去る2018年6月8日(金)、ベルサール新宿グランドにて、一般社団法人IT資産管理評価認定協会(SAMAC)主催「ITAM World 2018」を開催いたしました。2017年度より「SAM World」から「ITAM World」にカンファレンス名を改め、さらにバージョンアップした情報やセッションを ご用意させていただきました。有識者による講演ではSAM推進のための有益な情報や実践例の紹介、また会員企業による個別セッションや展示ブースなど充実したプログラムを提供し、日本最大のIT資産管理・ソフトウェア資産管理の専門カンファレンスへ多くの皆様にご来場いただきました。
開催概要
| 開催日 | 2018年6月8日(金) |
|---|---|
| 開催時刻 | 9:50~18:30 |
| 会場 | ベルサール新宿グランド 5F 東京都新宿区西新宿8-17-1 |
| 主催 | 一般社団法人IT資産管理評価認定協会(SAMAC) |
| 後援 |
一般財団法人日本情報経済社会推進協会(JIPDEC) BSA | ザ・ソフトウェア・アライアンス 独立行政法人情報処理推進機構(IPA) 一般財団法人日本規格協会(JSA) 一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン) |
| 協賛 |
一般社団法人コンピュータソフトウェア協会(CSAJ) 一般社団法人日本コンピュータシステム販売店協会(JCSSA) 一般社団法人コンピュータ教育振興協会(ACSP) |
| 参加人数 | 約450名 |
講演
【基調講演】ITAMの標準と、ITAMの将来
Anglepoint社 CEO/IT資産管理委員会コンビナー
Ron S. Brill 氏
ガートナーは「2022年、デジタルビジネスの30%が不十分なIT資産管理ゆえに失敗に終わるだろう」と予測している。なぜIT資産管理がそれほどまでに重要なのか。
IT資産管理情報は、さまざまなIT分野が依存するいわば基盤となるものだ。例えば、新しいセキュリティ脆弱性が発見された場合、IT資産管理情報がなければ速やかにパッチを適応することができず、1分1秒ごとに被害が拡大する可能性がある。ガートナーの調査によると、IT資産管理情報とIT情報セキュリティは50%強の重複がある。ほかのIT分野もその多くがIT管理情報に関わっており、大きな重複があると言える。しかしながら、昨年数百社のCIOを対象に行った調査によると、53%がIT資産管理情報を他のIT分野に統合していないと答えている。さらに、それは統合する理由がないと判断したうえの結論だと。この乖離は今後さらに拡大する可能性がある。ITの所有から消費へのシフト、ハードウェアとソフトウェアの分断などさまざまな状況を考えると、ガートナーの予測が真実味を帯びてくる。
ISOは、規格系として国際的に認知されている唯一の組織だ。168か国が加盟しており、3年任期の委員会が標準規格を決定し、5年に1度更新している。ISO WG21には、北米や日本をはじめ多くのメンバー国、SAMACをはじめとしたかk国を代表する9つの連携組織、各業界企業が参加し、ITAM標準規格化を進めている。現在公表されている規格は5つで、マネジメントシステムである19770-1、情報構造を担当する19770-2、19770-3、19770-4、概要・用語を担当する19770-5である。
その中の代表的な規格である19770-1をご紹介したい。2017年にリリースした最新の第3版は、SAMACのISOメンバーが中心となって策定された。これは管理対象に枠組みを設け、Plan-Do-Check-Actの継続的な改善サイクルによりリスク軽減を図るマネジメントシステムの規格である。中心となる資産管理のプロセスは3つの階層に分かれている。tier1で信頼できるデータをカバーし、tier2でライフサイクルの統合、tier3で最適化を行うというのが全体のフレームワークだ。ISOの他の規格と類似した構造になっていることが極めて重要である。この管理フレームワークを導入すれば、IT資産管理と情報セキュリティ、品質管理、サービス管理などを一緒に進めることができるというわけだ。私は、この第3版に期待している。日本、そしてSAMACにこの第3版に協力いただいたことを感謝したい。
そして今、ISOは新たに7つの規格に取り組んでいる。その他にも、IT資産管理において重要であるが標準化されていないトピックスもある。今後フォーカスしていきたい。
【特別講演】法律/コンプライアンス面から見たIT資産管理のリスクマネジメント
~国内外の最新の摘発事例に基づく重大リスクとその対応策~
BSA | The Software Alliance 日本担当顧問
TMI総合法律事務所 弁護士
石原 修 氏
ソフトウェアは著作権法で保護されており、ソフトウェアを創作した著作者には、さまざまな種類の著作者の権利が帰属する。
中でも、注視したいのが複製権だ。コピーして海賊版を作成すること典型的な複製権侵害だが、パソコンのハードディスクにソフトウェアをインストールすることも、ソフトウェアの複製にあたる。
著作権者は、著作物の利用方法及び条件を自由に決めることができる。
著作権者の使用許諾(ライセンス契約)に基づきインストールしていれば問題ないが、使用許諾を超えたインストールは複製権侵害に当たり、窃盗罪よりも重い刑事罰が科せられる。
さらには損害賠償責任も負うことになる。
ではコンプライアンスの観点から内部調査を行い、不正コピーを発見してしまったらどうすべきか。
適切な対応は、メーカーに相談することである。
まずはアンインストールと考えがちだが、アンインストールは、著作権法違反被疑事件の重大な証拠を隠滅したことになり、証拠隠滅罪に該当する可能性がある。
BSAが実施した最新の「グローバルソフトウェア調査」の結果、日本の不正ソフトウェア使用率は16%であり、わずかに減少しているものの、現在も広く蔓延していることがわかる。
不正コピーが発覚した場合、リスクは広範かつ連鎖する恐れがある。
一次リスクとしては、、多額の損害賠償や刑事罰(法人は3億円以下の罰金)に発展することによる財務負担リスク、ソフトウェア資産管理をしていないことから生じる情報セキュリティリスクなどが企業経営を大きく圧迫する。
そして二次リスクとして、レピュテーションリスクや事業継続リスクへ連鎖する可能性もある。
リスク予防のためには、徹底した意識改革が必要だ。
全組織的な取組みと位置づけ、部門横断的な組織を設置して管理を徹底する。
全てのパソコンを対象とした棚卸を行い、その後も適正な状態を保つために定期的なレビューを実施することが重要となる。
管理者がいるから、業者に任せているから、管理ツールを導入しているから大丈夫などと考えるのは大きな誤解である。知識が不十分な業者も存在するし、ツールは万能ではない。
また、納入先のコンプライアンス条件への抵触、海外の事業所での不正コピー、クラウドサービス利用における不正誤用が落とし穴になった事例もある。
不正コピー予防のためには、経営層の意識改革、基本台帳(管理台帳)による管理、台帳の更新のルール設定、そのルールが守られているかの検証、さらに不一致が見つかった場合の適法是正措置がポイントとなる。
BSAでは、e-ラーニング・サービス、ソフトウェア資産管理サポート、世界クラスのSAMツールなどの教育啓発コンテンツを提供しているので、ぜひご活用いただきたい。
【ユーザー事例講演】神戸市教育委員会における、IT資産管理への取組み状況
神戸市教育委員会事務局総務部
業務改善・情報監理担当課長
亀井 浩司 氏
神戸市は、人口約150万人の政令指定都市である。神戸市教育委員会で管理しているハードウェアは、教員用・児童生徒用など合計約21,600台、ソフトウェアが約1,800種類、約240万本、うち有償ソフトウェアが約300種類、約25万本である。現状の独自システムは平成25年に稼働し、27年度に成熟度評価を受けて成熟度レベル2と判定された。「規則に則った運用の開始」「適切な管理の実現のための、管理システムの確立」などの指摘のほか、SAMが必要とする教育が適切に実施されていない、現時点ではすべてのデータが投入され運用が開始されていないと評価され、以降見直しを進めてきた。
組織の課題として、SAMの管理において各種申請手続などで教頭や情報担当教諭に相当な負担を強いており、これ以上負担をかけることは困難だった。そのため、学校現場の負荷を減らしながら、なおかつ管理レベルを向上させる、可能ならば事務局側の負荷も軽減することを対応方針とした。
改善に向けた取り組みの方針として、目標管理レベルの設定・管理システムの更新・管理体制の見直しの3つの柱を挙げた。目標の管理レベルについては、「もう少し頑張ればできること」を基本に管理規定(管理基準、手順書など)を見直し、PDCAサイクルを確実に実施するものとした。管理システムの更新については、ノウハウがないことなどから、パッケージシステムをノンカスタマイズで導入し、操作の専門担当者を用意する。それらを実現するための管理体制の見直しについては、外部委託先で代行することとした。
システム変更検討、所要予算確保に1年を費やし、29年度当初に新システムの契約を締結した。導入にあたっては、ハードウェア・ソフトウェアの再調査、管理項目の情報収集、学校園の多忙などの問題からスケジュールを見直し、現在は30年度8月稼働を目指して進行している。また、実際に動いてみると、職員の専任体制が確保できず、担当間にレベル差が生じてしまう問題も判明した。そこで、今後は外部委託化することに加え、CSC研修受講等により最低限のレベル維持を図っていく。また、外部委託先に管理基準他の各種規定類を理解していただいた上で、市教委と意識共有・情報共有し、SAMに取り組んでいくことが非常に重要となる。外部委託先の担当者はCSC有資格者とし、リスクアセスメントを定期的に提示させるという契約締結を目指したい。
これらにより今後は、現場には「勝手な調達等は行わない」「まずはサービスデスクに相談する」という最低限の知識だけは求め、教員の負担を軽くしたい。
また、システム稼動以降は、SAMに関する改善案を収集する仕組みの構築・外部研修等を利用した教育・リスクマネジメントにも取り組んでいきたい。
【ユーザー事例講演】IT資産管理導入から、サーバー管理まで道半ば
株式会社トクヤマ 情報戦略企画グループ
河村 幸夫 氏
ライセンス調査が行われると、手が足らず締め切りに間に合わない、準備がなくサーバーなどの処理能力が不足、オフラインPCやサーバーの情報収集、予想外の情報要求など、さまざまな課題が発生する。
そこで、IT資産管理を導入しようとすると、何をどこまで行えばいいのか、予算や人の不足、経営陣のコストへの理解など、検討すべき課題は多い。弊社の場合、パブリッシャーやコンサルの適切なサポート、ベンダーの協力が得られたのが大きく、予算の範囲内で進めることができた。インベントリツールを導入、自社の申請ワークフローを連携し、IT資産管理を導入した。
その後再び、サーバーのライセンス調査が入った。調査内容が難しく、ベンダーの協力が必要だった。隠れた小さなシステムが発見され、調査に半年以上を費やした。
それらの経験から、IT資産管理のサーバーを検討した。しかし仮想化などでシステムが複雑化しており、関係するハードとシステム全体の管理が必要になる。ベンダーに依存して、問題が発生した経験もあった。そこで、自社で管理すべく、必要な情報が網羅できる入れ物を作る、IT資産管理&サーバー管理で管理することを目標として、システム導入を進めた。
しかし昨年、IT資産管理システムのサポート終了通知を受けた。IT資産管理システムの入れ替えを検討しなければならなくなり、一度中断せざるを得ないのが現状だ。
もうひとつのミッションである後進の育成を進めたい。セミナー等での情報収集を進め、ライセンスの知識はCLM(公認ライセンスマネージャー)、IT資産管理の基本的な考えはCSC(公認SAMコンサルタント)取得のためのセミナーで学んでもらいたいと考えている。
【後援団体セッション】IT資産管理とセキュリティ~リスク分析のすすめ~
独立行政法人情報処理推進機構(IPA)
技術本部セキュリティセンター 情報セキュリティ技術ラボラトリー
寺田 真敏 氏
セキュリティ対策におけるリスク分析の手順をご紹介する。中国の兵法書『孫子』に「彼を知り己を知れば百戦殆うからず」という名句がある。敵=脅威、己=自組織と置き換えてみると、セキュリティ対策において効果的な施策を実施するための教えとなる。リスク分析とは、「評価対象の価値、想定される被害の規模・影響」「評価対象に対して想定される脅威とその発生の可能性」「想定される脅威が生じた際の需要可能性」を評価指標に、事業リスクを明確化するプロセスである。これにより、リスクの低減、効果的なセキュリティ投資の実現、セキュリティ維持向上の継続が可能となる。
手順の詳細はIPAの『制御システムのセキュリティリスク分析ガイド』で確認していただきたい。ステップは大きく3つ、、リスク分析のための事前準備、資産ベースと事業被害ベースのリスク分析の実施、リスク分析結果の解釈と活用である。
事前準備では、まずシステム構成とデータフローの明確化を行う。そして、資産の重要度の定義、事業被害とそのレベルの定義、脅威レベルの定義、セキュリティ対策項目の確認を行う。所有するIT資産を分類しながらレベルを定義していくことが準備となる。
リスク分析のアプローチにはいくつかあるが、今回は詳細リスク分析の資産ベースアプローチとシナリオベースアプローチについて紹介することとしたい。資産ベースのリスク分析は、保護すべきシステムを構成する資産を対象に、各資産に対してその重要度、想定される脅威、脆弱性の3つを評価指標としてリスク分析を実施する、「己を知る」アプローチである。事業被害ベースのリスク分析は、保護すべきシステムにおいて実現されている事業やサービスに対して、回避したい事業被害を定義し、発生した際の事業被害のレベル、その被害を起こしうる攻撃シナリオによる脅威、そのシナリオに対する脆弱性の3つを評価指標としてリスク分析を実施する、「敵を知る」アプローチである。
最後のステップがリスク分析結果の解釈と活用法である。セキュリティ上の弱点を発見し、サイバー攻撃に対するリスクを低減するため、分析結果として得られたリスク値を可能な限り低減する。リスク分析をIT資産管理のなかに組み込むことを検討していただければ幸いである。
IPAでは、IT資産とサイバーセキュリティ対策においてさまざまな取り組みを進めている。日々の脆弱性関連情報の収集だけでなく、セキュリティリスク分析や資産管理と連携させた対策を進めることで、サイバーセキュリティリスクの管理を加味した脆弱性対策を実現していく必要がある。JVN脆弱性対策機械処理基盤では、共通基準/共通仕様の活用、データ連携により、IT資産と脆弱性対策との一元的な管理を支援する基盤の準備を進めている。脆弱性に対して適切な対策をとっていただきたい。
【後援団体セッション】クラウドファースト環境でのクラウドセキュリティのあり方
一般社団法人日本クラウドセキュリティアライアンス
業務執行理事/事務局長
諸角 昌宏 氏
日本クラウドセキュリティアライアンスは、Cloud Security Alliance(CSA)の開発するガイドラインやツールを日本で展開・活用するための取組みを中心に活動する一般社団法人である。セキュリティガイダンスなどのリリース、WGや研究活動など幅広く進めている。
企業におけるクラウド利用状況は徐々に伸びてきている。2、3年前から金融機関の利用も進んでいる。利用する理由としては、まず効率化、コストカットを考えがちだが、セキュリティ対策のためにクラウドを利用する企業も増えている。逆に、使用しない理由としてもセキュリティに対する懸念が挙がる。クラウドを利用する前提のもとで必要なセキュリティ対策をとるという考え方が大きくなりつつある。
クラウド環境におけるセキュリティ上のリスクについて触れる。組織のリスクとして大きなものが、ガバナンスの喪失である。管理責任をプロバイダー側に移譲するリスクだ。コンプライアンスの課題、サプライチェーンによる障害などもある。技術的なリスクとしては、隔離の失敗やクラウドプロバイダ従事者の不正、法的なものは司法権の違いから来るリスク、クラウドインフラに関しては技術的リスク、仮想化リスクなどがある。
一方、利点もある。まず、大規模化による利点とセキュリティは非常に大きなメリットだ。不足するセキュリティ人材の確保、集中が可能となる。監査および証拠収集においても、アップデートにおいても、大きなメリットがある。こうした利点を上手に利用しながらクラウドを運用すべきである。
クラウドの基本的なサービスモデルがIaaS・PaaS・SaaSである。これらは責任共有モデルであるという原則をご理解いただきたい。クラウド事業者は、一定のリスクに対する責任を負い、クラウド利用者はその先のすべてに責任を持つ。SaaSにおいてはクラウド事業者が、IaaSにおいてはクラウド利用者がより多くのリスクを管理する。忘れてはいけないのが、クラウド事業者にリスク管理の責任を委ねたとしてもクラウド利用者はリスクを所管する最終的な責任を負っているということだ。
クラウド利用の新たな流れとして、サーバーレス環境などを用いたプラットフォーム化がある。これは、オンプレかクラウドかの2択ではなく、適材適所へのコンポーネントの配備への移行だ。プラットフォームにおいては、開発/運用から配備まで全体的なセキュリティ対策、プロバイダーによる一気通貫のセキュリティ対策が必要になる。
また、クラウド事業者によるセキュリティ機能の充実が進んでおり、AWSの例では、セキュリティはソフトウェアおよびサービスで提供している。2020年には情報セキュリティ人材が20万人不足すると予測されている。ソフトウェア、クラウドが問題解決の切り札となるのではないだろうか。
【SAMACセッション】仮想化・クラウド取り組みのためのリスクアセスメント
IT資産管理評価認定協会
仮想化・クラウド検討WG-1
IT資産管理の目的は、ここ数年で大きく変化した。ライセンスコンプライアンス、情報セキュリティに加え、現在は仮想化・クラウド管理、コスト削減、リスクの把握なども重要な目的となっている。仮想化環境およびクラウドサービスでは、従来のIT資産管理で実施してきたリスクアセスメントだけでは、保有するリスクを見つけることは困難である。
そこで、仮想化・クラウドでのリスクアセスメント管理表を制作した。16の発生しうるリスク、リスク評価項目、リスク対策として管理したい資産管理台帳の項目を1つにまとめている。それぞれのリスクに対し、セキュリティ、コンプライアンス、コストに関連づけ、それぞれのリスクに対し発生可能性、発生範囲、影響範囲を検討するものである。
例えば、「クラウド事業者の破綻/事業譲渡」というリスク。こうしたリスクに対して管理表を使って検討することで、リスク対策に役立てることが可能だ。クラウドサービスの場合、データ自体にアクセスできなくなる場合がある。また、特定のクラウドサービスの仕様に特化した運用をしていると、他のサービスに移行できなくなったり、次のサービス会社を探すのに時間がかかるというリスクもある。利用サービスによって影響範囲は大きく変わるが、データをローカルで保有しており、容易に他に移行可能であれば、対策の要否は「否」と判定できる。
また、「データベースや情報の保存先」というリスク。国内のクラウドサービス事業者と契約していても、実際のデータは海外のサーバーに保存されていたり、自分のデータがどの国に設置されたサーバーに保存されているかを特定できない場合がある。例えば、アメリカのサーバーにデータを保存する場合は、政府機関の捜査権限が大きいことに留意が必要だ。保存先を確認し、法的規制の問題がないか確認するなど対策「要」と判定できる。
さらに、「クラウド事業者の情報セキュリティ対策の不備」「オープンソース利用時の事業者のライセンス条件遵守」「クラウド事業によるソフトウェアバージョンの変更/サポート範囲の変更」「契約内容の変更」「セカンドライセンス数の変更」「リソース条件の変更(IaaS)CPU等ハードウェアの変更」「物理環境の変化による必要ライセンスの変化(仮想化)」「仮想化:リソース条件の逸脱」「稼働環境条件の逸脱(仮想化、クラウドでの利用禁止)」とセキュリティ、コンプライアンス、コストの面から計16のリスクを洗い出した。仮想化・クラウドへの流れは今後も加速し、これまで以上に複雑な管理が求められる。管理が行き届かなかった場合のそれぞれのリスクに対し、発生可能性、発生範囲、影響範囲を皆様の組織にてご検討いただき、リスク対策にお役立ていただきたい。
【SAMACセッション】IT資産管理の省力化を目的とした情報構造の標準化と利用方法
IT資産管理評価認定協会TAG WG
高橋 快昇 氏
情報構造(タグ)の標準化を推進すべく、昨年から今年にかけてタグのJIS化を進めてきた。今回説明する3つのタグもすでにJIS化が完成しており、今年末から来年には出版される見込みである。ソフトウェア識別のためのJIS X 0164-2:2018SWIDタグ(ISO/IEC 19770-2:2015)、権利スキーマのためのJIS X 0164-3:2019ENTタグ(ISO/IEC 19770-3:2016)、資源利用測定のためのJIS X 0164-4:2019RUMタグ(ISO/IEC 19770-4:2017)である。
ITアセットの各種情報構造のタグ化の狙いには、ITアセットマネジメントの品質向上と省力化がある。今回説明する3つのタグを上手に使って自動計算すれば、ITアセットマネジメントは大きく省力化できると考えられる。
どのようなことができるのか、ライセンスの調停作業を自動化する例を説明する。Entファイルで契約書を電子的に入手し、DB化する。DB化された契約情報のメトリックスからライセンスのカウント方法を確認する。SWIDタグからカウントできるもの、RUM(資源利用測定)でカウントできるものを確認し、権利違反を自動チェックする仕組みを検討する。ライセンス管理、その調停作業が非常に安易になると考えられる。
それぞれのタグについて見ていく。ソフトウェア識別タグJIS X 0164-2:2018SWIDタグ(ISO/IEC 19770-2:2015)でなにが定義できるか。ソフトウェア識別についてのルート属性を記述する。タグの種類、製品名、バージョンなどである。子要素として、組織情報リンク情報・メタ情報・ソフトウェアの本来情報・ソフトウェアの実際情報・署名情報を記述する。
権利スキーマJIS X 0164-3:2019ENTタグ(ISO/IEC 19770-3:2016)は、ライセンスのタグである。今まで文書で入手していたライセンスの契約書も、すべて決められたスキーマで定義された形にできる。権利についてのルート属性を記述し、契約のentId、タイプ(ライフサイクル例参照)、日付などを定義する。子要素として、組織情報・契約メタ情報・リンク情報・メタ情報・署名情報を記述する。
資源利用測定JIS X 0164-4:2019RUMタグ(ISO/IEC 19770-4:2017)は非常にシンプルで属性の定義はない。子要素として資産識別子があり、SWIDのある資産、ない資産の識別を定義する。さらに、メタ情報と測定値を記述する。
今年度、新たに開発開始が許可される予定のタグもある。ハードウェア識別タグのISO/IEC 19770-6、インベントリスキーマのISO/IEC 19770-7である。数年後、国際標準化されるだろう。
【SAMACセッション】セキュリティ&クラウド世代におけるソフトウェア資産管理
Head of Global Software Asset Management
F. Hoffman La Roche AG
George Arezina 氏
製薬・診断を主要事業とするロシュグループは、全世界150か国以上に拠点を持ち、事業を展開している。IT調達グループは4つの組織で構成され、情報の連携と統合ができるようにしている。
SAMと情報セキュリティ、この2つの組織をどう統合させ、機能させるかは重要なテーマである。2016年、世界で4,149件ものデータ侵害が確認されており、その数は右肩上がりである。実は世界で37%ものソフトウェアが情報管理されていないというデータがある。管理されておらず、どんなソフトウェアを所有しているのかわからなければ、サイバー犯罪に対応することなどできない。SAMには、ソフトウェアのバージョン、エディションをはじめさまざまな情報がある。もしバージョンが古く、しかもパッチ対応されていなければ、データ侵害のリスクは上昇する。一方、情報セキュリティにも、ソフトウェアのブラックリスト、ホワイトリスト、ユーザーのログイン情報など重要な情報がある。これらの情報があれば、例えば使用されていないアプリケーションがわかり、コスト削減も可能になる。SAMと情報セキュリティにはお互い利用できる情報が非常に多く、企業内でしっかりと統合されるべきである。両者がメリットを享受できる。ロシュ同様、皆様の会社でも連携は可能なはずだ。
クラウドについて。5年後には90%のソリューションがクラウドで管理されるようになるのではないかと考えている。そうなると、SAM管理の複雑性はより増してくる。IT資産管理、ユーザー管理についても同様である。この動向からも、SAMと情報セキュリティが連携し、この新しいITの世界に対応していくことが重要である。
他にもクラウドに移行した際に注意すべきことは多い。製薬業界などコンプライアンスが厳しい業界は特に、データ管理を徹底しなければならない。また、サービスのトータルコストが数倍に跳ね上がる例も容易にある。クラウドに移行する前に、社内のIT系各部署はもちろん、財務や法務部を巻き込んで戦略を立てることが重要だ。
ロシュグループでは、クラウドのガバナンスモデルを設け、2017年に導入し成果を出している。参考にしていただければ幸いである。
【SAMACセッション】IT資産管理プロセスのJIS化について
ISO/IEC JTC1 SC7/WG21
高橋 快昇 氏
IT資産管理国際規格(ISO/IEC 19770)の動向をご紹介する。今回説明するプロセスにおいて、ITAMシステム要求事項の規格19770-1:2017(第3版)JIS化され、JIS X 0164-1が出版間近となっている。これは日本が中心となり制作したものである。19770シリーズと業界標準のマッピング作成のガイドライン19770-8は、現在DIS投票中であり、今年度中に国際標準化され出版されるだろう。ITAMシステムガイドラインの19770-10は企画段階である。第3版の要求事項をベースにマネジメントシステム認証機関の認定のための規格19770-11の開発が始まっている。
なぜプロセスの標準化が必要なのか。公平な認証が容易になる、サプライヤの比較が容易になる、共通の業界用語と製品やサービスのアプローチを容易にするなどのメリットがある。
ISO 新マネージメントシステム(MSS)について見ていく。MSSは、ISOが専門業務用指針の附属書SLで提唱するマネジメントシステムである。4.組織の状況、5.リーダーシップ、6.計画、7.支援、8.運用、9.パフォーマンス評価、10.改善というプロセスだ。新MSSの狙いは、管理システムの要求事項の共通化だ。マネジメントシステム間の整合性向上、共通の用語定義、要求項目の共通テキスト化を行う。
出版間近のJIS 0164-1 ITAMシステム要求事項(ISO/IEC19770-1:2017)について見ていく。第2版と比較し、認証規格の要求事項となるようにISOのMSSに沿った大幅な改定が行われた。4.組織の状況では、MSSの基本である組織内外の課題、ニーズ及び期待、適用範囲、ITAMシステム構築責任が書かれた。5.リーダーシップでは、リーダーシップ及びコミットメント(方針の制定/資源の割当)の明確化。6.計画では、リスク及び機会を決定し、ITAMの目的を定義し、計画を策定する、IT資産のリスクアセスメントとリスク対応への要求事項の強化。7.支援では、計画を実行する上で重要となる各種支援についての要求事項をまとめて明示。8.運用では、ITAMの計画に必要なプロセスを計画し、実施し、かつ管理すること、複合責任のIT資産及びアウトソーシングが管理対象として明示された。9.パフォーマンス評価では、対象の明確化と評価の実施、内部監査、マネジメントレビュー。10.改善では、評価に基づき、不適合の是正、予防処置を行い継続的な改善を行うこと。必要な事項を追加し大きく改定したことで、要求事項が明確となった。
【SAMACセッション】SAM・ITAMに係るユーザーアンケート分析結果 in 2018~SAMシステムとSAM運用状況~
ユーザーフォーラムWG-1
今回のアンケート分析は、SAMACユーザーカンファレンスにおけるアンケート、並びに、ITメディア様よりご提供いただいたキーマンズネット、@IT Techno Graphicsのアンケート結果から一部を抜粋し、考察に加えたものである。本分析では、SAM・ITAMの導入目的、運用に関する問題点等を具体化し、SAM・ITAMに取り組むユーザーへ問題を提起し、その留意点を示すこと、並びに、SAM・ITAMに関係するツールやサービスを提供するベンダーに対し、ユーザーの望む機能や支援を明示し、改善を検討いただくことを目的としている。
まず導入目的については、SAMAC,キーマンズネットともに、ライセンスコンプライアンスと情報セキュリティへの対応が高い数値を占めており、この2分野への関心が高いユーザーがIT資産管理ツールを導入していることがわかる。
導入の経緯・取組み状況については、SAMACのアンケート結果でしか確認できないが、メーカー監査対策のためという回答が多数を占めている。ただし、経緯・状況に限らず、規定の整備やツールの機能不足などの問題があり、取り組みがなかなか進めづらいという声が多く聞かれた。
IT資産管理ツールで主に利用する機能については、SAMACでは、インベントリー収集が1位であり、これは、導入目的の1位であったライセンスコンプライアンスと一致しない。キーマンズネットのアンケートでも、情報セキュリティが導入目的の一意だったが、インベントリー収集機能を最もよく利用しているなど、その目的と利用機能が一致しているとは言えない。ここから、ユーザーが望んでいるものとベンダーが想定しているものにギャップが生じていることが推察される。
IT資産管理取り組みのメリットについては、監査、調査が来ても慌てなくなった、IT事業計画、投資計画が立てやすくなったといった声が挙がった一方、まだうまく回っていないので、効果は実感できていないという声も少なからずあり、メリットが見えてはいるがそれを享受するまでに至っていない様子が見られた。
また、現在の仕組みに対する問題点として、「管理台帳はあるが媒体が管理しきれていない、管理できる機能が不足している」、とか、「インベントリーの収集情報だけで管理台帳がないため、十分な管理ができる状態にない」、「規程・手続は作成されているが現状のプロセスにマッチしていない」、「調達について情報・利用状況を一元把握できていない」など、さまざまな問題点、要検討事項も挙げられている。
これらの状況を踏まえ、ユーザーへの提言、ベンダー・サービサーへの提言をまとめた。
ユーザーではまず、システム導入の際には、組織としての管理の目的を明確に定めることが重要である。ツールやシステムを選定する際、リプレースする際には、安易に機能の数と価格で絞るのではなく、選定プロセスに十分に留意すること、現実的な運用プロセスを想定して取り組むことも重要である。SAMACが推奨するツール選定プロセスも参考にしていただきたい。
ベンダー・サービサーは、IT資産管理の実際の運用プロセスを理解していただきたい。自社が考えるIT資産管理ではなく、ビッグユーザーが要求する管理手法でもなく、SAMACの管理基準やISO/IEC19770-1の要求事項を十二分に理解した上で、ベストプラクティスを想定した具体的な管理プロセスを支援する機能の実装・改善を図っていただきたい。その上で、バージョンアップにより、新しいIT環境や技術に対応した機能を実装し、ユーザーが継続的に使用しやすい仕組みを提供することが望まれる。また、単に管理ソフトウェアを提供するだけでなく、保守の中で、管理プロセスに対する支援も行える仕組みを考えて行っていただきたい。
【SAMACセッション】仮想化・クラウドにおける具体的なリスク検討項目例
IT資産管理評価認定協会
仮想化・クラウド検討WG-2
仮想化環境およびクラウドサービスでは、従来のIT資産管理で実施してきたリスクアセスメントだけでは、保有するリスクを見つけることは困難である。そこで、仮想化・クラウドでのリスクアセスメント管理表を制作した。16の発生しうるリスク、リスク評価項目、リスク対策として管理したい資産管理台帳の項目を1つにまとめている。ここでは、仮想化・クラウド環境における具体的なリスク検討項目例をご紹介する。
リスク対策のための資産台帳の項目は、ハードウェア管理台帳、ソフトウェア管理台帳、ライセンス管理台帳、ライセンス媒体管理台帳、ライセンス媒体リスト、クラウド管理台帳、クラウドID管理台帳、クラウド履歴管理台帳となる。
ハードウェア管理台帳を例に見ていく。クラウドサービスの管理にハードウェア情報は必要だろうか?答えは、必要だ。クラウドサービスを利用する際にクライアントにインストールして利用するサービスなどは、どのPCでクラウドサービスを利用しているのか把握することが必要となる。
ハードウェア管理台帳のCPU数、コア数、クロック数などの管理項目は、主に仮想環境の管理の際に必要となる。ここで発生しうるリスクに、「物理環境の変化による必要ライセンスの変化(仮想化)」がある。サーバーOSの多くは物理サーバーのコア数を元に必要ライセンス数が決まる。ハードウェアをリプレイスしたら、コア数も必ず増えるのでライセンス数の追加が必要ということになる。台帳で管理しておけば、変化の際にコア数を確認でき、ライセンス数にも気づくことができる。
クラウド管理台帳を例に見ていく。どんなクラウドサービスなのかを記載するクラウド管理台帳、誰が使っているかを管理するクラウドID管理台帳、クラウド履歴管理台帳 誰が何を使っているかを管理、紐づけるクラウド履歴管理台帳の3項目がある。
クラウド管理台帳の登録しているメールアドレスは非常に重要な管理項目である。このメールアドレス宛には、クラウドサービス事業者から様々な連絡が来る。ここで発生しうるリスクに、「契約内容の変更」がある。事業譲渡や価格変更のお知らせ、価格変更のお知らせなどクラウドサービス事業者からの変更連絡を見落とさないよう、必ず受信して展開できるメールアドレスが必要である。
仮想化・クラウドへの流れは今後も加速し、これまで以上に複雑な管理が求められる。仮想化・クラウド利用時に台帳として管理する項目の具体例を、想定されるリスクと共にご紹介した。皆様の組織において、「何を管理すればいいのかわからない」「何のために管理すべきか」といった疑問を解消する一助となれば幸いである。
【SAMACセッション】SAMユーザーによるパネルディスカッション/ユーザーフォーラムWG-2
ユーザーフォーラムWG-2
篠田氏:本日は3人のSAMユーザーに、SAM・ITAMの取り組みについてお聞きしたい。まず、SAM・ITAM取り組みの経緯について。
宇佐美氏:システム開発企業のセキュリティ部門に所属し、ソフトウェア資産管理の改善を行っている。端末台数は約7千台。20年弱前から台帳などを使用して管理していたが、システム化していなかった。5年前にベンダーの監査を受け、ライセンスコンプライアンスの点から改善に取り組んでいる。
木村氏:日野コンピューターシステム株式会社で、親会社の所有する資産の管理を担当している。2012年の入社時すでに、ライセンスコンプライアンスとセキュリティを重要課題とし、取り組みが進んでいた。その後コスト削減のため、ソフトウェア購入の一連管理を始めた。
亀井氏:神戸市教育委員会事務局 学校経営支援課で、私を含めた計3人でSAMを担当している。ハードウェア、ソフトウェアを部門、システムごとに管理していたが、チェックする中で重複、個人所有ソフトなどが発見され、リスク対策のためSAMに取り組んでいる。また、業務については、外部業者に委託している部分もある。
篠田氏:ソフトウェアライセンスの保有調査はどのように行ったか?
木村氏:現在は購入時に申請書を提出し登録するフローができているが、過去の分は簡単ではなかった。全拠点、全社員の引き出しを開けてほしいとメール展開し、集中管理しようと手元に集めた。
亀井氏:正確な情報を集めるのは難しい。外部委託して進めている。すべてとは言えないが、集中管理を行うことを原則として考えている。
宇佐美氏:各部署に一覧表を配布し記録を依頼したがなかなか埋まらなかった。社員の異動や退職で不明になっているものも多い。
篠田氏: 管理システムは、どのようなものを利用しているか?また、現在考えている問題点にはどのようなものがあるか?
亀井氏:インベントリーツールと台帳システムの組み合わせで運用を開始している。システムのカスタマイズはコストが嵩むだけでなく、その後の新しいIT環境への適用も困難になるため、一切カスタマイズをしないですむパッケージを導入した。
宇佐美氏:インベントリーツールと台帳システムを利用している。ただし、ソフトウェアの厳格な管理はこれからの課題となっている。システムはパッケージを導入し利用を開始した。自社での構築も考えたが、知識のあるメンバーが不足していた。
木村氏:インベントリーツールと台帳システムの組み合わせで、台帳システムについてはほぼフルスクラッチに近い形で構築した。例えば棚卸は、接続しているIPアドレスから場所を、ログインしている社員のIDから部署を割り出し、台帳との齟齬を確認できる仕組みなども実装している。今まで紙で行っていたフローをそのままシステムに乗せて開発した。
篠田氏:SAM運用において今後留意したい点は。
宇佐美氏:まずはライセンスコンプライアンスを重視しているが、私自身がセキュリティ部門に所属しているため、ソフトウェアの脆弱性に速やかに対応できる状況を作りたい。
亀井氏:運用を外部委託する上で、システム以上に業者の知識やレベルが鍵になると思う。しっかり運用できるよう検討していきたい。
木村氏:新たなシステムを導入する場合、ベンダーまかせにせず、ユーザー側もSAMACのセミナーに参加するなどして知識を持つことが成功につながると考える。
- 開催概要
-
講演
- 【基調講演】ITAMの標準と、ITAMの将来
- 【特別講演】法律/コンプライアンス面から見たIT資産管理のリスクマネジメント~国内外の最新の摘発事例に基づく重大リスクとその対応策~
- 【ユーザー事例講演】神戸市教育委員会における、IT資産管理への取組み状況
- 【後援団体セッション】IT資産管理導入から、サーバー管理まで道半ば
- 【後援団体セッション】IT資産管理とセキュリティ~リスク分析のすすめ~
- 【後援団体セッション】クラウドファースト環境でのクラウドセキュリティのあり方
- 【SAMACセッション】仮想化・クラウド取り組みのためのリスクアセスメント
- 【SAMACセッション】IT資産管理の省力化を目的とした情報構造の標準化と利用方法
- 【SAMACセッション】セキュリティ&クラウド世代におけるソフトウェア資産管理
- 【SAMACセッション】IT資産管理プロセスのJIS化について
- 【SAMACセッション】SAM・ITAMに係るユーザーアンケート分析結果 in 2018~SAMシステムとSAM運用状況~
- 【SAMACセッション】仮想化・クラウドにおける具体的なリスク検討項目例
- 【SAMACセッション】SAMユーザーによるパネルディスカッション/ユーザーフォーラムWG-2
