仮想化、クラウド、モバイル時代、IT資産管理がセキュリティ、コンプライアンスを左右する理由:「攻める」だけでは自社の基盤が揺らぎかねない
仮想化、クラウドの浸透で、ソフトウェアをはじめとする各種ITリソースは迅速かつ手軽に調達可能となった。その利便性は企業にとって大きな武器となったが、サーバー仮想化の活用、クラウド移行、モバイル導入などの背後にある“思わぬ落とし穴”にも十分に目を向けなければならない。落とし穴の具体像と回避策をソフトウェア資産管理評価認定協会(SAMAC)に聞いた。
市場環境変化が激化している現在、ビジネスには一層のスピードと柔軟性が求められている。こうした中、ITリソースを迅速に調達できる仮想化、クラウドは多くの企業に浸透した。だがそうした“調達の利便性”がセキュリティ、コンプライアンス面にさまざまな影を落としている。例えば現場部門がSaaSやソフトウェアを勝手に契約・導入したことにより、IT部門が関知しないIT資産がセキュリティホールの原因となったり、これら勝手に調達されたソフトウェアがライセンス違反の原因となったりした例が後を絶たない。
こうした状況に対し、ソフトウェア資産管理の管理基準ならびに評価規準策定/SAMコンサルタントの養成/適切なSAMの普及・啓発などを行うソフトウェア資産管理評価認定協会(以下、SAMAC)も、「仮想化、クラウドの浸透で、無意識にライセンス違反を犯してしまうケースが急増している」と警鐘を鳴らしている。では具体的に、今セキュリティ、コンプライアンス面ではどのようなリスクがあり、どのような対策を打つべきなのだろうか?
セキュリティやリスク管理に詳しいSAMAC理事の野間恭介氏と、ソフトウェア資産管理を専門とするSAMAC監事の島田篤氏、そしてSAMACで仮想化・クラウドのワーキンググループリーダーを務め、ユーザー企業との関わりも深い金井孝三氏に、近年のソフトウェア資産管理の課題と考慮すべきポイントを聞いた。
仮想化、クラウド、BYODで急増する“無意識”のライセンス違反
── ソフトウェア資産管理では、今どのようなことが課題になっているのか、あらためて現状を教えていただけますか?
SAMAC理事の野間恭介氏野間氏 まず全体的な傾向として、仮想化、クラウドの浸透によるリソース調達の利便性向上が、ITガバナンスの乱れにつながってしまうケースが増えています。例えば、業務部門主導でIT部門を通さずにSaaSを導入した結果、無意識にライセンス違反を犯してしまうといったケースですね。オンプレミスやプライベートクラウド環境で仮想サーバーを立ち上げやすくなり環境が動的に変化することも、現在のシステム構成の把握、ライセンスの正確な管理を難しくしています。
仮想化、クラウドは企業にとってビジネスを推進するための大きな武器です。しかしこれらを活用してビジネスニーズに応えようとするあまり、守りの側面が手薄になり、結果的にセキュリティ/コンプライアンスリスクにつながってしまっているケースが多いように思います。
島田氏 そうですね。サーバーのソフトウェアは1機器/1導入/1ライセンスのデバイスライセンスが主流でしたが、最近ではプロセッサーライセンスが主流となっています。プロセッサーライセンスはソフトウェアが導入される環境により使用ライセンス数の算出条件が複雑になりますが、使用許諾条件をよく確認せずに仮想環境にソフトウェアを導入してしまうケースがよく見られます。社内の物理環境で使っていたソフトウェアをクラウドに移行する企業も多いですが、移行後に必要となるライセンス数や、場合によってはライセンス契約の変更の必要性などをよく確認せずに移行した結果、使用許諾違反となってしまうケースも珍しくありません。
── デスクトップ仮想化やBYOD(Bring Your Own Device)でもそうした問題は多そうですね。
金井氏 デスクトップ仮想化については、昨今は専用のシンクライアント端末ではなく、普通に業務に利用しているPC――「ファットPC」と呼びますが――このPC1台でOSやアプリケーションを通常環境とサーバー上の仮想環境で使い分けるスタイルや、クライアントPC自体を仮想化してアプリケーションを動作させるスタイルなどに変わってきているものが増えています。これに伴い、ソフトウェアのライセンスもハードウェアにひも付けた形態から、「ユーザーライセンス」として「使う人」にひも付ける形態に変わってきています。そして、現時点では、それらのソフトウェアのライセンスが同一組織内で混在することで、ライセンスの把握はより困難になっているといえます。
野間氏 BYODについては、現時点では私物デバイスを使わせないという企業も多いようです。しかし、スマートフォンやタブレットを会社支給するという企業が増えており、これを確実に管理するためには、「どの端末に、どのようなアプリケーションが、いくつ入っているか」などを確実に調査できるようにしておく必要があります。
島田氏 ただ、難しいのはリスクを重視して管理を厳しくするだけでは、業務効率を阻害しかねないことです。クラウドにせよ、デスクトップ仮想化やBYODにせよ、組織が行うべき業務とIT活用する目的とメリット、リスクとのバランスを見据え、管理のレベルを設定することが重要です。また、リスクを軽減するために利用するIT環境で把握すべき情報を見極め、確実に管理することがますます重要になっているといえます。
── ちなみにソフトウェアのライセンス違反を起こすと、企業は具体的にどのような影響を被るのでしょうか。
島田氏 ライセンス違反が発覚した状態にもよりますが、不足が確認されたライセンスの購入が求められるなど、予定されていない費用の支出が生じるケースがあります。また、不足分ライセンスの購入以外にも損害賠償金や和解金の支払いが生じるケースもあります。
野間氏 コンプライアンスにも抵触するわけですから、金銭的な問題だけではなく、社会的な信頼、ブランドを低下させることにもつながります。昨今、相次いでいる情報漏えい事件の社会的インパクトを鑑みても、金銭面よりこちらの方がインパクトは大きいかもしれません。
効果が上がる資産管理の仕組みを作るには
── ではそうした現状がある中で、IT部門はどのようにガバナンスを担保すればよいのでしょう?
SAMAC監事の島田篤氏島田氏 まずライセンスの正しい理解が不可欠です。ソフトウェアは「ベンダーが定めた使用許諾条件に従い利用する」というベンダーとの「契約」に基づき使用するものです。契約である以上、契約に定められた内容を逸脱して利用することはできません。まずはこれをシビアに認識すべきです。
次に大切なのは、今現在使用しているソフトウェアに適用される使用許諾条件と、使用ライセンス数を算出するために確認すべき要素は何かを正確に把握し、使用ライセンス数が変動するイベントを洗い出すことです。例えばプロセッサーのコアごとにライセンスが必要な場合、仮想環境で割り当てコア数を増やしただけで追加でライセンスが発生する場合があります。
先ほど金井さんから、「ソフトウェアライセンスもハードウェアにひも付けられるデバイスライセンスから『人』にひも付けるユーザーライセンスの形態をとるものが多くなってきている」という指摘もありました。これら要素が変動するタイミングを洗い出し、確実に把握できるようにすることが重要です。
具体的には、プロセッサーライセンスの場合、同じシステムを物理環境から仮想環境に移行するだけで必要ライセンス数が変わる例があります。この場合は、物理環境から仮想環境に移行する際にプロセッサーの情報を把握できる状態にすることが求められます。また、同じ製品でもオンプレミスとクラウドでは違うライセンスが適用されるケースもあります。同じソフトウェアをオンプレミスとクラウドで混在して利用している場合は、「どの環境にどちらの体系のライセンスを適用したか」を導入時に記録しておき、その後、環境に変更があれば確実に把握できるようにしておくことも大切です。
一方、管理体制の面では、「システムを保守する人」と「ライセンスを管理する人」が別々ということも少なくありません。場合によっては、保守する人がライセンス使用数に影響を及ぼすイベントを認識せずに割り当てCPU数の変更を行ったため、ライセンス不足になったケースもあります。そのため、ソフトウェアライセンス管理担当者に関わらないシステムの担当者も「どのような条件のライセンスを使用しているのか」を、確実に把握できるようにしておくことが大切です。
野間氏 IT部門が購買部門、経理部門の協力を得て、全IT資産を一元的に管理することも有効です。もし管理を業務部門に分散させる場合は、ライセンスに関する知識レベルの異なる多数の管理者がそれぞれ部門のIT資産を管理することになるので、管理者に対する継続的な教育とコンプライアンス部門や内部監査部門などによる定期的なモニタリングが不可欠です。ライセンスの管理部門と利用部門の両方から、「ライセンス違反を起こさせない体制づくり」を進める必要があります。
「棚卸しでつまずかない」ソフトウェア資産管理、成功の現実解とは?
―― では、そうした管理体制はどのように作ればよいのでしょうか? 日々の多忙な業務の中でIT資産の棚卸しをし、その情報を正しく管理するのは、多くの企業にとってハードルが高いと思います。どうすれば挫折せずに取り組みを進められるのでしょう?
SAMACで仮想化・クラウドのワーキンググループメンバーを務める金井孝三氏金井氏 確かに既存のライセンスを調査し、新しい管理体制を確立してというのは、簡単にできるものではありません。とはいえ、だからと言って何もしないのでは、現状のままです。ですから、まずライセンスを正しく管理する仕組みを作った上で、新しく導入する/入れ替えるソフトウェアから、定めた管理方法を適用していくことが現実解といえます。その後は、定期的にライセンスを棚卸しし、変更を把握できるようにしていきます。
このようにして、数年をかけて管理されていないライセンスなどの資産を減らしていくことが重要です。逆にソフトウェアを導入して時間が経過している中で、いきなり、「全てのライセンスを調査する」と言えば、社内からの反発は凄まじいことになるでしょう。唯一、反発があっても、至急に実施しなければならないのは、不適切なライセンス利用を外部から指摘された時ではないかと思います。ただ、いつ外部から指摘されるかは分かりませんから、今すぐにでも、これから新しく導入する最初の段階でのソフトウェアのライセンス情報を把握し、一元管理する仕組みを作ることが大切です。
ただし、数年かけて全てを把握していく場合であっても、現在利用されているソフトウェアを野放図にしておくことはできません。少なくとも現在利用しているソフトウェアならびにそのライセンスの状態がどのようになっているかについては、組織として認識し、新たなソフトウェアが利用された場合、あるいは新たなライセンスが調達された場合には把握できる仕組みを持っておくことが必要です。
野間氏 実際、「膨大な既存資産をどう把握すればよいのか」という相談はよく受けます。自社のIT資産を全て把握した上で、ライセンスの管理体制を構築する方法が望ましいのですが、一度に全てを管理しようとするアプローチでは、最初の一歩を踏み出せないまま終わってしまうケースが多い。まずは現状を把握するためのルールを作り、持続可能な範囲で取り組みを続ける。ハードウェアの更新時期が5年程度であることを考えれば、管理された状態を5年続ければ、自社のほとんどのIT資産は管理されたものになります。
―― ではソフトウェア資産の情報収集は、どのように進めるべきなのでしょうか?
金井氏 まず情報収集のルールを細かく定めて、「各資産の情報をどこまで調べ、どのように管理するか」という管理方針を決めることですね。先のお話にもありましたが、「ソフトウェア資産の利用環境、利用者に変更があった際の報告・記録の仕方」など、「今の情報」、そして、「変更された情報」を正確に把握できるようなルールと、それを検知する仕組みを作ることが大切です。
また、資産調査の際の情報収集項目の表記法、記録メディアの種類、証書の保管方法なども重要なポイントとなります。これらを明確に定めておかないと、現場の回答者によって情報収集項目の回答表記がまちまちとなり、集まった情報において「同じことが複数の表現で記載されている」といった問題が起こります。その結果、必要な情報を正しく把握できないため、再調査を行う必要が生じるなど、調査の意義や効率が半減してしまうことになります。こういったことを防ぐためにも、最初にルールを決めることが大切になります。
島田氏 ソフトウェア導入時のハードウェアとライセンスのひも付けや変更の管理を効率的に行えるようにするためには、SAMツールを利用することも有効です。
ただし、ネットワークに接続されている資産やそうではない資産、また、SAMツールではインベントリ情報が収集できないハードウェアなどもありますので、SAMツールで全ての管理ができると思わないようにすることが大切です。
IT資産のライフサイクルのイベントをルールを決めて管理していくためには、金井さんのお話にもあったようにルールを決め、それを検証する仕組みを作ることが必要であり、この部分についても、SAMツールで対応できる要素はそれほど多くありません。SAMツールを利用する際には、単純に導入するのではなく、SAMツールでIT資産管理のどの部分を効率化するのかについて十分に検討することが大切です。
野間氏 網羅性の担保は難しい問題です。例えば調達に関して言えば、ハードウェア/ソフトウェア資産の調達拠点を整理して、拠点ごとに管理が均一になるよう人材を教育する地道な取り組みが必要になります。しっかりと把握するためには、自社でツールを使って管理しつつ、客観性の観点からもライセンス知識の豊富な外部コンサルタントの力を借りるのも一つの手です。
金井氏 もう一つは、「IT部門だけ」で何とかしようとは考えないことでしょうね。網羅的に確認しようとすると、サーバーやPC本体だけではなく、CDドライブやUSBメモリなどの周辺機器、そうした周辺機器に添付するライティングソフトやスキャンソフトなども管理対象になってきます。購入の際に伝票や物品が経由する経理や総務など、関係するさまざまな部署と協力する体制を作っておく必要があります。
島田氏 つまり、確実なIT管理を実現するためには自ずと全社的な取り組みになるわけです。従って経営層がソフトウェア資産管理の取り組みをバックアップすることは重要です。自社ビジネスの目的・内容に応じてリスクと効率のバランスを見極め、「ハードウェア/ソフトウェア資産情報を、組織全体で管理する」という意識がなければ取り組みはうまくいかないと思います。
ライセンスとうまく付き合うには
金井氏 ただソフトウェアライセンス管理はユーザー企業側だけの問題ではなく、ベンダー側の対応が遅れていることも、また一方の課題としてあるように思います。例えばソフトウェアの使用許諾を読んでも、クラウドで利用する場合のライセンス体系について明記されていないことも少なくありません。しかし書かれていないからといって、自由に使ってよいわけではありませんので、その場合の使用条件については、都度ベンダーに確認をする必要が生じます。
冒頭で野間さんが指摘されたように、ビジネスの推進に注力するあまり、「クラウド上で動くかどうか」の検証など「使うこと」ばかりが優先され、ライセンスの確認が後手に回ったり、確認できないまま利用してしまったりする傾向は、今あらためて見直すべきです。
── では最後に、こうした状況の中でライセンスとうまく付き合っていくためのアドバイスをいただけますか?
SAMACではソフトウェア資産管理の今を見据え、現在の状況、企業の現実に即した管理ノウハウを提供している。昨今のシステム複雑化に伴い、会員も増え続けているという。金井氏 まず自社の業務状況に応じてソフトウェアの調達形態を使い分けることが考えられます。例えば、「定期的に(一年に一度など)使用数を報告し増加分のライセンス費用を支払う形で、使用者を追加するたびに追加ライセンスを購入する必要がない」といった包括契約という形態があります。ビジネスのスピードを重視しライセンス購入や管理の手間を省きたい場合は、そうしたソフトウェアのライセンスを購入するのも一つの方法です。
野間氏 目的とコストのバランスを考える視点も大切ですね。経営戦略に合わせて必要なライセンスの投資計画を立てるということです。先の島田さんの指摘にもありましたが、「自社ビジネスの目的は何か」「攻めと守りの両面で何を優先すべきか」「そのためにどのようなライセンス形態を導入すべきか」を見極める経営層の観点が、ソフトウェアライセンス管理の不可欠な要件になると思います。
── 最後にSAMACとしてのメッセージをいただけますか。
野間氏 仮想化、クラウドの台頭によって、管理手法も転換期を迎えています。ソフトウェアライセンスについても、サーバーライセンスやユーザーライセンスなどがあり、管理が複雑化しています。SAMACではこうした状況に即したソフトウェア資産管理のあるべき姿、それをサポートするソリューション、その選定基準など、さまざまな情報を提供しています。
ソフトウェアライセンス管理の知識・ノウハウは、コンプライアンスの徹底や、経営効率化、ビジネス展開のスピードアップに欠かせない要素の一つです。2015年6月12日にはSAMACが毎年主催しているソフトウェアライセンス管理の総合イベント「SAM World 2015」も開催予定です。ソフトウェア資産管理の今を知り、企業経営に生かしていただくためのさまざまなノウハウ、知見を提供しますので、ぜひ多くの皆さんに参加してほしいですね。
2015年6月12日にはSAMACが毎年主催しているソフトウェア資産管理の大規模イベント「SAM World 2015」が開催される。ソフトウェア資産管理のノウハウ、事例、各種ツールまで、総合的な知見が手に入る総合イベントだ。ソフトウェア資産管理に課題や疑問を感じている方は、足を運んでみてはいかがだろう。
2015年6月12日、ソフトウェア資産管理の大規模イベント「SAM World 2015」を開催
ライセンスコンプライアンスへの対応、経営効率化、ビジネス展開のスピードアップなどソフトウェア資産管理に関するさまざまな情報が手に入る「SAM World 2015」。ソフトウェア資産管理のノウハウ、ユーザー事例、各種ツールまで、総合的な情報が手に入る総合イベントを開催。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:一般社団法人 ソフトウェア資産管理評価認定協会
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年6月13日
ITmediaはアイティメディア株式会社の登録商標です。