なぜ、SAMは失敗ばかりしてしまうのか？：勉強会リポート：ライフサイクル管理でコスト削減（1）（1/2 ページ）

2010年5月28日に東京・大手町で開催された＠IT情報マネジメント勉強会「ライフサイクル管理で実現する資産管理のコスト削減──なぜSAMは失敗するのか？」の模様をお伝えする。勉強会ではIT資産管理について、基調講演やパネルディスカッションが行われた。今回は基調講演をお届けする。

　2010年5月28日、東京・大手町にて＠IT情報マネジメント編集部主催の勉強会「ライフサイクル管理で実現する資産管理のコスト削減──なぜSAMは失敗するのか？」が開催された。本稿では2回に分けて、その模様をお伝えする。

　今回は、同勉強会の冒頭で行われた、株式会社クロスビート 取締役 チーフソリューションプランナー 篠田仁太郎氏による基調講演「ソフトウェア資産管理（SAM）の本質とSAM構築のポイント」の内容を紹介する。

そもそもソフトウェア資産管理（SAM）とは何か？

　「ソフトウェア資産管理（SAM）」と聞くと、その名の通りソフトウェアだけを管理すれば良いように思われがちだが、実はそうではない。

株式会社クロスビート 取締役 チーフソリューションプランナー 篠田仁太郎氏

　ソフトウェア資産管理（SAM）のプロセスを定義している「ISO 19770-1」によると、SAMが適用される資産とは「適用範囲内のソフトウェアを使用または管理する必要があるという特性を持つ、そのほかすべての資産である」とある。また、ソフトウェア資産管理コンソーシアムが策定した「ソフトウェア資産管理基準」では、「ソフトウェアは、その特質から、ハードウェア上での稼働が前提となっている。このため、ソフトウェアの利用状態を適切に管理するためには、ハードウェアの管理が必要となる」と書かれている。

　要するに、SAMの管理対象にはソフトウェアだけでなく、ハードウェア資産も含めることが必須なのである。篠田氏は次のように説明する。

　「よくSAMというと、使っているソフトウェアとそのライセンスだけを管理すれば良いと思われがちで、ハードウェアの網羅性がないがしろにされているケースが多い。しかしそうではなく、ソフトウェアの稼働環境であるハードウェアからきちんと把握していくのが本来のSAMの考え方だ」

　「ハードウェア」「ソフトウェア」「ライセンス」。この3つを網羅的かつ正確に把握し、適切に管理する。そうしてアカウンタビリティや法的リスクの回避、セキュリティ対応、TCOの削減などを実現していくのがSAMの取り組みなのである。

SAMとライセンス資産管理（LAM）の違いは？

　最終的には「ソフトウェアライセンスのコンプライアンス」を実現するのがSAMの目的である。しかし一方で、「ライセンス資産管理（LAM）」も同じ目的を標榜している。ではSAMとLAMの違いは、一体どこにあるのだろうか？

　篠田氏によれば、LAMはライセンス違反による損害賠償の回避が主目的になりがちだという。そのうえで、LAMの盲点となりやすい点を次のように指摘する。

　「保有ライセンス数が利用ライセンス数を下回らないようにするために、実際には使っていない無駄な数のライセンスを購入してしまいがちになる。一例を挙げると、ある上場会社で保有しているソフトウェアライセンス数を調査したところ、実際に使っている数の1.5倍のライセンスが見つかったという例もある」

　また、LAMのもう1つの問題点として、有償ライセンスのみを管理対象にしがちな点も指摘する。

　「どうしても、マイクロソフトやアドビといった有名ソフトウェアベンダの製品のライセンス管理に注力しがちになってしまう。その結果、それ以外の製品のライセンスが管理対象から漏れてしまう」（篠田氏）

　ある調査によると、企業内で使われているソフトウェアの種類は、保有しているPCの台数の2.5?3倍あるという。例えば、社内に5000台のPCがあれば、少なく見積もっても1万種類以上のソフトウェアが使われているというのだ。マイクロソフトやアドビの製品は、その中のせいぜい数十種類。それだけをいくら管理しても、それ以外の大部分のソフトウェアに関しては、誰もライセンス違反のリスクをジャッジしないということになる。LAMの手法では、このような潜在リスクを認知するのが困難なのだという。

　一方、SAMではソフトウェアだけでなくハードウェア資産もすべて網羅する。PCの1台1台に至るまで、社内に存在するすべてのハードウェアを洗い出し、次にその上で使われているソフトウェアを調べ上げる。そして最終的に、それらソフトウェアのライセンスの情報を収集する。こうした手順を積み上げていくことによって、結果としてすべてのライセンス資産を漏れなく管理できるというわけだ。

　これだけのことをやって初めて、対象資産に対する正確なリスクアセスメントが可能になる。さらに、正確な資産状況が把握できれば、無駄なライセンスに対する投資も抑制できる。

　また、SAMがもたらすメリットはそれだけではない。さらなる副次的な効果も期待できるという。

　「ライセンスコンプライアンスの実現を目標にSAMへ取り組んでいくうちに、“情報セキュリティの強化”“IT統制の基盤強化”“ITコストの最適化”という3つの副次的な効果が生まれる。すると今度は、この3つに対する取り組みを行っていくことで、その副次的効果としてライセンスコンプライアンスも強化されてくる。こうした状態が、ISOが求めているSAMの理想的な姿だ」（篠田氏）

SAMのあるべき姿とは？

　では、SAMが「できている」状態、すなわちソフトウェア資産の管理がきちんと行われている状態とは、具体的にはどのようなものなのだろうか？　日本情報処理開発協会（JIPDEC）のソフトウェア資産管理評価検討委員会が2009年に策定した「SAMユーザーズガイド」では、以下のように定義されている。

• SAMに関する方針および体制が定められている
• SAMに関する規程類が策定されている
• SAMに関する規程類の定めた通りに運用されている
• SAMの状況を内外に説明することができる

　これをもう少し具体的な取り組みレベルで説明すると、ハードウェアとソフトウェア、そしてライセンスの3つそれぞれに対して、以下7つの状態が維持されていることを指す。

1. 基本台帳があること
2. 基本台帳に必要な項目が網羅されていること
3. 基本台帳の更新に関する記録があること
4. 記録方法のルールがあること
5. 基本台帳および記録の記載内容を現物と照合する仕組みがあること
6. 方針やプロセスが順守されている、またはそれに誤りがないかを検証する仕組みがあること
7. 上記1〜6のすべてが、マネジメント（最高意思決定機関、もしくは最高意思決定者）の承認を得ていること

　こうした条件さえ揃っていれば、きちんとソフトウェア資産の管理ができている状態だといえる。しかし、こうした状態を目指して実際にSAMに取り組んでも、「とにかくSAMは難しい！」と、途中で音を上げてしまうケースも多いという。

　SAMを難しいと感じる最大の理由は、ソフトウェアライセンスの形態が多岐にわたっていることにある。一般的にソフトウェアライセンスの条件は複雑で、しかもソフトウェアの種類によって内容が大きく異なる。また、ライセンスを証明する部材も紙の証書であったり、あるいはディスクメディアであったりとさまざまだ。さらに、入手方法もWebからダウンロードするものもあれば、証書が郵送されてくる場合もある。

　このように、さまざまに形態が異なるライセンス資産を漏れなく収集・管理するのは、確かに易しいことではないかもしれない。「しかし、」と篠田氏は言う。

　「ソフトウェアを新たに調達・導入するタイミングで、『これはどういうふうに使われるものなのか』『何を管理しなければいけないのか』といったことをきちんと確認しておけば、管理の漏れはなくなるはずだ。具体的には、ソフトウェア導入時に使用許諾条件を確認したうえで、管理シールなどの識別タグを付け、ハードウェアに紐付けて台帳に記録し、必要に応じて更新していけばいい。こう考えてみれば、プロセスはそれほど難しいものではない」（篠田氏）

　確かにこれだけを見れば、SAMのプロセスは決して難しいものには見えない。ただし、本当の難しさは別のところにある。

　「なぜSAMが大変になるかというと、既に導入してしまって、社内に散らばってしまっている既存資産を、まずはすべて把握するところから始めなければならないからだ」（篠田氏）

　すなわち、SAMの管理体制を初めて構築する前段階となる「現状把握」に、1番の難しさがあるのだ。この作業を中途半端で終わらせてしまうと、後になってから管理対象から漏れた資産がボロボロと出てきて、結局運用が回らなくなってしまう。