なぜSAMは認められないのか? 〜予算をもらう3つの秘訣〜:実践! IT資産管理の秘訣(3)(4/4 ページ)
「SAMの目的とメリットが認知されない3つの理由」の解消法
以下では、1ページで紹介した「SAMの目的とメリットが認知されない3つの理由」に基づいて、それぞれを解消できる稟議のポイントをまとめます。
1.「IT資産管理不備のリスクの軽視」の解消例
まず「リスクを軽視する」ということは、リスクが具体的に見えていないということですので、「リスクを可視化する」ことが必要です。リスクを可視化する方法は幾つかありますが、ここでは次の3つを単独もしくは複合的に実施することをお勧めします。
・利用ソフトウェアの分析
「利用ソフトウェア分析」とは、「どのようなソフトウェアが、誰に、どの程度利用されているか」をインベントリツールとソフトウェア辞書ツール(※)を利用して分析するものです。これを行うことで、コンプライアンスとセキュリティ、両面でのリスク認識を組織内で共有できるようになります。
- ソフトウェア辞書とは(SAMAC)
このインベントリツールとソフトウェア辞書ツールを利用する方法は、最も簡単に利用状況を可視化できる方法の1つです(ソフトウェア辞書を持たないインベントリツールを利用している場合は、別途ソフトウェア辞書の調達が必要になります)。以下は利用ソフトウェアの実際の分析例です(分析が分かりにくいという場合には、筆者までお問い合わせください)。
図4 インベントリツールとソフトウェア辞書ツールを使った利用ソフトウェアの分析例 その1
図5 インベントリツールとソフトウェア辞書ツールを使った利用ソフトウェアの分析例 その2・サンプリング調査
これは、取りあえず幾つかの部門を抽出し、現状調査を実際に実施してみるというものです。現状調査によって、これらの部門が「保有しているライセンス」と「利用しているソフトウェア」の状況を把握します。実際の部門における利用状況と管理状況を可視化することによって、リアリティのある全社予測値を算定できるため、リスク認識を共有することが可能になります。
ただし、「サンプリング調査を実施する部門(なるべく問題のありそうな部門と平均的と思われる部門)を適切に選定すること」「適切なライセンス知識をもって実施すること」がポイントになります。外部に委託する場合には、サンプリング部門とそこの保有数にもよりますが、委託先には十分な知識と作業品質を求める必要がありますので、少なくとも50万円程度は見込んでおいた方が良いでしょう。
・成熟度診断
例えば、SAMACのSAM管理基準と評価規準などに従って、組織のSAMの状況を客観的指標で評価するものです。成熟度評価によって、組織の問題点が、ISOやSAM管理基準の要求事項を根拠として文書化されますので、要求事項単位で、採るべき対策が明確になります。また、改善のためのポイントも指摘されるため、対策も容易になり、最も実効性が高くなるといえるでしょう。
SAM管理基準(SAMACホームページ/PDF)
SAM評価基準(SAMACホームページ/PDF)
ただし、成熟度評価の実施には専門的な知識が必要になります。組織にそのような知識・能力を持った担当者がいない場合には、SAMAC公認SAMコンサルタントなどの第三者を利用することが必要になります。一般的には有償ですが、ベンダーのサービスなどをうまく利用すれば無償での実施が可能になる場合もあります。ただしその場合には、実施するベンダーのパートナー企業によって、成果物の内容に大きな品質の差が生じてしまうケースも少なくありません。
第三者による成熟度評価の費用は、組織規模と成熟度評価範囲にもよりますが、先ほどのサンプリングと同じく、専門的な知識を持っている組織に委託する必要があることから、少なくとも70万円以上は見込んでおくことが必要でしょう。
2.「使用許諾条件に対する心情的な拒否感」の解消例
これは、前述した通り、心情的な要素が非常に強いものなので、解消が最も難しいものだと思います。しかし「現状のままではどのようなリスクが発生するのか」を客観的に示すことができれば、「拒否感の解消」とまではいかなくとも、「取り組みやむなし」と思わせることは可能でしょう。
僕のこれまでの経験から有効だったのは、「第三者の意見を添える」というものです。第三者の意見として効果的なものとしては、以下の2つです。
- 専門家や専門組織による意見
- 実際に取り組んでいるユーザーの意見
ここでいう「専門家」とは、先ほどの公認SAMコンサルタントやSAMの支援団体を指しますが、より効果を高めるためには、できれば弁護士の意見をもらうことをお勧めします。特に、自組織に顧問弁護士がいる場合には、その顧問弁護士にSAMの現状を伝え、「契約上、どのようなリスクがあるのか」について意見を出してもらえれば最も効果的でしょう。
実際に取り組んでいるユーザーについては、取り引きのあるツールベンダーやSAMACのような団体に依頼すれば、適切にSAMに取り組んでいるユーザーを紹介してもらうことができます。たまにユーザー事例などがインターネット上にあり、それを引用して済ませる組織がありますが、直接話を聞くと、そこに書いてあることとは全く異なる生の声を聞くことができますので、直接確認することを強くお勧めします。
なお、ツールベンダーの営業スタッフによっては、「ツール導入企業にとっては、何のツールを利用しているかは企業の秘密情報に当たるため、紹介できない」という人もいますが、ほとんどの場合それは「うそ」です。少なくとも僕がお客さまを訪問し、どんなツールを使っているかを伺って、教えてもらえなかったことは一度もありません。そういうことを言う営業スタッフは、残念ながらお客様との信頼関係が築けていない証拠といってもいいと筆者は判断します。ですので、そうした場合は別の営業スタッフやツールベンダーに当たることをお勧めします。
3.「管理によって可能となるコストの軽視」の解消例
これは、先に「IT資産管理不備のリスクの軽視の解消例」で挙げた利用ソフトウェア分析やサンプリング調査を有効に利用する方法です。
例えば、組織で利用しているソフトウェアを分析することによって、「Microsoft Office Accessを利用しないのに、Office Professionalが多数導入されている」「ボリュームライセンスで契約しているにも関わらず、同じソフトウェアがパッケージで調達されている」「同じソフトウェア構成のPCを大量に配付しなければならないのに、社内使用が禁止されているソフトウェアがプリインストールされたマシンを調達している」といった無駄の発見と将来の是正が可能になります。
また、「保有しているライセンス」と「利用しているソフトウェア」の状況を把握した結果、ライセンス契約の見直しが可能となり、それによって大きくライセンスコストを削減できる可能性もあります。さらにライセンスのみならずハードウェアについても、余剰ハードウェア情報の把握によって、無駄なリプレースコストを抑えるといったことも、コスト削減効果の1つとして挙げられます。
これがどれくらいのコスト削減になるかは、実際に調査をしてみないと正確には判明しませんが、僕のこれまでの経験上、どの組織においても、特にライセンスの無駄が発生していないことはまずありません。利用ソフトウェア分析やサンプリング調査によって入手した具体的な数値を全社に適用することで、削減できるコストが具体的に試算できるようになると思います。
SAMは考えているだけでは何も進みません。まずは狭い範囲でもかまいませんので、現状を把握するための調査から実施してみてはいかがでしょう。次回は、SAMの構築のポイントとして、まずはライセンス調査の対象ソフトウェアの抽出について解説します。単に、マネジメントシステムの要求事項に沿ったSAMの構築ではなく、組織として必要な範囲のSAMの構築をどのようにしていくかについて、お伝えしようと思います。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。