去る2017年6月9日(金)、ベルサール新宿グランドにて、一般社団法人IT資産管理評価認定協会(SAMAC)主催「ITAM World 2017」を開催いたしました。
今年度より「SAM World」から「ITAM World」にカンファレンス名を改め、さらにバージョンアップした情報やセッションを ご用意させていただきました。
有識者による講演ではSAM推進のための有益な情報や実践例の紹介、また会員企業による個別セッションや展示ブースなど充実したプログラムを提供し、日本最大のIT資産管理・ソフトウェア資産管理の専門カンファレンスへ多くの皆様にご来場いただきました。
開催概要
| 開催日 | 2017年6月9日(金) |
|---|---|
| 開催時刻 | 9:50~18:30 |
| 会場 | ベルサール新宿グランド 5F 東京都新宿区西新宿8-17-1 |
| 主催 | 一般社団法人IT資産管理評価認定協会(SAMAC) |
| 後援 |
一般財団法人日本情報経済社会推進協会(JIPDEC) BSA | ザ・ソフトウェア・アライアンス 独立行政法人情報処理推進機構(IPA) 一般財団法人日本規格協会(JSA) |
| 協賛 |
一般社団法人コンピュータソフトウェア協会(CSAJ) 一般社団法人日本コンピュータシステム販売店協会(JCSSA) 一般社団法人コンピュータ教育振興協会(ACSP) |
| 参加人数 | 約360名 |
講演
【基調講演】欧米におけるIT資産管理の変遷
m-Assure社 代表
David Bicket 氏
ITIL/SAMガイドは2003年に公表され、2009年の改定を経て今回大掛かりな改訂を実施した。日本はITAM/SAMの活動が非常に活発であり、ITAM標準規格の改訂にはSAMACにも沢山の尽力をいただいた。
SAMとITAMは本来は同じ管理を指すものだが、欧米の経営陣の理解/一般理論レベルでのSAMの認識はライセンスのコンプライアンス遵守のみであり、ITAMは、ライセンスコンプライアンスを含むHWSWにおけるクライアント側の管理として限定的にとらえられている。データセンター管理は管理対象として認識されていない。
ITIL/SAMガイドが出版された当初はテクノロジーやライセンス形態、ツールはシンプルだったが、次第にリモートコンピューティングやクラウド、モバイル、といった複雑で大規模な課題に対応しなければならず、実際現場では対応しきれていない。管理者はこの問題に大きな負担を強いられるため様々な場所で議論されてはいるが、望ましい水準で業務を果たせていないというのが実情だ。
先進諸国ではリーマンショック後、主要ベンダーの売り上げが減少したことにより、主な収益源となる監査の回数を増やしており、ユーザー側では監査によって生じる追加予算や罰金といったコストが大きな注目を集めている。特に罰金では、インドの1企業が6億ドルを請求されたという例もある。また、無駄なライセンスを削減することも大きな課題の一つ(インストールされている有償ソフトウェアの平均1/3が利用されておらず、1本当たりの調達コストは約200ドルという試算もある)とされている。コストの削減では
・使っていないライセンスを他者に再販するコスト回収
・現在使用している経費の削減であるコスト削減
・罰金を含めたコストの回避
といった3つを考慮する必要がある。また、SAM/ITAMサイドからではなくセキュリティとしても注目されている。クリティカルセキュリティコントロール、ISOとして発行されているソフトウェア識別タグ、最近出版されたアメリカ政府機関のサイバーセキュリティに関する要件も注目されている。
特にソフトウェア識別タグへの対応については、米国の政府調達仕様に含まれており、現在は著名なソフトウェアのほとんどにこのタグが実装されている。
同時に、「プロセススタンダード」「技術スタンダード」「外部の専門家の必要性」という3エリアで対応が必要となるが、これについてはこれまでに、ITセキュリティ(ISMS)、資産/品質管理(QMS)、サービス管理(ITSM)としてISO規格が発行されており、また、ITAMも、近々これらと同じ認証規格として発行される予定となっている。
ライセンス管理はおそらく最も複雑で難しいITの領域であり、自動化が進んでいない。だが、これに対しても、現在検討中のISO規格に基づき、すでにIBMが社内で運用を始めており、一定の成果を出しているとの報告がある。
2015年、欧米では、これらの管理については内部でのノウハウ醸成が困難であるということから、今後は多くの組織が外部のマネージドサービスあるいはコンサルティングサービスに依存するであろうというレポートが、ガートナーにより発表されている。ユーザー企業は、こういった情報を利用し、外部組織をうまく使うよう、上司を説得することをお勧めする。
次にサイロシステムについて、欧米の状況を説明する。ここでいうサイロシステムとは、部門毎に構築しているシステムだけでなく、クラウドサービスの利用(これらの管理を以下「サービス管理」という)も含んでいる。
欧米でもサービス管理についての議論はあるが、サービス管理よりも、サーバーの継続性や変更管理・構成管理の方が重要視されており、サービス管理による統合は、重要度が低いと見なされている。組織的に統合をすることは必要だとの認識はあるものの、縦割り組織の意識が強く、組織的な統合の形に持って行くことが難しい。また、セキュリティは更に組織内で差異があり、統合レベルが進んでいない。セキュリティにおいて統合を進めるためには、セキュリティと資産管理の担当者のレポートラインを統一する、同一委員会に参加させる、ツール共通のアーキテクチャを持つ、企業内で統一のポリシーを構築するといった対策が有効だろう。
次に、IT資産管理の継続性を維持する方法についてお伝えしたい。
IT資産管理のプログラムを立ち上げて一定年数の間は監査コストや調達コスト、運用コストの削減が見込まれるが、それ以降は、削減されるコストは一定になるかあるいは、前年比較では少なくなってしまう。こうなると、IT資産管理自体にかかるコストの削減をマネジメントは検討するようになる。
しかし、IT資産管理自体のコスト削減は、IT資産管理の劣化にもつながる。そのため、そうさせずに、引き続きIT資産管理を継続させることを納得させる方法として、パフォーマンス評価を適切に行うというものがある。これについては、ITILにそれを客観視するためのバランススコアカードを紹介しているので参考にしていただきたい。
IT資産管理のパフォーマンスを適正に評価することにより、その業務の必要性を認識してもらいやすくなるだろう。
最後にIT資産管理におけるAI活用の期待についてお話したい。
現在大きな問題になりつつあるのは、組織が認識していないところで利用されるサービスや機材の存在(シャドウIT)だ。これらをどのように検知し、把握していくかというのが、非常に難しい。ここにAIが活用できるようになれば、誰が、どのような目的でそのクラウドサービス、シャドウITを利用しているかがわかるようになる。これは今後起こりうるブレークスルーだと考えている。
なお、私はこのガイドの改訂において沢山のエキスパートから学んだ。このカンファレンスのフィードバックをいただければ幸いである。
【特別講演】法律/コンプライアンス面から見たIT資産管理のリスクマネジメント
~国内外の最新の摘発事例に基づく重大リスクとその対応策~
弁護士/BSA|ザ・ソフトウェア・アライアンス日本担当顧問
石原 修 氏
著作権法において、プログラムは著作物であると規定されている。プログラムはソフトウェアを構成する基盤であることから、当然のことながらソフトウェアも著作権法で保護されている。
パソコンのハードディスクにソフトウェアをインストールするということは、ソフトウェアの複製にあたる。
ソフトウェアの創作者である著作権者の使用許諾(ライセンス契約)に基づいてインストールしていれば何ら問題はないが、使用許諾を超えたインストールは、著作権の中の複製権侵害となり、著作権法により重い刑事罰が科せられる。
また、著作権侵害という不法行為による損害賠償を求めた民事訴訟に繋がる可能性もあり得る。
損害賠償というのは企業が支払うものと理解されがちだが、取締役がソフトウェアの管理を漫然と放置していたケースでは、取締役個人に対し損害賠償の支払いを命じる判決が言い渡された例もある。
更に、ソフトウェアの資産管理がなされていない場合、社内のパソコンの中身が管理できていないということであり、ウイルスやスパイウェア等を原因とした機密情報や個人情報の漏洩にも繋がる。
二次被害として、管理や対応の杜撰さがメディアに報道され、企業の評判が貶められるという事態も考えられる。
これらを予防するために重要となるソフトウェア資産管理は、まずは上層部を含めた全社の意識改革が必要となる。
そして社内におけるパソコンの全数棚卸を実行しなければならない。
インストール制限をしているから、業者に任せているからといっても、全てが万全ということはあり得ない。
部門が細分化された企業や公共団体では、ソフトウェア管理がしづらいケースが多いので注意が必要である。
また、管理者からの定期的な報告の有無、コンプライアンスへの理解度、外部監査の実施等を確認することも重要である。
管理ツールを使用している場合でも、ネットワーク未接続のPCをどうするか、ツールにより把握できる情報レベルを確認する必要がある。
その上で、基本台帳を整備し、現在未使用のものを含めた定期的なパソコンの全数棚卸を実施し、台帳の情報更新ルールを設け、第三者による監査の活用を通してルールの遵守をどのように継続するかといった、しっかりとした管理を行うことが大切である。
最後に、万が一職場で、ライセンスを超える違法コピーが発覚した場合に、安易にアンインストール(削除)してしまうと、著作権法違反被疑事件について証拠隠滅罪が成立するおそれがある。
まずは著作権者であるメーカーに相談するのが最善策である。BSA加盟メンバーにおいては、違法コピーについて自発的な申し出があった際、その情報がまだ情報提供窓口に届いていない場合には、穏便に対応することになっている。
これは、最も重要なのはコンプライアンスの奨励だという考えに基づくものである。
【ユーザー講演】ロシュ社におけるSAM
ロシュ社 グローバルファーマプロキュアメント ソフトウェア資産管理責任者
George Arezina 氏
製薬・診断を主要事業とするロシュグループは、全世界150か国以上に拠点を持ち、事業を展開している。
ロシュのような大組織では中央でITが一元管理されていると思われがちだが、むしろ大きな組織であればあるほど、一元管理は難しいと言える。
実際、ロシュも縦割り組織であり、それぞれが独自のITを持っている。
SAMを行うのであれば、ITは必ず一元管理されていた方がいい。
そこでロシュでは、グローバルなIT調達部門をトップとした管理体制を敷いている。
グローバルなIT調達部門を頂点にし、その下に各種調達交渉部門や、SAM、ガバナンス部門などを配置し、情報の連携と統合ができるようにしている。
SAMチームの仕事は、ソフトウェアの取引について交渉する上で、とても重要なものだ。
なぜならば、SAMチームの検証データがあるからこそ、正確なライセンス取引が可能となる。
また、SAMチームのデータによって、必要なセキュリティ施策やハードウェアの調達計画が立てられるようになる。
SAMを進めるにあたっては、いきなりすべての資産を対象とするのではなく、データが十分に揃っていてすぐに実行できるデスクトップPCを手始めとして、2013年から段階を踏んで作業を進めている。
2016年には、SAM運用の外注を始めた。
SAMツールの管理、データ管理、ライセンスのカウント、これは重要な仕事ではあるが、戦略的ではなく、新たに価値を生み出すことのない価値の低い作業である。
これらを外注することで、私達SAMチームはよりコンサルティング的な業務に注力することが可能となった。
SAM推進には、所有コスト削減に加え、ソフトウェアライセンスにおけるコンプライアンスリスクの低減というメリットがある。
2013年以来、ロシュでは実際に多額のコスト削減を行い、監査部門においてこれが実証されている。
また、ロシュは継続的にライセンス監査を受けているが、ライセンスポリシーを作成した結果、1人1人がすべきことがわかるようになった。
いつ監査が入ってもいいように準備を整えておくことは、重要である。
なお、SAMにより得たデータは、綿密に検証した後、CIOに対しライセンスバランスのレポートを提出している。
CIOの信頼を得るためには、レポートは正確なものでなければならない。
従って、データは得るだけではなく、その検証こそが重要なのである。
最後に私が実体験から得たことを教訓として伝えたいと思う。
まず、SAMの実行にはスポンサーによる資金提供が必要であり、そのためには上層部を動かすこと、そしてその上で会社全体の賛同を得ることも必要となる。
SAMは複雑だが、正しいガバナンスとスキルセット、人、プロセス、テクノロジーがそろっていれば管理が可能である。
また、実現不可能なことは行わず、段階を経たアプローチをすることが重要である。
そして、得たデータは十分に検証が必要であるということも忘れてはならない。
SAMの実行はシンプルではないが、必ずできる。私が非常にシンプルなその1つの事例である。
【後援団体セッション】ITサービスマネジメント及びIT資産管理に適合させたクラウドサービスプロバイダーの活用について
元 日本情報経済社会推進協会(JIPDEC)
高取 敏夫 氏
クラウドサービスプロバイダーがサービスの提供を保証するためには、ITサービスマネジメントシステム(ITSMS)が必要である。
今後は、ここにITAMというIT資産管理を適合させていくことが重要となる。
ITSMSとは、サービス提供者が、サービスのマネジメントを効率的に運営管理するための仕組みである。
ITSMSはPDCA(プラン、ドゥ、チェック、アクト)方法論により、サービスの品質を確保することができる。
サービス提供者がプロセスの一部または全てを外部委託する場合、サービス提供者は、他の関係者が適用するプロセスがしっかりと運用できているかどうかをチェックし、ガバナンスを効かせなければならない。
クラウドコンピューティングの環境になっている今、 ISO/IECのTR(テクニカルレポート)の20000のPart9には、クラウドサービスを含んだサービスの適用概念についての規定がある。
そこには、クラウドサービスプロバイダーにも、ISO/IEC 20000は適用可能だと記載されている。
では、実際にどうした仕組みを作れば良いのかと考えていくと、統合マネジメントシステムの考え方に辿り着く。
サービスプロバイダーは、統合されたプロセスアプローチおよびPDCA法論を採用することにより、複数のマネジメント規格の整合性をはかり、SMS(サービスマネジメントシステム)を組織内の他のマネジメントシステムと完全に統合することができる。
しかし、トップマネジメントの理解が無ければ、ソフトウェア資産管理、IT資産管理のプロセスを統合するのは難しいとも言える。
さて、ISO/IEC 19770-1の2017年版が、近々発行される予定である。
IT資産と関連資産も含めて組織としてマネジメントシステムを導入することが、ITAMの要求事項として入ることとなる。
従って今後、IT資産におけるマネジメントシステムの有効性、リスク軽減、コスト削減といった事項について、今以上の促進が予測される。
ITSMSとITAMとの要求事項を今後統合するという方向性が見られる。
これが実現すれば、リスク管理・コスト管理という点で、組織としては有効な仕組みができる。
ITAMという規格がJIS化されれば、ISO/IEC 20000というプロセスの認証に対してITAMという規格を統合し、その中でソフトウェア資産管理を含むIT資産を管理することが可能となる。
更に、ISMS(セキュリティに対するマネジメントシステム)とITSMSを統合すれば、内部統制の強化、セキュリティおよびサービスの品質向上につながる。
従ってこれは、今後組織の中あるいはサービス提供者側としての品質を担保するための、より良い形だと言えるだろう。
【後援団体セッション】IT資産とサイバーセキュリティ対策
独立行政法人情報処理推進機構(IPA)
寺田 真敏 氏
IPAでは毎年、関係者100人に協力を得て情報セキュリティ10大脅威についての調査を実施している。
昨年は個人ではインターネットバンキング、組織では標的型攻撃による情報流出が首位であった。
デバイスのオープン化、情報系システム統合、IOTなどの脆弱性を取り巻く環境の変化に伴い、システムにおける脆弱性への攻撃は年々規模とスピード、社会への影響を増している。
セキュリティの問題指摘に対して報償を得る事も一般化してきている。
特に、2014年に発生したOpenSSLやApache Strutsの脆弱性を突いた攻撃への対処を通して、資産管理と同じレベルでシステムの脆弱性管理をする必要があると再認識された。
年々増している攻撃スピードに対応するには、資産や脆弱性を迅速に把握できる環境やマルウェア感染時の対策が必要になる。
2004年にWebサイトの脆弱性や製品の脆弱性の報告に関する手続きを情報セキュリティ早期警戒パートナーシップガイドラインとしてまとめている。
この手続きに沿って報告された内容を鑑みると、セキュリティ対策としては「脆弱性を作りこまない」「安全に運営する」「問題の有無を確認する」が有用である。
脆弱性を作り込まないためには、Webサイト攻撃方法の大半を占めるクロスサイトスクリプティングやSQLインジェクションの仕組みを知る、システム開発時の確認事項を設定する、失敗から安全なWebサイトを作る方法を学ぶ、などがある。
IPAではSQLインジェクションを防ぐガイドなども発行しているので活用してほしい。
安全に運営するためには、メンテナンスやパスワードの強化などがあり、資産管理と連動して、日々継続的に対策する必要がある。
IPAではグローバルと連携した脆弱性対策情報サイトやサイバーセキュリティ注意喚起サービスを用意しているので、セキュリティ関係者は参照してほしい。
今後は年々増している攻撃スピードに対応するためにも、マシーンリーダブルな形式での情報発信も強化していきたいと思っている。
問題の有無の確認のためには、実際のシステムの状況を把握する必要がある。
このために、ソフトウェアのバージョン、インストール状況を確認するため MyJVNバージョンチェッカといったツールを用意している。
今後の脆弱性対策基盤の整備においては資産管理ツールとの連携も想定している。
製品とセキュリティ情報、つまり「製品/脆弱性の一意認識と対応付け、体系的分類、脆弱性の評価指標」が資産管理ツールと連携できれば、人の介在無しに自動で対策につなげることができる可能性がある。
現在SAMACとの取組みなどを通して脆弱性対策基盤の整備を進め、具現化しつつある。
短期的にはCPE(共通製品識別子)、長期的にはSWID(ソフトウェア識別子)タグを活用して資産管理と脆弱性管理を連携させていくことを考えている。
最後に、昨年1年間の情報セキュリティ情報を取りまとめた情報セキュリティ白書2017も発行しているため、参照してほしい。
【SAMACセッション】政府におけるセキュリティ対策のための資産管理の活用
総務省
高橋 邦明 氏
総務省行政管理局では、政府全体を対象とした情報システムを用いた業務改革を担当している。
2001年のIT戦略本部設置までは各省庁が個別でIT調達を実施していたため、部単位でサイロ型システムが構築されてきた。
2004年には、業務システムの最適化により、運用経費の削減を目的としたシステム透明化のため、1億円以上のシステムを対象に棚卸を実施した。
また、年間1千億円の運用費削減を実現する為、システム毎に使用目的や登録データ、システムに含まれるアプリケーションの情報を登録した資産台帳を作成した。
台帳作成に伴い、最初は現状把握の為、省庁毎に調査用の様式を配布し、使用するハードウェア、ソフトウェア、ネットワーク等の調査及び報告を依頼した。
その結果、2007年には資産台帳の情報を実務に活用できる迄になったが、報告の度に数字が異なるなど、各部門からの報告に基づく台帳整備の課題が残った。
そのため、2013年に政府情報システムの棚卸しを実施し、文言や概念の統一、業務やパッケージなどの区分の標準化、共有サーバ構成でも判別できる体系立てたシステムIDによる一元管理を導入した。
これにより、全体像が明らかになったため、コスト削減のための統廃合ロードマップを作成した。
また、政府共通のプラットフォームを整備するとともに、政府情報システムの整理及び管理に関する標準ガイドラインを制定。
政府の整備した情報システムは全て管理の対象とし、システム管理経験の浅い担当者でも正しい情報が登録できるよう、調達仕様書に管理を容易にするための登録用シートの作成を含めるようにした。
また、納品後の保守や機能追加により資産の状況が変わった場合でも管理が維持できる状態にした。
そのためのツールとして、政府が保有、使用するシステム関連の情報を管理する政府情報システム管理データベース(ODB)を整備した。
部局毎にExcelで管理していたデータを一元化し、可視化することができるようになった。
システムの全体像が見える基本情報、ライフサイクルのスケジュール、開発規模、予算情報、外部サービスの契約情報などODBに登録するデータは、納品する事業者よりExcelで受領し、DBにインポートする運用とした。
また、セキュリティとしてのシステム方式や対策、個人情報の有無もデータに含まれるため、脆弱性情報と連携する仕組みも実装した。
ODBは2014年から現在まで稼動しているが、運用面でいくつか課題が出てきている。
1つ目は、辞書を的確に使用するため納品情報を地道にメンテナンスする必要があること。
2つ目は、脆弱性に対する意識が低い人を含む全ての職員に資産管理の重要性を啓蒙し、末端までルールを徹底させる取り組みが必要なこと。
3つ目は、国内ベンダーのソフトウェアは一意のソフトウェアIDが設定されていない場合が多く、納品されたソフトウェアの情報とIPAが提供する脆弱性情報データベース(JVN)の定義レベルが異なるため、紐付け作業の負荷が高いことである。
昨今のセキュリティの状況から脆弱性情報との紐付は喫緊の課題であり、導入する製品にソフトウェアIDがついていることは非常に有効であると考えている。
引き続き地道な活動が必要となるが、先進的な取り組みを続けられるよう今後も試行錯誤を重ねてゆきたい。
【SAMACセッション】ソフトの脆弱性DBと連携したSAMAC辞書の活用
脆弱性データベース検討WG
松村 達也 氏
脆弱性とは「ソフトウェア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウィルス等の攻撃により、その機能や性能を損なう原因となりうるセキュリティ上の問題箇所」と定義がされている。
脆弱性に対してはゲートウェイやアンチウイルスで対策している企業もある。
ただ、それらと脆弱性の対策はまったく別物である。
オフィスビルに例えると、まずビルの入り口に警備員がいて、怪しい者がいれば止められる。
しかし、一見怪しくなければそのまま通ることができる。
そこで次に、オフィス自体にちゃんと鍵をかけているかどうかが重要になる。
この部分が、脆弱性対策に例えられる部分である。
セキュリティ対策としては警備員が立つのも、オフィスに鍵をかけることも当たり前であり、どちらもやるべき対策だということである。
5月12日にランサムウェアを使って世界中のあらゆるシステムが攻撃され、ダウンする出来事があった。
実は、2017年3月にマイクロソフトが公開したセキュリティパッチをきちんとあてていたシステムは、感染しなかったと言われている。
脆弱性に対してはセキュリティパッチをあてることが一般的な対策である。
しかし、実際それが出来ていないことが往々にしてある。
その一番大きな原因は、使用しているハードウェア、ソフトウェアのすべての情報を把握出来ているかどうかがポイントになる。
使用しているソフトにどんな脆弱性が出ているのかという情報は、管理者が実際にアプリのインストール状況と脆弱性状況という、別々の物を自ら紐づけながら見て確認しなければならない状況だった。
しかし、ソフトウェア辞書と脆弱性対策のDB、IPAの辞書を連携させることにより、その作業を自動化できるようになる。
どの端末が正常でないかが自動的に表示され、それを細かくドリルダウンしていけば、脆弱性が該当するソフトはどれなのか、どういった脆弱性の内容なのかも表示される。
今までは皆様が自分で検索して情報を見ながら行っていたことを、このソフトウェア辞書と連携させるだけで自動的に可視化されるようになる。
こちらの連携辞書は月に1回のペースで更新していく計画だが、その1ヶ月の間に新しい脆弱性情報が出てくる場合もある。
そういった情報や新しいプロダクトへの対応も、人手ではなく、ソフトで対応できるように取り組んでいる。
例えばマイクロソフトのソフトや、皆様が使われているアプリケーションのなかにソフトウェア識別タグ情報というものを埋め込み、そのタグをみることによって、脆弱性が含まれているかどうか判別できるようにするなど、長期的に取り組んでいる。
【SAMACセッション】『仮想化・クラウドサービスの把握と管理』(JIPDECと共同研究から)
仮想化・クラウド検討WG
金井 孝三 氏
「仮想化」「クラウド」というもののおさらいと、今までとの違い、参文の調査という視点でのサービスを把握するポイントをお話します。
従来の”仮想化されていない環境”は、物理サーバー(orクライアント)とソフトウェアが一対一で紐づけされていたが、仮想化はそれが崩れます。
また、ではなぜ社内でクラウドサービスを管理しなければならないのか?
今までは、オンプレミスであったため、情報システム部門が一元管理・把握ができていた。
クラウドサービスが一般化すると、情報システム部門だけではなく、営業部門や個人が個々に契約して無意識に利用しているクラウドサービスがある事で、会社の規定ルール枠から漏れるケースが増えてきている。
しかし、情報セキュリティや、コスト削減(実は利用していないのに使用料のみ支払っている過払い等)の観点から、やはり、情報システム部門が、全て網羅的に把握する必要があると言われている。
・パブリッククラウドとライセンス契約
クラウドサービスを利用する場合には、SaaSの場合には、ソフトウェアの使用料込みでサービス提供されるため、オンプレミスで利用しているソフトウェアは転用できず、新たに購入する必要がある。
IaaSの場合には、クラウド上でOS、ミドルウェアのCPU、メモリ、ディスクのデータ量に合わせてクラウド事業者と契約する事になることが殆どであるが、オンプレミスで利用していたソフトウェアについては、持ち込み不可や、新たに料金が発生する事がある為、クラウド上で利用するソフトウェアのライセンス条項を確認する必要がある。
・調査について
サーバー仮想化の場合、実態は情報管理部門が把握している。
クラウド環境については、営業部門など情報システム部門が関与していないところで契約され利用されている場合も少なくないので(場合によっては個人で契約して利用されている場合もあるため)把握は難しく、全社員にクラウド利用実態を聞く必要があるが、無意識もあるので抜け漏れは必ず発生する。
その場合、ログを個々で追わなければならず、初期設定時のIDやURLの書き出し等、ヒアリングを工夫する必要がある。
・運用
支払いの書類全ての購入ルートを情報システム部門に経由する形式にすれば、クラウドサービスを把握後は抜け漏れが防げる可能性が高い。
全社的な社内ルールを変更するため簡単ではないが、そのようなルール整備をしないと、情報システム部門だけで、クラウドサービス等を把握することは容易ではない現状がある。
【SAMACセッション】ITAMシステム調達の留意点
ユーザーフォーラムWG
沖縄県企業局 上間 浩 氏
27年度より現状調査と成熟度評価、研修、28年度のシステム調達に向けた仕様書作成をSAMACの公認SAMコンサルタント(CSC)と実施した。
現状調査では、各種文書(ITAMに関する文書に加え、ネットワークの管理等情報システムの運用管理にかかわる全般の文書)の提出、また、担当者へのインタビュー、さらにPCの配置、保管状況など実質調査などをサンプリング方式で実施した。
調査方法は、PC等のハードウェアとソフトウェアのパッケージとライセンス媒体を集め対象と番号が識別できるように記録する。
調査員がITリーダーにヒアリング、後日インストールされているソフトウェアの一覧を取得するプログラムを実行しファイルを提出。
また、PCの設置場所を記録するためのフロアのレイアウト図や担当者の連絡先の名簿を作成。
対象の部門に対し事前に周知しておくことが必要。調査の結果、IT資産管理の体制を構築する必要性を認識した。
企業局では、管理責任者、統括管理者、統括担当者、部門責任者、部門担当者、監査人という体制で運用を実施することが決定した。
手続きの規定に関しては、システムの機能を把握してから作成したほうが効率的。
ITAMシステムを構成する2つの要素、インベントリツール、台帳システムについて。
インベントリツールは現状を確認するもので、台帳システムは本来の姿を記録するもの。
現状と本来の姿のギャップを埋めることがIT資産管理(ITAM)なので、どちらか一方では不十分であると考える。
台帳システムの調達について、要求仕様表を作成するポイントとしては、パッケージソフトのカスタマイズを基本とした。
結果的に既存の仮想サーバーに構築したので今回、ハードウェアの調達コストは発生していない。
さらに、開発メンバーにCSCの有資格者を入れ、運用でカバーするように妥協した部分もあった。
費用とスケジュールの都合で、システムで対応しない部分や、対応が難しい部分は情報システム部門で一括処理するなど妥協した。
システム調達するときのコスト算出時には、複数社から見積もりを取るとよい。
また、忘れがちなのが2年目以降の運用コスト。
保守のメニューも確認をする必要がある。
製品がほしいわけではなく、ソリューションやITAMのノウハウを提供して欲しかったので、プロボーザル方式をとった。
事前に評価基準を定めて審査した。
審査員は、システム部門だけではなく、現場の管理担当、利用者代表などを選任し、事前のレクを行うなど効率的に実施した。
また、ITAMシステムは、カスタマイズなしで導入してしまうと、後々運用で苦労するのでカスタマイズは必要だといえる。
ただ、カスタマイズに時間とコストがかかってしまうと、中小規模の企業は対応できないので、是非スタンダードなシステムを作っていただきたい。
IT資産管理はかなり難しいのでSAMACの公認コンサルタントに相談するなど、専門家の力を借りたほうが良いと思う。
また、現場の理解と協力が必要なので、丁寧な説明が必須であり、現場の負荷がかからないようにするためにもきちんとしたITAMのシステムが必要。
【SAMACセッション】IT資産管理の国際規格状況(ISO/IEC 19770)
JTC1 SC7/WG21主査
高橋 快昇 氏
日本は米国に比べて情報化投資が鈍い、もっと積極的な投資が期待される。
国際標準は、ISO/IEC JTC1 SC7/WG21で作業されている。
昨年、ソフトウェア資産管理からIT資産管理(ITAM)にWG名が変更され、重要性が増してきている。
認証規格の元となる19770-1:3rdが今年度中に公開され、JIS化作業が行われている。
既公開のソフトウェア識別のための19770-2:2015(ソフトウェア識別タグ)は、昨年JIS化作業を完了し、今年度出版される。
ライセンス定義の19770-3:2016(権利スキーマ)は、今年度JIS化作業が行われる。
利用状況を報告する19770-4(資源利用測定)は、今年度国際規格が出版され、同様にJIS化の作業が行われる。
また、監査の規格(19770-11)、ハードウェアタグの規格(19770-6)が秋に提案される予定である。
このように認証規格、及び管理の省力化と高品質化が期待できるタグの規格が国際標準として揃うとともに日本のJIS化も進んでいる。
19770-1:3rdは、ISOの新しい管理システム標準(MSS)に合わせて改版されている。
これは、様々なMSSの整合性と手順の共通化を向上させるためにISOが導入した、
共通用語及び共通テキストを使用してITAMのMSSを改版させるものであり、世界で認められるITAMの認証規格である。
箇条4から、箇条10が規格の中心となり、それぞれ、組織の状況、リーダーシップ、計画、支援、運用、パフォーマンス評価、改善の要求事項を示している。
「組織の状況」では、内外の課題をリスク管理の観点で明確にする。
「リーダーシップ」では、リーダのコミットメントと資源の確保の責任を明確化が要求されている。
「計画」では、リスクや機会を洗い出して目的を定義し、ITAMのための計画を立案すること、特に、リスクアセスメントと取組みについて、情報マネジメントの規格ISO/IEC27001に合わせ、強化されている。
また、自己認証、及び独立系認証のために3段階のティア(Tier)が導入されている。
「支援」では、計画を実行する上で重要となる各種支援機能について、要求事項がまとめて定義されている。
「運用」で新しく出てきたのは、組織と個人間の複合責任である。
個人のデバイスが社用に使われ、ITをアウトソーサと共有するというような複合責任を管理対象として明示した。
「パフォーマンス評価」は、新MSSで規定されていることと殆ど違いはない。
「改善」では、新MSSに、アセットマネジメントで追加された「予防処置」の箇条をそのまま採用した。
タグ関連の標準化については、国際規格、国内のJIS規格になる、「ソフトウェア識別タグ」、「権利スキーマ」、「資源利用測定」は、それぞれが連携して、ライセンス及びセキュリティコンプライアンスの省力化、高品質化に貢献する。
但し、現状、タグがすべてのソフトウェアに提供されているわけではないので、それを前提とした対応が必要になってくる。
SAMAC辞書との連携も一つの解決策と言える。
ITベンダーが製品と同じレベルでタグに対応すること、及びタグが正しく設定されていることを証明する認証機関の整備が重要になってくる。
- 開催概要
-
講演
- 【基調講演】欧米におけるIT資産管理の変遷
- 【特別講演】法律/コンプライアンス面から見たIT資産管理のリスクマネジメント~国内外の最新の摘発事例に基づく重大リスクとその対応策~
- 【ユーザー講演】ロシュ社におけるSAM
- 【後援団体セッション】ITサービスマネジメント及びIT資産管理に適合させたクラウドサービスプロバイダーの活用について
- 【後援団体セッション】IT資産とサイバーセキュリティ対策
- 【SAMACセッション】政府におけるセキュリティ対策のための資産管理の活用
- 【SAMACセッション】ソフトの脆弱性DBと連携したSAMAC辞書の活用
- 【SAMACセッション】『仮想化・クラウドサービスの把握と管理』(JIPDECと共同研究から)
- 【SAMACセッション】ITAMシステム調達の留意点
- 【SAMACセッション】IT資産管理の国際規格状況(ISO/IEC 19770)
