SAMAC

SAM World 2014 開催報告

 去る2014年6月18日(水)、TKP市ヶ谷カンファレンスセンターにて、一般社団法人ソフトウェア資産管理評価認定協会(SAMAC)主催による「SAM World 2014」を開催いたしました。ソフトウェア資産管理の重要性にますます注目が集まる昨今、SAM推進のための有益な情報や実践例の紹介、SAMACのワーキンググループによる研究発表や、各会員企業による個別セッション、展示ブースなど、日本で最大のSAMのカンファレンスとなり、定員を超える多くの参加者にご来場いただきました。



   

開催概要

開催日 2014年6月18日(水)
開催時刻 10:00~17:30
会場 TKP市ヶ谷カンファレンスセンター
新宿区市谷八幡町8番地TKP市ヶ谷ビル
主催 一般社団法人ソフトウェア資産管理評価認定協会(SAMAC)
後援 一般財団法人日本情報経済社会推進協会(JIPDEC)
BSA|ザ・ソフトウェア・アライアンス
協賛 一般財団法人日本規格協会(JSA)
一般社団法人コンピュータソフトウェア協会(CSAJ)
一般社団法人日本コンピュータシステム販売店協会(JCSSA)
一般社団法人コンピュータ教育振興協会(ACSP)
定員 300名

【基調講演】 クラウド時代の情報セキュリティ

トレンドマイクロ株式会社 上席執行役員
大場 章弘 氏

 情報セキュリティはITの実装・活用において大きなトピックであり続けてきたが、サイバー攻撃およびその被害は一向になくならない。ITの利用は企業だけでなく、個人にもさまざまなツールを通して広がっており、セキュリティの重要性はますます高まっている。
 近年、ソフトウェアの脆弱性を狙ったゼロデイ攻撃は増える一方である。今年4月は、Internet Explorerをはじめ、特に利用者の多いソフトウェアの脆弱性が立て続けに確認された。セキュリティリスクは、使用しているソフトウェアの脆弱性、機密情報や経営資源などの資産価値、サイバー攻撃などの脅威によって評価される。これらを複合的に認識、把握し、対策に役立てることが重要である。
 対策としては、ソフトウェアの脆弱性が発見されたら、早期で修正パッチを適用することが有効である。その際、パッチ適用時の検証に時間を要すること、脆弱性の発見からパッチがリリースされるまでの間、早期化する攻撃にどう対処するかということが、大きなチャレンジになっている。そこで、ひとつのアプローチとして提案したいのが「仮想パッチ」である。「仮想パッチ」は、脆弱性そのものに蓋をするのではなく、脆弱性を利用したある特定の攻撃パターンに対し、パケットレベルで遮断するもの。正規パッチがリリースされるまでの間、環境を変えることなく脆弱性に対応することが可能だ。
 サイバー攻撃は、ソフトウェアの脆弱性を狙うだけでなく、より巧妙に、複雑に、わかりにくくなっており、その脅威に対策が追いついていない組織も多い。組織におけるセキュリティ対策としては、経営リスクとしてセキュリティを認識すること、組織的な対策としてポリシーやガイドラインを徹底していくこと、複雑化するサイバー攻撃に対して技術的対策を多面的、多層的に実装することが重要である。
 トレンドマイクロは、従来の「保護」にとどまらず、複雑化する脅威に対応する「検知」、被害を把握する「分析」、どのネットワークを遮断するか等の「対処」を包括し、技術的対策、組織的対策、経営視点の3点から組織体制づくりを支援することで、皆様が安心・安全にITを活用し、ビジネスを拡大するサポートをしていきたい。

目次へ

【特別講演】 法律/コンプライアンス面から見たソフトウェア資産管理の必要性

弁護士、BSA | ザ・ソフトウェア・アライアンス 日本担当顧問
石原 修 氏

 ソフトウェアの管理は、法律を含む制度的側面と事業の管理遂行の両面から、経営者自らが積極的に関与して推進すべきである。ソフトウェアは、著作権で保護されており、ライセンスはそれを利用してもいいという「権利」のこと。不正コピーや使用許諾契約書に反した不正使用をするなど著作権を侵害した場合、第一次リスクとして、賠償請求等の法務・コンプライアンスリスク、情報漏洩等の情報セキュリティリスク、経営者の財務負担リスクなどが考えられる。さらに第二次リスクとして、レピュテーションリスクや事業継続リスクへ連鎖する可能性もある。
 リスクを予防するためには、まず徹底した意識改革が重要である。ソフトウェアは目に見えず、その管理は容易ではないため、全組織的な取組みと位置づけ、部門横断的な組織を設置して管理を徹底する必要がある。まず、全PCを対象とした棚卸を行い、さらに適正な状態を保つために定期的なレビューを実施していく。
 違法コピーは、刑事的には行為者の懲役刑のほか、組織に3億円以下の罰金、民事的には損害賠償などを負うが、ずさんなソフトウェア管理を漫然と放置した場合、経営者自身も損害賠償の対象となる。違法コピー予防のためには、経営層の意識改革、基本台帳(管理台帳)による管理、台帳の更新のルール設定、そのルールが守られているかの検証、さらに不一致が見つかった場合の適法是正措置がポイントとなる。BSAでも、教育コンテンツや、規定や台帳のひな型などを提供し、ソフトウェア資産管理をサポートしているので、ぜひ利用していただきたい。

目次へ

【ユーザーフォーラムワーキンググループ発表1】
 SAM導入時における苦労と対策~社内稟議、ツール調達から社内協力の取組みまで~

<発表者>
石川県 総務部行政経営課情報システム室 専門員
藤井 誠 氏

 SAM導入のきっかけは、ライセンス調査であった。まず、自社分の調査票を調査グループに提出したが、求められていたのが調査対象数の多いグループ会社全体であったこと。また、ライセンス調査の結果、ライセンス違反が判明したことから、再発防止策が必要となり、SAM取組みを開始した。
 SAM導入にあたりまず重要なのは、組織の目指すべき姿を共有することである。経営層、関係部門・利用者、推進者(部門)の組織全体で、目的・ゴール、方法の共有ができて初めて、予算の確保、管理ツールの導入、体制の確立が可能となる。そのため推進者は、管理対象と管理レベル、管理方法を明確にし、説明できるようにする必要がある。事例、SAMの知識を収集し、組織が現在どのような管理状況か把握・評価した上で、社内向け説明を実施する。その際、SAM専門家など社外講師の利用も有効である。
 共有後、自組織に合った管理ツールを選定する。ツールを選択する際は、管理目的を認識し、無駄な機能と価格で見切り発車をさせないことが重要である。ツールにより管理内容に差があるため、各内容を把握し、管理目的が達成できるかに注目する。
 予算確保においては、追加費用を捻出できないこと、導入するツールの費用対効果を求められることなどが予想されることもある。予算確保が難しい場合、セキュリティ対策の一環として実施すると理解を得やすい。また費用対効果については、コンプライアンス違反があった場合の賠償予想額とシステム費用を比較することが有効である。
 ツールの選定、予算確保と並行し、全社的な推進体制の構築を行う。SAMの実施にあたっては、作業が多岐にわたり、推進者だけでは負荷が高くなってしまうため、関連部門を巻き込んだ体制を構築することも重要である。

<ユーザーフォーラムワーキングメンバー>
リーダー 篠田仁太郎(株式会社クロスビート)・刀根伸行(リコージャパン株式会社)・神 明彦(エムオーテックス株式会社)・坂田 愛(エムオーテックス株式会社)
<ユーザーフォーラムSAM構築運用チーム>
石川県庁・株式会社トクヤマ情報サービス
公認SAMコンサルタント 田中寿一(株式会社内田洋行)
公認SAMコンサルタント 片貝和人(兼松エレクトロニクス株式会社)

目次へ

【ユーザーフォーラムワーキンググループ発表2】
 管理方法に注意を要するライセンスとライセンス管理のポイント

<発表者>
ソフトバンクモバイル株式会社 情報システム統括セキュリティ本部セキュリティ管理部 IT統制課
担当課長 片山 正典 氏
横河レンタ・リース株式会社
中井 史郎 氏
日立システムズ株式会社
西原 優子 氏

 ソフトバンクグループでは、2010年度にソフトバンクモバイル、ソフトバンクBB、ソフトバンクテレコムの通信3社においてライセンス管理を導入した。以前は、3社の管理方法がバラバラで、ライセンス媒体の管理が不十分であるなどさまざまな問題が起きていた。そこで、先行していたソフトバンクモバイルをベースに通信3社統一の規定を設け、ソフトウェア管理システムを導入し、集中管理に持って行った。稼働後も、操作・管理法のマニュアル化、ライセンス審査窓口便りの送付、禁止ソフトウェアの更新・周知、月次と年次の棚卸実施等、管理体制の充実に努めている。
 サーバライセンス管理の特徴は、サーバのハード構成とライセンスの管理が密接に関係している点にある。管理のポイントとしては、システム導入時にライセンスの適応条件・必要条件を把握すること、CPUライセンスとユーザライセンスの適応範囲を明確にすること、仮想環境に割り当てたCPU・コア数の適応条件を確認すること、システム毎に必要ライセンス数が変動するイベントを想定して運用プロセスを策定することが重要である。
 クラウドにおけるライセンス管理については、プライベートクラウドの場合は「仮想化」の構成をもとにカウント、管理することが可能である。パブリッククラウドの場合は、種類に関わらず台帳管理を行うことが必要となる。仮想化環境においては、どの物理サーバに何台の仮想環境が存在するのかを台帳管理することが必要である。特定の組織設置や各部署に管理者を決めるなどし、IT資産管理の仕組みを構築し、ルールを徹底することが管理運用のポイントとなる。

<ユーザーフォーラムライセンスチーム>
ソフトバンクモバイル株式会社
<フォーラムメンバー>
公認SAMコンサルタント 中井史郎(横河レンタ・リース株式会社)
公認SAMコンサルタント 西原優子(日立システムズ株式会社)

目次へ

【SAMAC仮想化・クラウド ワーキンググループ】
  仮想化環境におけるライセンスと台帳管理について

<発表者>
尾形 隆昭 氏(有限責任あずさ監査法人)

 サーバの仮想化やクラウド利用の急速な広がりにより、従来のソフトウェア管理の手法のみでは対応が難しくなってきている。SAMAC仮想化・クラウド ワーキンググループでは、新しいテクノロジーに対応したよりよい管理手法を研究し、情報提供を行っている。
 TCO削減が期待できることから、企業においてサーバの仮想化が進んでいる。仮想化環境上で利用するソフトウェアを管理する上でポイントとなるのが、仮想化環境での利用可否、必要ライセンス数の算出方法、仮想化環境で利用する場合の前提条件、設定変更時の影響の考慮である。これらを把握できていないと、気づかないうちにライセンス違反を起こすリスクがある。
 ソフトウェア資産を管理する上で重要となるのが台帳管理である。ひとつの物理サーバに対してひとつのOSを導入することを前提とした管理手法では、仮想化環境に対応できない。仮想化環境にて管理する台帳の種類としては、ハードウェア台帳、導入ソフトウェア台帳、ライセンス台帳、ユーザー管理台帳が挙げられる。ハードウェア台帳の作成では、物理的なハードウェア環境の網羅的な確認、仮想化環境の確認、必要ライセンス数算出に必要な情報の整理がポイントとなる。また、ユーザー管理台帳をハードウェアと管理者の整理目的のみに作成するのではなく、人と利用ソフトウェアを紐付けて管理することも必要となる。
 仮想化環境での棚卸は、各台帳に記録された情報が、実際のハードウェアおよびソフトウェアの利用状況と一致しているかを確認する。資産管理が適切に実施され、正確な台帳が作成・更新されていれば、棚卸は大変な作業ではない。台帳と実際の利用状況との差分を減らすためには、サーバや仮想化環境を許可なく社員が作成・使用しないような社内ルールを設ける等、内部統制を整えることも必要である。

<仮想化・クラウドワーキングメンバー>
リーダー 金井孝三(Sky株式会社)・塚田栄作(有限責任あずさ監査法人)
島田篤(有限責任監査法人トーマツ)・松村達也(エムオーテックス株式会社)
尾形隆昭(有限責任あずさ監査法人) 

目次へ

【ユーザー講演】 学校園におけるSAMの進め方について

神戸市教育委員会事務局 教育企画課
課長 藤谷 積 氏

 神戸市には約310の学校園が存在し、約9,000人の教職員が勤務している。これら学校園の情報管理、業務改善などを担当するのが、神戸市教育委員会事務局 総務部 教育企画課である。
 教育委員会事務局では、学校園情報セキュリティ委員会を独自設置し、行政とは異なる学校園の環境や実務に適した対策基準を設けている。SAM導入においては、この神戸市情報セキュリティ対策基準(学校園)により、管理体制を定義。SAMに関する研修などを参考に、PC配備、ICT教育環境の統一、校務の効率化を目指すシステム導入、セキュリティコンプライアンスの確保、集中管理によるTCO(Total Cost of Ownership)の削減などすべてを含めた仕組みである「神戸市情報教育基盤サービス(KIIF)」を提供することとした。
 平成21年のKIIFの導入を契機にSAMを開始したがうまく機能しなかった。表計算ソフトにおけるゆらぎやインベントリ収集における障害、学校任せの台帳管理等が原因である。ハードウェア、ソフトウェア、ライセンスの管理すべてに様々な問題が起きた。これらの問題の根本的原因には、教員の多忙化がある。学校運営など指導以外の業務に関わる時間が大きくなり、残業時間の平均が大きく増えていることなどが挙げられる。また、KIIF端末の使い勝手が悪くKIIF以外の学校管理PCの使用を認めざるを得ない状況、つまり現実とあるべき状態像であるセキュリティ対策のギャップが負に働いてしまった。
 これらの経験を踏まえ、KIIFの問題点を改善したKIIF2を平成26年下半期より導入する。ICT環境整備とSAM運用を教育委員会事務局に集約化。端末の配備対象を非常勤教員含む小中学校・幼稚園・特別支援学校の全教職員へ拡大することで、学校園の管理負担を軽減する。また、端末の性能向上、必要とするソフトウェアの包括契約、台帳整備のためのソフトウェア・ライセンス・カタログの作成なども実施する。
 SAM導入実現には、ICT利用環境としての機器提供・役務提供を導入から運用までの1つのサービスとして調達すること、研修や通知のみに頼らない人対人のコミュニケーション、そして教職員の校務多忙化対策をベースとすることが必要不可欠である。SAM導入時のアドバイスとしては、信頼できるSAMのコンサルタントに協力を仰ぐこと、SAMのベストプラクティスに学ぶことが、非常に有益であると伝えたい。今後の希望としてソフトウェア資産管理システムの標準仕様化をSAMACにお願いしたい。

目次へ


※資料を希望される方は、会員企業にお問合わせください