なぜSAMは認められないのか？ 〜予算をもらう3つの秘訣〜：実践！ IT資産管理の秘訣（3）（3/4 ページ）

[篠田仁太郎，クロスビート]

やらないとどうなる？ SAMと情報セキュリティ対策

　まず実際に、SAMと情報セキュリティ対策それぞれについて、適切に取り組まなかった場合のリスクを次の3つに絞って比較してみます。

• 管理しない場合の実害
• 事故が起きた場合の対応負荷
• 必要なシステム投資

図2　SAMと情報セキュリティ対策を実施しないことによるリスク

　すると、何かが起きた場合のリスクは、SAMは少なくとも「情報セキュリティよりもリスクが低い」とはいえないことが分かると思います。それにもかかわらずSAMが承認されにくく、情報セキュリティ対策が承認されやすい傾向にあるのはなぜでしょうか？ それが前述した「SAMの目的とメリットが認知されない3つの理由」によるものだと考えます。

　次に、SAMと情報セキュリティ対策の稟議にはどのような違いがあるのでしょうか。「SAMの目的とメリットが認知されない3つの理由」に沿って、両者を比較したのが以下の図3です。

図3　SAMと情報セキュリティ対策の稟議の比較

　SAMの稟議ではあいまいな部分が、情報セキュリティ対策の稟議では明確になっています。要は、「SAMの認知が上がらない3つの理由」に沿って、「情報を一般化（＝可視化）」し、「支払先からの要求」を納得させ、「組織としての経済メリットが上がる」ことを見せれば、情報セキュリティ対策のように承認される可能性が高まるというわけです。

　また、管理の軸を示すことも重要なポイントの1つです。例えば2つの稟議内容を比較してみると、情報セキュリティ対策の稟議では「機密性に対する取り組み」を前面に押し出しているのに対し、SAMの稟議の場合には「ライセンスコンプライアンス＋コスト削減＋情報セキュリティ」というように総花的な稟議となっていて、取り組むための目的もぼやけてしまっています。

　これらを踏まえ、SAMの稟議を書き直したものが以下になります。

SAMの導入稟議の例 〜受理される可能性が高い例（ライセンス監査対策にフォーカス）〜

　「現在当社では、インベントリツールを導入し、利用しているソフトウェアについては、ある程度把握はできています。しかしながら、ライセンスについては、情報システム部で調達している一部のライセンスを除き、それぞれの部門が何をどのように保有しているかは分からない状況にあります。

　先日、サンプリングで○○部、△△部のソフトウェアの利用状況とライセンスの保有状況を確認しました。どちらの部門も、セキュリティ監査や内部監査では特に大きな指摘を受けている部門ではなく、極めて一般的な管理状況にあると思われますが、 A社のライセンスが確認できなかったものが2種類で利用数が3本、B社のものが3種類で利用数が3本ありました。また、使用しないソフトウェアがセットになっているC社のソフトウェアも2種類で計5本のライセンスが調達されていました。

　これを単純に約5000台のPCのある全社に適用すると、A社の不足ライセンスが3％で150本、B社の不足ライセンスが1.6％で80本あり、C社の過剰スペックのライセンスが1.0％で500本ある計算になります。

　ソフトウェアについては、使用許諾契約に同意をして利用している以上、そこに記載されている監査条項から、ソフトウェアベンダーからの監査要求には応じざるを得ません。しかし、現在の状況で監査請求が入った場合、各部門では、その対応に日々の業務の多くの部分を割かなければならなくなる可能性があるばかりか、場合によっては損害賠償を請求される可能性も否定できません。ライセンスについてはソフトウェアメーカーが監査を活発化してきているという状況でもあり、当社も監査請求が来る前に、対応が必要と考えています。

　また、利用しているソフトウェアを分析した結果、利用者に悪意はないものの、スパイウェア系のソフトウェアを使用してしまっているPCが2台見つかっており、これも単純に全社に適用すると200台に入っている可能性があります。コンプライアンスの面からも、またセキュリティの面からも、当社として必要最低限の管理態勢を構築し保持するために、最低限の投資は必要と考えます。

　この稟議では、ライセンス監査対策を管理強化の「目的」とし、自組織の状況を具体的に挙げて、それに取り組む必要性を説明しています。また「対策の結果、削減が見込まれるコスト」についても具体的に言及しています。さらに、ライセンス監査の活発化や使用許諾条件順守の重要性については、第三者からの伝聞を引用する（例えば、「先日に開催されたSAMACのセミナーによれば……」とか「BSAの顧問弁護士の講演によれば……」など）と、より効果は高くなります。

　ここまで書けば、マネジメント層がその重要性を理解していなくとも、完全に却下される可能性は低くなるでしょうし、却下されたとしても、少なくとも（組織における実効性はないにしても）担当者としてここまで検討し、稟議申請したという記録は残すことができます。

　では、どのようにすれば、このような具体的な稟議を作ることができるのでしょうか？ 次項ではその参考例をお伝えします。