知らないとパニック必至! ライセンス監査の基礎知識:実践! IT資産管理の秘訣(2)(2/2 ページ)
監査報告の絶対条件は「整合性」
以上のように、報告書を提出する際に求められるのは「整合性」です。この「整合性を担保する」とは、すなわち「報告内容に信頼性を持たせる」ということです。
一般に、報告する内容は「利用しているソフトウェアの数(=ソフトウェア管理台帳)」と「保有しているライセンスの数(=ライセンス管理台帳)」で示すことになりますが、そのときに必要なのは、それらが「網羅的、かつ正確に把握されていること」を示すことです。
「利用しているソフトウェアを網羅的に把握していること」を証明するためには、全てのハードウェアを把握できていること、および、それらを維持・更新している履歴を示すことが必要です。
図1 報告書の信頼性を担保するために必要なこと「保有しているライセンスを正確に把握していること」を証明するためには、その証明に必要なライセンス証書やインストールキー、インストールメディアなどの媒体の保有状況を示すこと、および、ソフトウェアやハードウェアと同じく、それらを維持・更新している履歴を示すことが必要です。
仮想環境に注意する
また、報告書を作る際には、仮想環境や、アウトソーシング時の注意も必要です。ライセンス監査では、サーバーの監査が意外と見落とされています。サーバー監査は、幾つかのソフトウェアメーカーが力を入れてきている分野であり、今後、その監査請求を受ける企業・組織は間違いなく増えてくるでしょう。
サーバー監査のポイントは、CPUやHot Stand by、Cold Stand byの取り扱い、および仮想化です。サーバーについては「専門知識を持った担当者が管理しているから、問題が発生しにくい」と考えている企業・組織が多いのですが、最近はハードウェアよりもライセンスの方が高価なことも多いため、ライセンスは古いままでCPUの高性能化などを行ったり、サーバーの効率的な利用を促進するためにサーバーを仮想化したりするケースが増えています。
サーバーで多い問題は、こういった高機能化や仮想化によって、意図せずしてライセンス違反を犯してしまうというケースです。ただし、これについてはサーバー環境の変化を適切に把握し、記録しておくプロセスを持つことで簡単に防ぐことができるようになります(この点については、本連載で執筆予定の「SAMの構築プロセス」の回で詳しくお伝えします)。
今後、さらに大きな問題になると筆者が考えているのは、サーバーよりもむしろデスクトップの仮想化です。データセキュリティとモバイル環境との併存、およびネット環境の高度化によってこの分野の仮想化は今後加速していくでしょう。
デスクトップを仮想化環境で使うということは、当面の間は従来のオンプレミス環境と仮想化環境を併用することになります。これは従業員数よりも多いデスクトップ環境の管理工数が単純に倍になるだけではありません。一般的なインベントリツールの場合、1台の物理サーバーに複数存在する可能性のある仮想環境ごとに実行する必要があります。その点も考えれば、その管理負荷・構築負荷は、従来環境のそれとは比べ物にならないほど高いものになります。
IT資産管理もSAMも、仮想化環境においては管理が高度化していきます。ほとんど管理らしい管理をせずに、これにいきなり取り組むのは至難の業です。管理対象が複雑化・高度化する前に、現時点の利用状況・保有状況を適切に把握しておくことが重要です。
IT資産の運用保守をアウトソースしていても「大丈夫」とはいえない
それでもなお、「いや、ウチはPCやサーバーの管理・保守については、全て業者に任せているから大丈夫」という人がいますが、こういう人も要注意です。
まず、ソフトウェアメーカーが自ら保守を請け負っていることもありますが、保守を行っているのがそのソフトウェアメーカー自身か否かに関わらず、監査は実施されます。そのソフトウェアメーカー自身が管理していても、不足が指摘されるケースもあります。
PCの通常のインストール/アンインストールも含めて、導入時のキッティングから外部にアウトソースしている組織も少なくありませんが、その際に、例えば「Standardエディション」をインストールするところを「Professionalエディション」をインストールしてしまったり、本来全てにインストールすべきではないソフトウェアを誤ってマスターDVDに焼いてしまい、全てのPCに展開してしまったりしているケースがあります。
また、見積書に記載されていたライセンスが実際には納品されていなかったり、PCと一緒にリースした媒体の保管をリース会社に委託しておいたところ、一部を残して廃棄されていたりしたケースもあります。
こうしたことは、導入や運用保守を担うアウトソース先の企業規模によって変わるものではありません。請負契約上では、最終的にアウトソーシング先に責任を転嫁することは可能かもしれませんが、著作権者から見れば、一義的にはソフトウェアの利用者がその契約相手であり、その立場を移転することはできません。管理をアウトソースしていたとしても、そのアウトソーシング先の作業の方法・結果も含め、適切に検証をする仕組みを持つことが大切だということです。
まとめ
以上、監査の内容と注意点についてお伝えしてきましたが、最後に、監査の報告ポイントをまとめておきます。
図2 監査の報告ポイント監査請求があった場合には、
- 簡単に無視しないこと
- 言われるがままに全てを受け入れるのではく、言うべきことを言い、受け入れるべきところは受け入れること
以上2点に留意しておくことが大切です。しかしながら監査は税務調査と似ており相手の知識量との圧倒的な差が適切な対応を難しくさせることも多いものです。適切に対応し、過不足を正確に調整するためには、自らがそういった知識を十分に身に付けるか、あるいは、専門家のアドバイスを受けることを検討することをお勧めします。
次回は「SAM導入の稟議のポイント」についてお伝えします。
著者プロフィール
篠田 仁太郎(しのだ じんたろう)
日本におけるIT資産管理、ソフトウェア資産管理のトップコンサルタント。(社)ソフトウェア資産管理評価認定協会 代表理事/情報規格調査会 SC7 WG21(ISO/IEC19770) エキスパート/(財)日本情報経済社会推進協会 IT資産管理評価検討委員会 委員長
一般社団法人 ソフトウェア資産管理評価認定協会(SAMAC)
本連載に関するご意見・ご質問を、ぜひ記事下のFacebookコメントにお寄せください
ご質問・ご意見に対する回答や、記事そのものの訂正も含めて、この連載の中で取り上げていきたいと思います。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。