば、ISMSやITSMSの認証を受けている組織であっても、「その組織に存在しているパソコンは何台あるのか」について、1台単位で即座に回答できる組織は決して多くはありません。「組織全体で、どのようなソフトウェアが、何本ずつ利用されているか」について、即座に回答できる組織はさらに少なくなります。
これはその組織が悪いのではなく、ISMSやITSMS、BCMSがそこまでの粒度を求めていないために起こる問題です(本来、これらのマネジメントシステムは、「情報端末系やソフトウェア系など、いわゆるIT基盤の情報については把握されている」という前提があるために、そこまでの粒度を求めていないのだと筆者は理解していますが……)。このように、ハードウェア、ソフトウェアという「IT基盤の情報」が不確実な状態では、ISMSやITSMS、BCMSが十分にその効果を発揮することは不可能です。
では、どうすればISMSやITSMS、BCMSといった各種マネジメントシステムは効果を発揮できるのでしょうか? そこでISMSやITSMS、BCMSの粒度をもっと細かくし、「確実に管理する仕組み」として開発されたのが、「ソフトウェア資産管理」(以下、SAM)だといえます。
なぜそういえるかといえば、SAMの対象資産とは「組織で使用されている全てのソフトウェア」だけではなく、「ソフトウェアを利用できる権利を証明するためのライセンス(=ソフトウェア系資産)」「ソフトウェアを稼働させるプラットフォームとしてのハードウェア(=情報端末系資産)」とされており、さらに、これらを資産ごとに、一意に識別することが要求されているからです(※)。
※参考:SAMは「ソフトウェアの性質に関係なく,全てのソフトウェア及び関連資産に適用できるが,それは関連資産が,ソフトウェアを使用又は管理するために必要だという特性をもつその他のすべての資産である場合である」(ISO/IEC 19770-1:2012 対訳版より)
以上をまとめると、「IT資産管理」とは、BCMSやISMS、ITSMS、SAMなど、複数のマネジメントシステムの集合体によって実現されるものであり、互いのマネジメントシステムはそれぞれに影響し合うものだといえます(図2参照)。
Copyright © ITmedia, Inc. All Rights Reserved.