ライセンス証明、身近に潜む4つの落とし穴:実践! IT資産管理の秘訣(6)(1/2 ページ)
ソフトウエアライセンスの使用状況を正しく把握するためには、どのようなポイントに気を付ける必要があるのか? 筆者、篠田氏が長年のコンサルティング経験の中で見てきた“実態”に基づく4つの留意点を伝授する。
第4回、第5回で、「IT資産管理における現状把握への取り組み方」と「現状把握における対象資産の絞り込み方法」についてお伝えしてきました。今回は現状把握の最後のポイントとして、ライセンス証明の注意点について解説します。
※本記事は、一般社団法人ソフトウェア資産管理評価認定協会としての正式な見解ではなく、筆者個人の見解です。
筆者の篠田氏も登壇! 2015年6月12日、ソフトウェア資産管理の大規模イベント「SAM World 2015」を開催
ライセンスコンプライアンスへの対応、経営効率化、ビジネス展開のスピードアップなどソフトウェア資産管理に関するさまざまな情報が手に入る「SAM World 2015」。ソフトウェア資産管理のノウハウ、ユーザー事例、各種ツールまで、総合的な情報が手に入る総合イベントを開催。
注意点1.ライセンス証明における注意点
ライセンス調査の最後の山が、保有ライセンスと利用ソフトウエアのひも付けです。ひも付けについては第5回でも少し触れましたが、ここを越えずして適切な運用の実現は不可能ですので、もう少し詳細なポイントを紹介します。
A.ライセンス過不足算出の留意点――使用許諾条件に基づく留意点
ここでお伝えしたい留意点は二つあります。一つは、使用許諾条件に基づく留意点です。
ライセンスの過不足は、単純に、利用しているソフトウエアと保有しているライセンスの数の比較をすれば良いわけではありません。使用許諾条件によっては、ライセンス監査の際に、「どのライセンスが、どのソフトウエアに割り当てられて利用されているのか」を証明する必要があるからです。
その最たるものがいわゆる“プリインストール”といわれるソフトウエアです(以下「プリンストール」と表記)。プリインストールの使用許諾条件は、一般的に、導入されていたパソコンとセットで利用すること(当該パソコンを廃棄する際には、当該ソフトウエアのライセンスも消滅する)とされています。また、提供されたインストールメディアを他のパソコンにインストールして使用することも認められていないことが一般的です。
そのため、他のパソコンに付属していたインストールメディアを使ってインストールする、プリインストールのパソコンでマスターを作り、他のパソコンに展開するといった行為は、使用許諾条件違反になります。
このような使用許諾条件に違反していないことを証明するためには、「どのパソコンに、どのライセンス(ここでは例えばインストールキーやライセンスキーなど)を適用しているか」を個別にひも付けて管理しておく必要があります。
量販店などで販売されている、いわゆる“パッケージ”ソフトウェア(以下「パッケージ」と表記)にも、ほぼこれと同じことが言えます。違いは、パッケージの場合には原則として、アンインストールしたら、他のパソコンにインストールして利用することができる(※)という点です。
※:ただし厳密に言えば、AというパソコンからBというパソコンにソフトウエアをインストールし直す場合、一定期間以上(90日か120日が一般的)空けなければ再インストールを認めないという条件が付いているものもあります。
プリインストールやパッケージに対して、“ボリュームライセンス”(以下「ボリューム」と表記)の場合には、一般的にはこのような制限はありません。1台ごとのひも付けは求められておらず、保有ライセンス数と利用数をグロスで把握すればよいということになります。
ただし、ボリュームで調達しているライセンスと、プリインストールやパッケージで調達しているライセンスが混在している環境が一般的であり、他のライセンスとの識別が必要になることから、結果として、ボリュームもひも付けが必要ということになってきます。
SAM導入時のひも付けは面倒な作業ではありますが、いったんひも付けが完了すれば、それ以降の管理が非常に楽になります。面倒な作業だからと毛嫌いせずに、粛々と進めることをお勧めします。
ライセンス過不足算出の際の留意点――プリインストール/パッケージ/ボリュームで留意すべき点
次に、プリインストール/パッケージ/ボリュームで留意すべき点は、アップグレードやダウングレードの取り扱いです。
一般的に、アップグレードが認められるのはプリインストールとパッケージです。ボリュームについては、ボリュームを調達したときに例えば、「Software Assurance」(以下「SA」と表記)のような期間アップグレード権を同時に取得していることが求められ、それがない限り、アップグレードをすることはできません。
プリインストールやパッケージとボリュームとの組み合わせも一般的には認められませんので、例えば、ボリュームの導入時にSAを調達せずに、後からパッケージのアップグレードを購入し、ボリュームで調達したソフトウエアをアップグレードするという行為は認められません。
また、アップグレードの際には、アップグレード元となるライセンスを持っていることが求められます。その際、どのライセンスがアップグレード元なのかが明確になっており、かつ、アップグレード元が単独では使用不可となるような仕組みを持っていることが求められます。
一方で、ダウングレードについてはボリュームのみに認められているケースが一般的です。例えばパッケージの最新バージョンを持っていても、その前のバージョンのパッケージが不足していれば、その不足分に充当することはできません。これを簡単にまとめたものが、下表です。
表1 一般的な使用許諾条件に基づく制限 注1:インストールされていたパソコンを廃棄した場合には、アップグレードの権利も消滅します。また、アップグレード元とのひも付け管理が必要です/注2:使用許諾条件によっては、再インストール期間が規定されているものがあります/注3:アップグレード元とのひも付け管理が必要です/注4:一般的にライセンスの調達時にアップグレード権も併せて調達していれば、アップグレード権の範囲内でのアップグレードは可能です/注5:一般的に認められているのは、バージョンのダウングレードであり、異なるエディション(例えばProfessionalとStandardなど)へのダウングレードは認められていません
現実問題として、アップグレードするよりも、ダウングレードして利用するケースが多いことを考えれば、単純にプリインストールやパッケージよりもボリュームにしてしまった方がいいのかというと、それも一概にそうとは言えないのがライセンス選択の難しいところです。
ここでは残念ながらこれ以上突っ込んだことは書けませんが、ライセンスを選択する際は、単純に「管理がラクになる」といううたい文句に惑わされずに、組織の目的・目標に合致したライセンスを選択することが重要だということを覚えておいてください。
B.インベントリツールによる収集結果に対する留意点
二つ目が、インベントリツールの収集結果に対する留意点です。これはこれまでの連載において、現状把握の流れを簡便に説明するためにあえて無視してきたのですが、「インベントリツールで収集した結果を盲目的に信じてはいけない」ということであり、非常に大切なことです。
インベントリツールは、一定規模以上のコンピューターを保有している組織においては、IT資産管理をしていく上で、必要不可欠なツールです(筆者はこれまでの経験上、300台以上パソコンやサーバーを保有している場合には、インベントリツールがないと、現状把握もその後の運用も極めて困難であるとお伝えしています)。
しかしながら、ツールを導入すれば簡単にソフトウェアの利用数が把握できるかというと、必ずしもそうとは言えない現実があります。
ひと口にインベントリツールといってもそれぞれのツールにはさまざまな“癖”があり、収集した結果には以下の二つの状況が含まれているケースが少なからずあります。
- 「1台のコンピューターに同じソフトウェアが複数インストールされている」かのように情報が収集されているケース
- インストールされているにもかかわらず、インベントリツールが拾ってこないケース(あるいは、アンインストールしたにもかかわらず、「インストールされている」かのように情報を収集してしまうケース)
これらが発生する主な原因は、以下の通りです。
- 情報を収集しに行っている場所が間違っている、あるいは収集結果を論理的に仕分けできていない
- OSのバージョンやリビジョンに対応できていない
- “プログラムと機能”にそもそも二重で表示されている
ちなみに、筆者がライセンス管理のコンサルティングにおいて調査した経験では、1と2の混在したケースで、高額な同一ソフトウエアがパソコン1台につき3本もインストールされている、という収集結果をもたらしていたインベントリツールもありました。あまりメジャーなツールではありませんが市販されているインベントリツールの一つです。
このツールによる収集結果の不具合は、「利用ソフトウェア詳細分析」を行ったために発見できましたが、これに気付かなければ、このツールを利用していたユーザー企業は、市販価格ベースで約1200万円も余分にライセンス調達をしてしまうところでした(ツールベンダーに確認したところ「ツールの仕様です」という返答で、対応は一切ありませんでした)。
また、これはインベントリツールの問題ではありませんが、同一コンピューターに異なるバージョンのソフトウエアがインストールされているケースもあります。特に「Microsoft Office」製品に多いのですが、例えば、「Office Access」の古いバージョンを使用したいがために、古いOfficeと新しいOfficeの両方をインストールしているというケースです。
マイクロソフトでは、バージョンの異なるOfficeの同時インストールに対する動作保証はしていませんが、ボリュームの場合には、複数バージョンのインストールを認めています(2015年5月現在)ので、これについても、単純に別バージョンということで利用数をカウントしてしまうと、無駄なライセンスを調達することになってしまいます。
これらはどちらも、パソコン1台単位で確認していかなければ発見することは難しいのですが、コスト最適化の面からも、自社で導入しているインベントリツールがどれだけ正確に情報を収集しているかを確認するのは大切なことです。
具体的な確認方法については利用しているツールによって異なることもあるため、ここでは割愛しますが、ご興味あれば筆者まで直接お問い合わせください。特に注意を要する利用ソフトウエアの多重計上(弊社では「マルチカウント」と呼んでいます)の例を下表にまとめましたので、参考にしてください。
注意点2.ボリューム保有情報の取り扱い
次の注意点はボリューム保有情報の取り扱いです。ボリュームの保有数は、基本的にはソフトウエアベンダーが把握しています。しかしながら、この情報だけをあてにすると、問題になる可能性があります(ここでは、「ボリュームだけではなく、例えばパッケージライセンスでも、ソフトウエアベンダーにキーを発行してもらう、あるいは、ライセンス保有情報を登録してもらう」ようなケース含んでいるという前提でお読みください)。
ボリュームの調達情報は、確かにソフトウエアベンダーにあります。しかしながら、それだけを頼りにすべきではない理由は、次の通りです。
- 調達情報の名寄せが完璧ではない可能性がある
- ソフトウエアベンダーに調達したことを報告していないライセンスが存在する可能性がある
- ソフトウエアベンダーが保有情報を提示してくれない可能性がある
それぞれどのようなことかを説明します。
1.調達情報の名寄せは完璧ではない可能性がある
調達情報は、一般的には「ライセンスを調達したユーザー」、もしくは「ユーザーから依頼された販売会社」、あるいは「ソフトウエアメーカーとの契約に基づいて調達者名を報告する義務を負う販売会社」が作成します。
この時、「○○株式会社」とだけ登録すると、同一名称の会社が他に存在している場合があります。また、後株と前株を誤って記載してしまうこともありますし、部署名で登録してしまう場合もあります。要するに、名寄せをする際には、人が手作業で確認するプロセスが必要になるということです。
従って、この情報には漏れがあったり、第三者の情報が含まれていたりすることがあり、ソフトウエアベンダーがこの情報を提示してくれたとしても、その情報を保証してくれるわけではないということです(実際に筆者の経験でも、ソフトウエアベンダーから提示されたボリュームライセンスのリストには、コンサルティングを行ったユーザー企業ではない他社の情報が含まれていたケースや、ユーザー企業の関連会社で調達したライセンスが含まれていなかったケースがあります)。
また、時折、「販売会社がユーザー企業の名前ではなく自社の名前で登録してしまう」というケースもあります。M&Aがあった場合にも、ソフトウエアベンダー側は基本的にその情報を追いかけてはいないので、当然名寄せなどされておらず、注意が必要です。
2.ソフトウエアベンダーに調達したことを報告していないライセンスが存在する可能性がある
これは、ライセンスの調達が集中化されておらず、例えば部門ごとの予算で申請しているような場合によくあるケースです。
ライセンスの調達はしたものの、すでにソフトウェアを利用するのに必要なキーは入手しているため報告をしないケースや、報告する必要があること自体を認識していないケースです。せっかくお金を払って調達したにもかかわらず、その報告を怠ることで、ライセンス保有が証明できないことになってしまわぬよう、十分な注意と周知が必要です。
3.ソフトウエアベンダーが保有情報を提示してくれない可能性がある
ボリュームライセンスの契約をしているからと言って、ソフトウエアベンダーが保有数を提示する義務を負っているわけではありません。先に説明したように、ユーザーの名寄せの手間や情報の正確性の問題もあり、ソフトウエアベンダーが提示してくれないケースもあります。
また、提示はしてくれるものの、その条件として、保有ライセンス情報の提供前に、利用しているソフトウエア数(インストール数)の報告を求めるソフトウエアベンダーもあります。組織として不正をしていないという確たる認識があったとしても、IT資産管理が適切に実施されていない中では、こういった要求にはなかなか従いづらいのではないでしょうか?
以上のことから、たとえボリュームであっても、適切に自社でその調達数を記録しておかなければ、いざというときすぐに保有数を把握できない可能性があるわけです。
次に、サーバーライセンスの注意点について説明します。
Copyright © ITmedia, Inc. All Rights Reserved.