ビジネスとITの融合が進む中、SAM/ITAMの対象領域は大きく拡大し、ビジネスを遂行する上で欠かせない考え方になっている。そのような中で、IT資産管理とリスク管理、ビジネスの成長に向けて企業が押さえるべきポイントは何か。標準化の動向から、ツールやソリューションの使い方のポイント、人材育成、最新テクノロジーの対応までを対象に実施されたITAM World 2018からそのヒントを探る。
日本最大級のIT資産管理(ITAM)、ソフトウェア資産管理(SAM)の専門カンファレンス「ITAM World 2018」(主催:IT資産管理評価認定協会:SAMAC)が2018年6月8日、東京都内で開催された。仮想化、クラウドの発展による管理の複雑化や利用シーンの多様化が進む中、IT資産の適切な管理は企業にとっての最重要課題の1つになっている。
2017年に「SAM World」から「ITAM World」に名称変更しパワーアップした本カンファレンスだが、2018年も400人近い来場者が集い、最新技術やソリューション、事例に熱心に耳を傾けた。
基調講演には、コンサルティング会社Anglepoint社のCEOで、IT資産管理委員会(ISO / IEC JTC1 SC7 WG21)コンビナーを務めるRon S. Brill氏が登壇。「ITAMの標準と、ITAMの将来」と題して、ITAMの標準化の取り組みを概観した。
Brill氏は、SAMの国際規格ISO/IEC19770シリーズを開発し、ITAM/SAMのグローバルでの普及活動に取り組んでいる。Brill氏はまず「2022年までにデジタルビジネスの取り組みのうち30%が不適切なITAMによって失敗する」というガートナーの予測を取り上げ、次のように警鐘を鳴らした。
「ITAMは、サイバーセキュリティやDR(Disaster Recovery:災害復旧)はもちろん、IoT、SDx、アジャイル開発などデジタル化の取り組みとかなりの部分で重複し、相互に補完する関係にあります。しかし、ITAMとセットで取り組みを進めるケースは少ない。それがデジタルビジネスの失敗を招く要因になります」(Brill氏)
フレームワークの重複もユーザーを混乱させているという。企業は取り組みごとにITILやISO2000/27000、COBIT、SOX法、HIPPAといった基準を順守しなければならず、ITAMまで手が回らなかったり、軽視したりする傾向も見られる。そうした課題を解消すべく組織されている国際組織がITAMワーキンググループ(WG21)だ。
WG21には、SAMACをはじめとした、各国を代表するIT資産管理の団体を含め、23カ国からベンダーやコンサルタント、ユーザー企業など150のメンバーが参加し、改善や新たな規格開発についての議論を重ねている。これまで5つの規格(ISO19770-1〜5)が公表されており、さらに「ソフトウェア識別タグ」「ハードウェア識別タグ」「ITAMインベントリスキーマ」など7つの規格の改訂と新たな策定作業が進行中だ。
Brill氏は「IoTやSaaS、PaaS、IaaS、テレメトリー、ブロックチェーンといった新しいトピックについても議論を重ねています」とし、ITAMを将来のデジタルビジネスを支える枠組みの1つとして推進することを強調した。
特別講演には弁護士で、BSA|ザ・ソフトウェア・アライアンス日本担当顧問の石原修氏が登壇。「法律/コンプライアンス面から見たIT資産管理のリスクマネジメント〜国内外の最新の摘発事例に基づく重大リスクとその対応策〜」と題して、ソフトウェアライセンスの基本や、不正コピーについての最新事情を解説した。
BSAは、違法コピーを告発する窓口運営やソフトウェア調査、ソフトウェア資産管理・教育ツールの提供などによる企業のコンプライアンス支援を26年にわたって展開してきた業界団体だ。石原氏はまず、ソフトウェアライセンスの基礎として、ソフトウェアの著作権に関する法律を解説し、「ソフトウェアを利用するには、使用許諾、すなわちライセンス契約が必要であり、ライセンス契約により、利用する場合の対価、利用する地域、期間、複数できる回数が決められています。契約にない利用は基本的に違反となることに注意してください」とした。
よくある違反は不正コピーだ。日本でも、不正にコピーしたソフトウェアを利用していた司法試験予備校やコンピュータスクールにそれぞれ約8500万円、4000万円の損害賠償義務を認める判決が出されたケースがある。近年でも、中古車事業者や酒類販売業者、機械製造業者、設計会社など、不正コピーの疑いで証拠保全されたケースが相次いでいる。
石原氏は、「不正コピーの損害賠償額は4億円を超えることもあります。注意したいのは大企業だけではなく従業員500人以下の企業も多額の損害賠償の対象になるケースが多いこと。さらに近年では、著作権法だけではなく、不正競争防止法や私電磁的記録不正作出・共用、商標法への対応も求められます。徹底した意識改革を行い、全社的な取り組みに位置付けて、管理を徹底することが大切です」と話し、ソフトウェア資産管理を、ビジネスを遂行するための不可欠の施策として取り組むことの重要性を訴えた。
午後からの後援団体セッションでは、情報処理推進機構(IPA)の技術本部セキュリティセンター 情報セキュリティ技術ラボラトリー寺田真敏氏が「IT資産管理とセキュリティ 〜リスク分析のすすめ〜」と題する講演を行った。
寺田氏はまずリスク分析の考え方について「中国春秋時代の軍事戦略家、孫武の兵法書『孫氏』には、『彼を知り己を知れば百戦殆ふからず』とあります。サイバーセキュリティ時代の兵法といえるのがリスク分析です。敵=脅威(攻撃者を含む)、己=自組織と置き換えてみると、セキュリティ対策において効果的な施策を実施するための教えとなります」と指摘した。
リスク分析とは、下記3つの事柄を評価指標にして、事業リスクを明確にするプロセスのことだ。
具体的には、資産の重要度、事業被害とそのレベル、脅威レベルをそれぞれ定義し、セキュリティ対策項目を確認する。
「アプローチとしては、資産ベースのリスク分析と、事業被害ベースのリスク分析があります。前者が『己を知る』もので、資産に対して網羅的に脅威と対策状況を評価できます。後者は『敵を知る』もので、一次攻撃の脅威から連鎖して事業被害につながる攻撃を評価できます」(寺田氏)
その上で寺田氏は、IT資産管理と脆弱性管理を連携させる取り組みとして、SAMAC辞書と脆弱性対策情報データベースJVNの連携についても解説。「脆弱性関連情報の収集だけではなく、セキュリティリスク分析や資産管理と連携させた対策がポイントです。サイバーセキュリティリスクの管理を加味した脆弱性対策が重要です」と強調した。
主催者によるSAMACセッション「IT資産管理プロセスのJIS化について」「IT資産管理の省力化を目的とした情報構造の標準化と利用方法」では、ISO/IEC JTC1 SC7/WG21主査の高橋快昇氏(富士通)が登壇し、国際標準化、JIS化の状況や標準化のメリットを解説した。
ISO/IEC19770シリーズのうち、JIS出版されている規格は、19770-1:2006「ソフトウェア資産管理(SAM)プロセス(JIS X 0164-1)」、19770-2:2015(第2版)「ソフトウェア識別タグ(JIS X 0164-2)」で、出版待ちの規格が、19770-1:2017(第3版)「IT資産管理(ITAM)要求事項(JIS X 0164-1)」、19770-3:2017「権利スキーマ(JIS X 0164-3)」、19770-4:2017「資源利用状況測定(JIS X 0164-4)」である。2018年度は、JIS化作業中の規格として、19770-5「概要及び用語(JIS X 0164-5)」がある。
現在はこれに加え、企画・開発中の規格として、19770-6「ハードウェア識別」、19770-7「インベントリスキーマ」、19770-8「19770シリーズと業界標準のマッピング作成ガイドライン」、19770-10「ITAMシステムガイドライン」、19770-11「ITAMシステムの監査と認証を行う機関への要求事項」があり、2、3年以内に国際規格として出版される。JIS化も当然検討される。
これら新規格のうち、19770-1:2017はITAMのプロセスに関する要求事項の規格だ。高橋氏はプロセスを標準化することのメリットとして「公平な認証が容易になること」「サプライヤーの比較が容易になること」「共通の業界用語と製品やサービスのアプローチが容易になること」を挙げた。また、この版は他のMSSとも連携しやすくなっている。
「19770-1:2017では、ISOが推奨するマネジメントシステムに沿った大幅な改訂が行われています。これにより、認証規格の元となる規格ができるとともにマネジメントシステム間の整合性が向上し、共通の用語定義、要求事項の共通テキスト化が進んでいます」(高橋氏)
一方,19770-2、-3、-4、-5、-6、-7は、ITAMの品質を向上させるとともに作業の省力化を可能とする情報構造の標準規格だ。「今後、ITAMプロセスの標準化作業が進む中で、19770-6、-7は、-2、-3、-4とともに情報構造の標準規格を提供し、ITAMの品質向上と省力化に貢献するでしょう。ISMS(情報セキュリティ管理システム)、ITSMS(ITサービス管理システム)と、その中心となるIT資産の管理(ITAM)がますます重要になってきます」(高橋氏)
続くSAMACセッション「仮想化・クラウドにおける具体的なリスク検討項目例」には、SAMAC仮想化・クラウド検討WGの武井理子氏(Sky)が登壇。従来のSAMの体系では管理しにくかった仮想化・クラウド環境でのリスクアセスメントの方法とリスク対策のために管理しなければならない項目の洗い出しと検討の例を紹介した。
「仮想化やクラウド環境は、従来のIT資産管理で実施してきたリスクアセスメントでは特有のリスクを発見できません。そこでSAMACではクラウド・仮想化リスクアセスメント管理表で、16の発生し得るリスク、リスク管理項目、リスク対策として管理したい資産管理台帳の項目を1つのシートにまとめています」(武井氏)
リスクとしては例えば、物理環境の変化による必要ライセンスの変化(仮想化)がある。サーバOSの多くはコア数を元にライセンス数が決まるが、ハードウェアをリプレースすると、CPUが増加したり、CPUコア数割当が変更されたりする。これによりライセンス違反のリスクが出てくる。ライセンス形態が複雑化し、保有しているライセンスは単に1本、2本と表すだけでは管理できない。CPU、CPU数、CPUコア数、クロック数などに応じて保有ライセンスを管理する必要があるわけだ。
また、どのクラウドサービスを誰が使っているかを管理するクラウド管理台帳も必要になってきた。リスクとしては、事業者都合で契約内容が変更され、サービス内容や価格が変わることなどが挙げられる。この他にも、ソフトウェアバージョンの変更や強制的なバージョンアップが行われることや、重複サービスによって運用コストが増えるといったリスクもある。
「仮想化・クラウドへの流れにより、これまで以上に複雑な管理が求められます。仮想化・クラウド利用時に台帳として管理する項目を整理し、適切に運用することが求められます」(武井氏)
SAMユーザーによるパネルディスカッションでは、SAMACユーザーフォーラムWGのリーダーである篠田仁太郎氏(クロスビート)をモデレータに、3人のユーザー企業のSAM担当者がパネリストとなり、議論を交わした。パネリストは、システム会社(会社非公表)の宇佐美氏、神戸市教育委員会事務局の亀井氏、日野コンピュータシステムの木村氏。
SAM取り組みのきっかけについては「5年ほど前に外部ベンダーから指摘を受け、ライセンスコンプライアンスの観点からSAMを導入」(宇佐美氏)、「十数年来、ソフトウェアやハードウェアは部署ごとの管理に任され、無許可のソフトウェアが利用される懸念があった」(亀井氏)、「グループにおけるセキュリティとライセンス/コンプライアンス対応が重要課題だった」(木村氏)と明かし、ビジネスへのインパクトが大きいことが背景にあるとした。
取り組みの難しさについては「独自の予算を獲得するのが難しく、セキュリティ予算の一部に組み込んで申請するなど工夫を行った」(宇佐美氏)、「2012年から取り組んで当初は一人一人に『机の引き出しの中にあるものを申請してください』と連絡するなど大変な手間だった」(木村氏)、「現場からの申請だけでは、どのようなライセンス種別なのかが分からず、一つ一つ確認しなければならなかった」といった意見が出た。
また、クラウド・仮想環境での課題としては「仮想環境ごとに管理番号やMACアドレス管理はしているが、実際にどのハードウェアで稼働しているかまで把握できず、別紙管理になっている」(木村氏)、「サービス提供契約で業者任せにしているため、そこのライセンス管理ができていない」(亀井氏)、「試験的に環境を作ってすぐに壊す場合もあるので、『一定期間以上稼働してソフトウェアをインストールするもの』は申請するなどのルールを設けている」(宇佐美氏)などを挙げ、運用上の工夫や管理システムの機能強化がポイントだとした。
この他、インベントリーツールの選定のポイントや、棚卸しのコツ、台帳システムの使い方、パッケージを利用するかカスタマイズするかなどについても議論を繰り広げた。
カンファレンス最後のセッションとなったのは、神戸市教育委員会の亀井浩司氏とトクヤマの河村幸夫氏によるユーザー事例講演だ。
神戸市教育委員会事務局は、幼稚園39園、小中学校248校、高校8校の市立校の児童生徒約12万人と教職員1万1000人を対象に事務管理などを担っている。管理対象のハードウェア数は約2万1600台、利用ソフトウェアは1800種類約240万本(うち有償は300種類約25万本)に達する。
「外部事業者に成熟度評価を実施したところ『ルールはあるが実行できていない』と評価され、管理システムの改善を速やかに実施する必要がありました。そこで、目標管理レベルの設定や、管理システムの更新、管理体制の見直しに取り組みました」(亀井氏)
まず、管理規定を見直し、PDCAサイクルを確実に実施できるようにした。またパッケージをノンカスタマイズで導入し、専門担当者を確保。管理も外部委託に代行する体制に改めた。
「ただし、取り組みを進める中では、新たな課題も発生しました。管理対象/管理対象外の情報をどう管理するか、ソフトウェアのこれまで管理できていなかった新たな管理項目をどうチェックするか、SAM/ITAMを理解しPDCAサイクルを回す体制をどう作るか、外部委託先との意識共有・情報共有をどうするかです。それらに取り組みながら、2018年8月からのシステム本稼働に向けて対策を実施しています」(亀井氏)
システム稼働後は、SAMに関する改善案を収集する仕組みや研修制度、コンサル導入によるリスクマネジメントなどにも取り組みながら、SAMを推進する予定だ。
続いて、トクヤマの河村氏がITAM導入の経緯と、取り組みを紹介した。トクヤマは、山口県周南市に本拠を置く、基礎化学品、セメント、エレクトロニクス関連材料など幅広い製品群を展開する化学工業メーカーだ。河村氏はトクヤマの情報システム子会社でライセンス調査に対応することをきっかけとして、IT資産管理システムの構築に取り組むことになった。
「IT資産は自分たちで管理していましたが、ライセンス調査が入った場合を考えると、とても自力で対応し切れる内容ではありませんでした。そこでパブリッシャーに相談したところ、コンサルやベンダーを紹介いただき、予算を確保しながら取り組みを進めることにしました」(河村氏)
まず、機器のシステム情報を収集するためインベントリーツールを導入。ユーザーからの利用申請やインストール申請を処理するため申請ワークフローも構築した。またSAMシステム上でハードウェアとソフトウェアをひも付けて、システム情報として日々管理できるようにした。
実際に調査してみると、業務部門のユーザーが独自に作成したスクリプトが見つかったり、ベンダーの設定ミスで、高価なエディションのライセンスを利用するように設定されていたりするという「落とし穴」も多数見つかった。あるデータベース製品ではスタンダードエディションがエンタープライズエディションに設定されていて、そのまま利用した場合、数千万円の損失が出てしまう事態となった。
「IT資産管理では人材の育成も重要です。SAMACの公認ライセンスマネジャー(CLM)や公認SAMコンサルタント(CSC)の取得も目指して若手を育成しています。また、今後は、RPAなどの新しいツールにもライセンスの知識が必要になります。例えばRPAがアクセスするデータベースのライセンスはユーザーライセンスかデバイスライセンスか。ノウハウを蓄えながら、取り組みを進めていくつもりです」(河村氏)
ビジネスとITの融合が進む中、SAM/ITAMの対象領域は大きく拡大し、ビジネスを遂行する上で欠かせない考え方になっている。そのような中で、標準化の動向から、ツールやソリューションの使い方のポイント、人材育成、最新テクノロジーの対応までを対象に実施されたITAM World 2018は、IT資産管理とリスク管理、ビジネスの成長に向けて大きなヒントを与えるものとなった。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:一般社団法人IT資産管理評価認定協会
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年9月5日
仮想化、クラウドが多くの企業に浸透した近年、ITシステムは大幅に複雑化し、確実な把握・管理が年々難しくなっている。一方でサイバー攻撃はますます巧妙化し、われわれは常に甚大なセキュリティ、コンプライアンスリスクにさらされている状況だ。では一体どうすれば膨大なIT資産を確実に管理し、「攻めのIT」を支えることができるのだろうか? ITAM World 2017にその答えを探る。