仮想化、クラウド、モバイルなど、IT技術やサービスの多様化が著しい現在、ビジネスのスピードや利便性は大幅に向上した。だがその反面、IT資産は複雑化し、その把握とコントロールは一筋縄ではいかなくなっている。こうした状況の中、いかに自社の情報セキュリティやコンプライアンスを維持すればよいのか?――SAM World 2016にその答えを探る。
2016年6月10日、SAMAC(ソフトウェア資産管理評価認定協会)が主催する国内最大のIT資産管理・ソフトウェア資産管理の専門カンファレンス「SAM World 2016」が東京・新宿で開催された。
仮想化、クラウドの普及でIT資産管理がますます複雑化し、「全ての資産を正しく把握・管理できていない」ことに起因する情報セキュリティ事件・事故の増加や、新しいライセンスの考え方に基づくコンプライアンス問題や、それに対応するための管理コスト、投資コストは増加傾向にある。これを抑止し、最適化する手段としてのSAMの注目度は年々高まりを見せ、今年のSAM Worldは500名近い申込者があった。当日は基調講演、特別講演、ユーザー講演の他、SAMAC、後援団体、会員企業による、延べ20ものセッションが実施されたが、本稿ではその模様を一部抜粋してお届けしよう。
まず基調講演には、佐賀県で2016年3月まで最高情報統括監(CIO)を務め、現在、岡山県特命参与や総務省地域情報化アドバイザーなどを務める森本登志男氏が登壇。「情報セキュリティから見た、IT資産管理の重要性 〜IT先進県 佐賀県の事例から〜」と題し、佐賀県におけるICTを活用した業務改革の取り組みと、IT資産管理のポイントを紹介した。
佐賀県CIOのミッションは、「全国最先端の電子県庁を構築すること」「ワンストップ電子行政サービスの実現への道筋をつけること」「ICTを活用した地域活性化及びICT関連産業の振興を図ること」の3つ。その具体的な成果として、電子県庁の構築で情報システムコストを10年間で約44億円、2016〜2017年では17.8億円を見込む成果を上げたこと、全救急車50台にiPadを配布し、搬送先の情報を確認することで搬送時間を1分短縮したケースなどを紹介した。また、2014年10月からテレワークを全庁導入したことで、2015年1月の鳥インフルエンザや、2015月8月の台風、2016年の大雪などの災害発生時に、職員が各自で判断して自宅や出張所で業務を継続することができたという。
こうした取り組みの中で、IT資産管理が極めて重要になったという。特にテレワークではデバイス、ソフトウェア資産、ライセンスを集中管理できる体制が不可欠となった。
森本氏は「どこに何があるかの把握が重要。システムの新規導入のタイミングはそうした体制を作る上で最適だ。ただ、いきなり全組織の集中管理体制を築くのはハードルが高いので、まずは分散管理から始めて、徐々に集中管理に移行するのもいい」とアドバイス。最高レベルのコンプライアンスが求められる自治体、かつ経験者の一言であるだけに、多くの受講者の耳に説得力をもって響いたのではないだろうか。
続く特別講演では、弁護士で、BSA|ザ・ソフトウェア・アライアンス日本担当顧問の石原修氏が登壇。「弁護士が解説! 不正コピーが引き起こす重大リスクとライセンス管理の重要性」と題して、不適切なライセンス管理に潜むリスクと、コンプライアンス実現のためのSAMの必要性を訴えた。
具体的には、リスクとして「不正コピーによって1億円を超える賠償額が支払われたケース」や「管理を漫然と放置したことで代表取締役自身が損害賠償を命じられた判決」を紹介。また「管理者や業者に任せているから大丈夫」「管理ツールを導入しているから大丈夫」といった理解は間違いであり、性善説で捉えないこと、ツールや仕組みは万全ではないことを強調した。
その上で、「違法コピー防止のためには、経営層が自ら意識を改革すること。基本台帳を作成し、台帳の情報を更新するルールを作ること。それを検証し、是正する取り組みを継続することが重要」とアドバイスし、あらためてIT資産管理が現場で終始する問題ではなく、経営問題であることを印象付けた。
SAMACセッションでは、ユーザーフォーラムワーキンググループ(WG)による「SAMシステム導入企業のアンケート結果」が発表された。発表には、ユーザーフォーラムメンバーであり、アンケート調査にも参加したリコージャパンの刀根伸行氏と、トクヤマ情報サービスの河村幸夫氏が登壇。司会進行を務めたWGリーダーのクロスビート 篠田仁太郎氏とともに、パネルディスカッション形式で進行した。
まず、篠田氏がアンケートの調査概要を紹介。アンケートは平均人員約7000名の12組織(最小700名、最大2万名、回答11組織)に実施された。管理対象ハードウェア数は平均約2万台(最小で約1000台、最大で12万台)で、使用しているSAMシステムは5種類(市販システムと独自開発システム)となる。
運用年数は5年以上が36.4%で最も多く、2年以上3年未満が27.3%だった。管理体制としては、分散管理が72.7%で、集中管理を大きく上回った。SAMシステム導入の経緯と目的については、7割以上が「調査・監査を受けたこと」が理由となっており、背景には手作業による管理の限界があるという。
「自主的に導入した組織は、既存のインベントリツールだけでは対応が難しいことを第一の理由に挙げた。ライセンスコンプライアンスを目的にした場合、SAMシステムが必要と判断されているようだ」(篠田氏)
対象ハードウェアはPCとサーバがほとんどで、現時点ではまだレガシーなIT資産のみを対象としているところが多いという。対象ソフトウェアについては、調査や監査を受けたところほど、保有ライセンス管理対象数が多くなる傾向が見られた。
「“調査・監査請求の前に”ライセンスの把握に取り組むことがSAM構築・運用の手間を低減させることにつながる。対象ソフトウェアは、運用年数を重ねるに従って少なくなる傾向がある。継続することが大切だ」(刀根氏)
SAMシステムの導入コスト・導入工数は、管理対象が増えても必ずしも多くはならない。一方、調査・監査を受けた先では、工数と期間が、受けていない先よりも如実に増えていた。
SAMシステム導入前と導入後の機能のギャップを調査したところ、「想定していた機能がなかった、使い勝手が違っていた」というケースは11社中10社に達した。自社開発したケースを除くと、100%が導入した機能は想定と違ったと回答したことになる。
具体的には、「仮想環境の管理機能がなく、ホストとゲストがひも付かない」「検索機能が弱い」「ユーザーライセンスを管理する機能がなく、デバイスライセンスとして登録するしかなかった」などだ。
「サーバについては、構成やメーカー、目的によってライセンスの扱いが変わる。特にCPUのライセンスは、コア数などのハード情報を管理できず、仮想ホスト、ゲストとも連携もできない。CPUのコアなどの情報とライセンスの使用許諾条件をひも付けるといった管理もできない。サーバのCPUライセンスの管理は大きな課題だ」(河村氏)
この他、保守料金や問い合わせ、バージョンアップ、不足機能の改善方法などについての結果などが示された。河村氏は「SAMシステムの構築は自分でやろうとすると予想以上に時間がかかる。第三者の助けを借りながら効率よく進めてほしい」とアドバイスした。
後援団体セッションのセッションでは、情報処理推進機構(IPA)の技術本部セキュリティセンター 情報セキユリティ技術ラボラトリーの寺田真敏氏による講演「ソフトウェアの脆弱性データベースとSAMAC辞書」が行われた。
スマートデバイスや制御系システムなどを狙った攻撃が日常化しつつある。こうした攻撃ではソフトウェアの脆弱性を悪用して重要情報を窃取するため、脆弱性が見つかったらセキュリティパッチを適用して、速やかに修正することが強く求められる。
IPAではそうしたセキュリティ情報について脆弱性対策情報サイト「JVN(Japan Vulnerability Notes)」として公開、運用している。このJVNの情報をSAMシステムに反映させることができれば、ソフトウェア資産管理とセキュリティ管理を統合した、速やかで効率のよいセキュリティ対策が実施できることになるという。
「JVNは、2つの脆弱性データベースで構成されている。1つは脆弱性対策情報ポータルサイトJVNで、製品開発者と調整した脆弱性対策情報をタイムリーに公開するもの。もう1つは、脆弱性対策情報データベースJVN iPediaで、国内で利用されている製品を対象にした脆弱性対策情報を広く蓄積するもの。そして、この2つを活用しやすくするための基盤として、JVN脆弱性対策機械処理基盤(MyJVN)を提供している」(寺田氏)
MyJVNは、JVNとJVN iPediaの情報をAPIを通じて活用することができる。脆弱性は、国際的にCVE識別番号やCVSS値、CWE分類を使って、影響度を測定したり、内容を確認したりできる。ここに、「CPE(Common Platform Enumeration)」と呼ばれる製品を一意に識別するための仕様を組み合わせる。
CPEとは、情報システムを構成するハードウェア、ソフトウェアの名称をプログラムで機械的に処理しやすい形式で記述する仕様のこと。具体的には「cpe:/{種別}:{ベンダ}:{製品}:{バージョン}:{アップデート}:{エディション}:{言語}」で表され、例えばIPAが提供するMyJVNというアプリケーションは「cpe:/a:ipa:myjvn」と表記することができる。
このCPEをSAMACが整備しているソフトウェア辞書に組み込むことで、各ベンダーが提供する製品のバージョンごとに、どんな脆弱性が発見され、どの修正プログラムを適用すべきかを容易に確認することができるようになる。
「ソフトウェアのインストール状況と脆弱性のひも付けは、多くの場合、人手で実施されている。ソフトウェア辞書と脆弱性対策情報がひも付けできれば、対策の効率化の可能性は大きく広がる。MyJPN APIでは、CPE v2.2をサポートしている。SAMACソフトウェア辞書に連携用項目としてCPEを追記することで利用可能だ」(同氏)
寺田氏は、開発中の連携アプリケーションのデモを披露。日々の脆弱性情報の収集だけではなく、資産管理と連携させた対策を進めることの有効性を強く訴えた。
セキュリティ管理と並んで企業担当者の関心を集めているのがスマートデバイス管理だ。SAMACの仮想化・クラウドWGによるセッション「スマートデバイスとSAM」では、WGリーダーであるSkyの金井孝三氏が、スマートデバイス管理の考え方とアプローチを解説した。
事実、ここ数年でスマートフォンやタブレットは多くの企業に浸透した。従業員が個人所有するスマートデバイスを業務利用するBYOD(Bring Your Own Device)の他にも、これまでのように従業員が企業所有のスマートデバイスを利用するBOID(Business-Owned Internet Device)や、企業がスマートデバイスを選定するCYOD(Choose Your Own Device)といった使われ方もある。
「スマートデバイスの業務利用は増加傾向にある。一方、企業側がスマートデバイスの業務利用を許可していないにもかからず、従業員が独自にBYODを実践しているケースもある。企業のリスク管理として対応が急務な状況だ」(金井氏)
対策の1つのポイントがライセンスだ。スマートデバイスに関連するライセンスは、デバイスにひも付くデバイスライセンスではなく、ユーザーにひも付くユーザーライセンスであることが多い。また、利用期間についても、期間が限定される非永続ライセンスであることも少なくない。スマートデバイス利用時においても、ライセンスの概念を理解すると共に、ライセンスの種類、利用範囲、利用期間などを含めてしっかりと管理しないと、ライセンス違反になることに注意すべきだ」(同氏)
通常の業務アプリケーションでも盲点になりやすい点があるという。例えばWindows Server CAL(Client Access License)は、クライアント側のOSをWindows PCに限定していない。AndroidやiOSなどのスマートデバイスからWindows Serverにアクセスする場合であってもCALが必要になるのだ。
また、SAM台帳の作成方法もポイントだ。スマートデバイスの場合、1人のユーザーがスマホとタブレットなど複数のデバイスを利用する形態が主流。このため、従来のような1台のPCを1人あるいは複数人と共有して利用する形態とは異なる管理体系が求められる。
「従来のデバイス中心ではなく、ユーザー中心の管理体系を考える必要がある。その際、ユーザー情報以外に、デバイス、契約、アプリケーションに関する情報も併せてひも付けて管理することが大切だ。また、BYODで運用している場合には、特に、利用者が機種変更や契約変更などを行うことを前提に考える必要があり、従来の情報システム部門が主導してデバイスまで管理するよりも利用機種や利用アプリケーションにどの情報変更が頻繁に起こるので、情報収集や教育の仕組みを整備する必要もある。SAMに加えて、MDM(モバイルデバイス管理)のノウハウも活用していきたい」(同氏)
PCを対象とした従来のSAMの仕組みで、スマートデバイスを取り込んで管理するのは課題が多いとし、スマートデバイスを業務で利用する上では必ず必要となる情報セキュリティ対策の中に、SAMの要件を付加していく形での進め方が現実的だと指摘した。
イベント最後のユーザー講演では、「建設業における資産管理〜現状把握とSAM監査への対応」と題して、広成建設 取締役兼常務執行役員 経営企画本部長の森幸雄氏が登壇した。JR西日本グループの同社は、国策として輸送力増強が求められていた1941年、中国・四国地域の鉄道施工業者を統合して設立。2016年9月に創立75周年を迎える伝統的な建設会社だ。最近では北陸新幹線の軌道敷設工事、広島駅の橋上化工事などを手掛け、平成26年度の売上高は528億円、うち70%が鉄道関連工事である。
今回、森氏が紹介したのは、2014年8月、同社がソフトウェアライセンスの管理状況についてメーカーから調査を受けた際の経験談だ。
同社の従業員数は契約社員も含めて約1000人。その1人1人に1台ずつノートPCを貸与している。このIT資産を管理するために「IT管理規定」を策定。本社には全社規模でのハードウェア・ソフトウェアの選定・一括購入を行う「統括IT管理者」を、各支店には購入したIT資産の配備・管理を行う「IT管理者」を置き、総務との兼務ではあったが、組織としてIT資産を管理する体制を築いていた。
だが建設業界には、IT資産管理を阻害する特有の事情があるのだという。例えば工事はさまざまな場所で行う。「すなわち“現場が移動する”ため、それに合わせて仮設事務所を構える。このため事務所で使うIT資産に、本社・支店の監視が及びにくい傾向が強い」のだという。同社の場合、建設業界一般においてそうした傾向がある中でも、前述の管理体制を敷いていたわけだが、「以前はハードウェア中心の管理で、ライセンスやライセンス媒体の管理までは念頭になかった」という。
「以前は1000台のノートPCの情報を資産管理サーバに入れて管理していた。当時の資産管理ソフトでは、『どのPCに、何のソフトが入っているか』は分かるが、ノートPCとソフトウェア、ライセンス、ライセンス媒体の4つをひも付けた管理はできていなかった。ソフトウェアはエクセルで手作業で管理し、ライセンス媒体はユーザーの氏名を書いた付せんを貼って管理するといった具合。実態を反映した管理ができていなかった」(森氏)
そうした中、2014年8月、同社にメーカーからライセンス管理状況について調査依頼が来た。会社としての対応が必要と考え、同社はIT資産管理の専門家とアドバイザー契約を、IT資産管理を専門とする弁護士と顧問契約を結んだ。だが、現地調査は混迷を極めた。
まず全従業員に自主調査を促したところ、約500本のライセンス不足が判明。事実なら約1億円を超える不足金額となる。再度、調査を促すと今度は160本に減った。そこで本社・支店のIT管理担当者とアドバイザーが実際に全部門を回って調査したところ、260本が実態だと分かった。「各従業員に調べろと指示しても、ライセンスの知識がない支店任せでは正確な報告は上がってこない」(同氏)。
また、廃棄したはずのPCが倉庫やロッカーから300台ほど見つかった。これも「電源が入れば調査対象になる」ため、それも含めると580本の不足になってしまう。だがその後もアドバイザーと顧問弁護士の助力を得ながら、調査と情報整理を重ね、廃棄予定のPCに入っていたソフトウェアなどを整理していった結果、最終的には130本の不足でメーカーと合意した。調査は約半年、200人日かかった。費用は約1000万円。もちろん賠償金は含まれていない――。
「これを反省材料として、IT管理規定を改正した。具体的にはノートPC、ソフトウェア、ライセンス、ライセンス媒体を管理台帳を用いて一元管理する規定を作った。また、ライセンス購入時には事前申請する/ライセンス媒体は支店で一括管理し現場には渡さない/廃棄手順も詳細に定めて支店が一括して行う、など規定に盛り込み、ハードウェア、ソフトウェアの購入から廃棄まで、ライフサイクル全体を管理する体制に変えた」(同氏)
IT資産管理ツールも新たに導入した。インベントリツールでハードウェア、ソフトウェアの情報を資産管理サーバに収集し、これを台帳管理サーバで集約。ノートPC、ソフトウェア、ライセンス、ライセンス媒体の管理台帳をツールで集中管理する仕組みを築いた。
「IT資産管理は総務との兼任である以上、確実な実施にはツールが必須。管理規定、研修・教育、ツールの3つで回すのが有効と考える。だが、まだ万全というわけではない。PDCAを回して管理体制を継続的に改善していく」(同氏)。
だが社会一般を見れば、USBメモリによる情報漏えいなど、管理・把握していないIT資産によるセキュリティリスクや、ライセンス違反のように無自覚のうちに犯してしまうコンプライアンスリスクに見舞われる企業は年々増加している。森氏はそうした状況と同社の経験を振り返り、「これらは企業の命運を左右する、どの企業にも起こり得る重大なリスク。日ごろからIT資産管理の専門家と情報交換したり、SAM Worldのようなイベントで最新情報に触れたりすることは非常に重要だ。IT資産管理は企業規模を問わず、全ての企業が取り組むべきだと考える」と締めくくった。
仮想化、クラウド、モバイルといった企業を取り巻くIT資産の環境の変化は、SAMシステムの在り方や考え方だけでなく、情報セキュリティへの取り組みにも大きな影響を与えている。SAM Worldは、情報のアップデートと今後の取り組みに向けた貴重な機会となる。多岐にわたるセッションや展示会で熱心に耳を傾けていた参加者らは、あらためてSAMの重要性を認識するとともに、こうしたカンファレンスの意義を実感しているようだった。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:一般社団法人 ソフトウェア資産管理評価認定協会
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年9月14日