IT資産管理の全てがここにある――ITAM World 2017レポート:サイバー攻撃、ライセンス違反も明日はわが身
仮想化、クラウドが多くの企業に浸透した近年、ITシステムは大幅に複雑化し、確実な把握・管理が年々難しくなっている。一方でサイバー攻撃はますます巧妙化し、われわれは常に甚大なセキュリティ、コンプライアンスリスクにさらされている状況だ。では一体どうすれば膨大なIT資産を確実に管理し、「攻めのIT」を支えることができるのだろうか? ITAM World 2017にその答えを探る。
IT資産管理評価認定協会(SAMAC)が主催する、IT資産管理(ITAM)をテーマにした国内最大級の専門カンファレンス「ITAM World 2017」が2017年6月9日、都内で開催された。今年からは『“SAM”から“ITAM”の時代へ IT資産管理のすべてがここにある』と装いを新たにパワーアップ。400人を超える参加者が集まり、SAM、ITAMの最新動向やユーザー事例に熱心に耳を傾けていた。本稿ではその中から特にポイントとなる講演をピックアップしてお届けする。
欧米の第一人者が説く「IT資産管理のポイント」とは?
基調講演には、ITIL V3の補完ガイド「Guide to Software Asset Management」の見直しを請け負った欧米のIT資産管理の第一人者、m-Assure社代表のDavid Bicket氏が登壇。「欧米におけるIT資産管理の変遷」と題して、欧米諸国におけるSAM・ITAMの動向や取り組みのポイントなどを紹介した。
Bicket氏は、SAMとITAMは根本的には同じであるが、それが十分に理解されてないという。欧米における一般的理解としては、ソフトウェア資産管理は、「ライセンスコンプライアンスのみを目的としたもの」とされており、それに対してITAMは、「ライセンスコンプライアンスだけでなく、ハードウェア管理やITのコスト削減、ITサービスマネジメントや情報セキュリティなどの統合も含まれている」と認識されているが、データセンター管理は含まないものとされている。
ITILにおいてSAMガイドが発表された2003年当初は、組織における対象資産は、今よりもはるかにシンプルな構成だった。しかし現在では、仮想化やクラウド、モバイルなど、非常に複雑化してきている状況にある。そのため、「従来のSAMやITAMの考え方では、十分な管理ができていないのが実情だ」と、Bicket氏は言う。
「企業のITインフラは爆発的に大規模化し、複雑性を増した結果、その中でライセンス違反や管理コストの増加などが生じている。ライセンス違反では、インドで6億ドルという賠償金が取られた事例がある他、米国では、組織で利用されている数の3分の1のソフトウェアが半年以上利用されておらず、その1本当たりの平均コストは、200ドルという試算も出ている。適切なIT資産管理は、企業にコンプライアンスとコスト節約、セキュリティの強化をもたらす」とメリットを強調した。
また、標準化の動向について、ITAM関連のマネジメントプロセスの標準化(ISO/IEC19770-1:2017)や、ソフトウェアを識別するIDタグ(SWIDs)技術の標準化(ISO/IEC19770-2:2017)が進められており、2018年以降は「ITAM関連の知識やスキルを持つ人材がより重要になる」と指摘した。
Bicket氏は、「日本では、欧米に比べ、一般ユーザーがソフトウェアをインストールするケースが多いと聞いており、こういったタグを利用した管理は、有効なものになる」と言う。
また、Bicket氏は、「企業がIT資産管理を実践する際には、部門導入などでサイロ化したIT環境を破壊することが大事。当初はコストが掛かるが、3年ほどで効率よく管理できるようになり、監査への対応コストはほとんどなくなる。それは組織にとって非常に好ましいものではあるが、それではIT資産管理者の業務が削減されてしまう可能性がある。そうなってしまうと、また、組織の管理状態は悪くなってしまう可能性が生じる。そういうことにならないよう、例えば、ITILに示しているようなバランストスコアカードなどを取り入れ、戦略的に取り組んでいくことが望ましい」とアドバイスした。
クラウドサービスのID共用がライセンス違反になることも
続く特別講演には、弁護士でBSA|ザ・ソフトウェア・アライアンス日本担当顧問の石原修氏が登壇。「法律/コンプライアンス面から見たソフトウェア資産管理のリスクマネジメント」と題し、企業が不適切なライセンス管理を放置することで重大なリスクを招くことについて解説した。
石原氏はまず、「ソフトウェアライセンスを十分に理解せずに利用しているケースが多い」と指摘した。例えば、「ライセンスが足りなくなったのでライセンスなしでインストールして、その後利用をやめた」「客先でソフトが必要になり、CDを借りてインストールして使用後アンインストールした」といったケースはいずれもライセンス違反になる。「ライセンスとは著作権者から受けた使用許諾であり、使用許諾に沿わない利用をすれば違反になる」からだ。
石原氏が顧問を務めるBSAは、このような企業によるソフトウェアの不正利用を防止する活動を行う世界規模の団体だ。ITベンダーやクラウドサービス事業者の多くが加盟しており、知的財産の保護や不正対策、コンプライアンス支援の活動を25年にわたって続けている。
企業での不正利用が発覚すると、民事訴訟にまで発展するケースもある。国内では過去、ビジネスソフトを教室内で不正コピーして8500万円の損害賠償が命じられたケースもある。企業として対策を講じていなかったことで、経営者個人の責任を問われたケースもある。また著作権侵害が認められ、和解金が1〜4億円に達するケースも相次いでいる。
最近は、「海外事業所におけるソフトウェアの不正コピー」や「クラウドサービス利用におけるID共有」など誤用も増えているという。石原氏は、「違法コピー発覚時の財務負担は大きい。リスク管理は徹底したいが、ソフトウェアは目に見えないため、管理徹底には強い意志と改革が必要」と訴えた。
政府もIT資産管理によるセキュリティ強化とコスト削減を推進
午後からは、SAMAC、IPA(情報処理推進機構)、JIPDEC(日本情報経済社会推進協会)、政府機関、ITベンダー、ユーザーらによる多数の講演が、「SAMACセッション」「後援団体セッション」「企業セッション」という3つの分科会形式で行われた。ここでは、そのうちのいくつかのセッションの概要を紹介しよう。
SAMACセッションとして行われた「政府におけるセキュリティ対策のための資産管理の活用」では、総務省行政管理局の高橋邦明氏が「国はIT資産管理とセキュリティ対策にどう取り組んでいるか」について解説をした。
政府は2013年に「世界最先端IT国家創造宣言」し、情報システム改革の取り組みとして、「2018年までに約1500の情報システムを半減させること」「2021年までに運用コストを3割削減すること」を掲げた。具体的な対策として取り組んでいるのが、政府情報システム管理データベース(ODB)の整備や既存ガイドラインの整理統合、投資管理の徹底だ。
政府情報システム管理データベース(ODB)は、システムの基本情報やイベント情報、開発規模、システム構成、運用情報、セキュリティ情報など、約590の管理項目をまとめた共通の資産台帳となるものだ。ODBに登録された情報を、内閣官房IT総合戦略室や内閣サイバーセキュリティセンター、各府省PMOなどが工程レビューやプロジェクトの適正管理に活用している。
セキュリティ面では、ODBに登録された情報から各種セキュリティが担保されているかを確認したり、JPCERT/CCとIPAが運営するJVN(Japan Vulnerability Notes)の情報を統合して管理したりできるようになっているという。高橋氏は、「ソフトウェアの名寄せ、ODBに登録された情報の粒度、JVN情報と資産情報のマッチングに課題を感じている。運用ルールをさらに整備し対応したい」と話した。
ソフトウェアに脆弱性を作り込まないための3つのポイント
後援団体セッションとして行われた「IT資産とサイバーセキュリティ対策」には、IPA技術本部セキュリティセンター情報セキュリティ技術ラボラトリーの寺田真敏氏が登壇。IPAが公表した「情報セキュリティ10大脅威 2017」の内容や、脆弱性届出の状況、脆弱性情報とソフトウェア辞書の連携ツールなどを紹介した。
寺田氏はまず、最近のサイバーセキュリティの状況について「Apache Struts 2」や「WannaCry/Wanna Cryptor」といったソフトウェアの脆弱性が原因の攻撃が続いており、「脆弱性対策では、IT資産、データ、機能、それぞれにおけるサイバーセキュリティリスクの管理が必要であることが再認識された」と指摘。実際にWanna Cryptorによって次々と端末が感染していく様子をデモで示した。
その上で、脆弱性を作り込まないためには「脅威の仕組みや問題の原因を正しく理解すること」「安全なプログラムを作成するマナーを身につけること」「過去の失敗から学ぶこと」が重要であり、「情報収集や脆弱性管理にツールを使うことも有効だ」と指摘した。IPAでは、脆弱性対策情報収集ツールやソフトウェアのバージョンチェッカーも配布している。
SAMACソフトウェア辞書とのデータ連携も進めている。システムにインストールされたソフトをSAMAC辞書から参照し、ソフトに対する適切なパッチ運用を支援する。寺田氏は開発中というツールのデモも披露した。
IT資産管理を継続するためには現場の理解と協力が必須
SAMACセッションでは、SAM・ITAMシステムの導入事例も紹介された。「ITAMシステム調達の留意点」のセッションでは、沖縄県企業局総務企画課主幹の上間浩氏が沖縄県企業局での取り組みを披露した。
沖縄県企業局は、沖縄県の水道用水供給事業と工業用水道事業を行う、県が運営する公営企業だ。本庁4課、出先5事務所、人員260人の組織で、管理対象ハードウェアは380台。担当職員2人、委託SE1人が情報システムの企画や運用を担っている。
2002年頃からインベントリーツールを導入し、禁止ソフトウェアの実行制限やインシデント発生時の操作ログ取得などに活用してきた。ただ、「あくまでクライアント管理のためのソフトであり、ソフト導入の履歴やライセンスの状況を把握できない」といった課題があった。
そこで、インベントリーツールで「現状」を記録し、台帳システムで「あるべき姿」を記録。その間のギャップを埋めることをITAMシステムで実現しようとした。RFI(Request For Information)を作成し、複数のベンダーの提案の中から、要求に合ったものを導入したという。
上間氏は「導入の気付き」として、「ITAMは難しく、無理をせず専門家の力を借りることが大事。また、ITAMを継続するためには現場の理解と協力が必須。現場の作業負荷を減らし、説明は丁寧にすることがポイント」と話した。
ITAMは複雑になるばかり。だが「必ず管理できる」
最後のユーザー講演では、ヘルスケア企業、ロシュのグローバルファーマプロキュアメント ソフトウェア資産管理責任者を務めるGeorge Arezina氏が登壇。グローバル企業においてITAMはどう捉えられているのか、実際にどのようにしてITAMを進めているのか、導入担当者の視点から解説した。
スイスに本拠を置くロシュは、臨床検査薬(Diagnostics)と製薬(Pharma)を事業の柱に、世界150カ国以上でビジネスを展開。従業員は12万人超、売上高は2016年に500億ドルを超えるなど、ファイザーやノバルティスとしのぎを削る世界有数のグローバル企業だ。
グループにおけるITの管理は、グローバルのIT調達部門を頂点とし、大きく4つのチームに分かれているという。カテゴリ管理、IT調達(サンフランシスコ)、SAM及びプロセスとガバナンスの各チームだ。これらのチームはグローバルのIT調達部門の配下に並列につながる形で、お互いが連携して働く体制となっている。
「例えば、ベンダーと交渉するのがカテゴリ管理の責任者の仕事だ。だが、彼らは現状のIT資産がどうなっているかという、われわれSAMチームからの情報がなければ仕事ができない。そこで密接に連携する必要が出てくる。毎日のように会話する夫婦のようなものだ」
Arezina氏率いるSAMチームはわずか2人。これは「SAMの“ツールやデータを管理すること自体”は戦略的ではない」として、2016年からSAMの作業の大部分についてツール運用を外部にアウトソーシングしたためだ。
そもそもロシュのITAMの取り組みは、2013年から始まった。フェーズ1〜2はデスクトップソフトウェア、フェーズ3〜4はサーバソフトウェア、フェーズ5はSAPとSalesforce.com、フェーズ6はモバイルデバイスといったように管理対象を分け、段階的に進め、2017年にはこれらの取り組みが完了する見込みだ。資産管理にはインベントリーツールと台帳システムを利用。2013年からのコスト削減額は9400万スイスフランに達するという。
Arezina氏は「ITAMは複雑になるばかりだが必ず管理できる。ポイントは、実現できないことに取り組もうとせず、段階的なアプローチを取ること、データを検証し品質を保つこと、企業全体にわたるプロセスを作りガバナンスを徹底することだ。達成したことを社内外に発表することも大事だ」とアドバイスした。
仮想化、クラウドが多くの企業に浸透し、ITシステムは大規模化・複雑化の一途をたどっている。だが、およそ全てのビジネスをITが支えている以上、ビジネスの差別化、業務効率化、社会的信頼の担保といった企業活動の全てがIT活用の在り方にかかっている。IT資産管理はそうした企業基盤を確実に守り、攻めを攻めとして成立させるための取り組み。
特にWannaCryなどサイバー攻撃も相次いでいる今、把握していないIT資産があることは常に甚大なリスクと背中合わせであることを意味する。単に機密性を向上させるためのアプリケーションの導入だけを考えるのではなく、事業継続という広い観点から、本稿を1つの参考に、自社ではIT資産をどこまで把握・管理できているのか、あらためて確認してみてはいかがだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
関連リンク
提供:IT資産管理評価認定協会
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年8月26日