去る2022年6月10日(金)にベルサール新宿グランドで一般社団法人IT資産管理評価認定協会(SAMAC)主催ITAM World2022を開催いたしました。
ここ2年間はコロナ感染拡大に伴いオンラインでの開催が続いておりましたが、本年はセミナーもオンラインとの併用で実施しました。まだコロナ感染に注意を払いながらの開催でしたが、有意義な対面での情報交換の場になりました。
開催概要
| 会期 | 2022年6月10日(金)10:00~17:00 |
|---|---|
| 会場 | 東京都新宿区西新宿8-17-1 ベルサール新宿グランド 5F |
| 主催 | 一般社団法人IT資産管理評価認定協会(SAMAC) |
| 後援 | 一般社団法人コンピュータ教育振興協会(ACSP) BSA|ザ・ソフトウェア・アライアンス 独立行政法人 情報処理推進機構(IPA) 特定非営利活動法人itSMF Japan 一般社団法人日本コンピュータシステム販売店協会(JCSSA) 一般財団法人日本情報経済社会推進協会(JIPDEC) 一般財団法人日本規格協会(JSA) 一般社団法人ソフトウェア協会(SAJ) |
講演
昭和100年を超えて、真の令和時代のITAM変革とは!
特定非営利活動法人itSMF Japan
理事長 西野 弘 様
itSMF(IT Service Management Forum)は、1991年にイギリスで設立された会員制ユーザーフォーラムで、ITサービスマネジメントの普及促進を目的としている。itSMF Japanは2003年4月に設立されている。ITIL(IT Infrastructure Library)は、1980年代後半にイギリス政府がつくったITサービスマネジメントにおけるベストプラクティスをまとめた書籍群で、大きな効果が出たため、その普及のためitSMFがイギリスで発足した。itSMF Japanには現在、1,200名弱の会員を有し、百数十社の企業が参加している。
本日は、ITを歴史的に俯瞰して、今後の日本のIT資産管理の課題を共有していきたい。
世界は、テクノロジーの開発によって変わってきた。そこで何が起こったかというと、知の爆発だ。一つの技術によって、世の中の芸術、科学、宗教、政治体制、娯楽コンテンツ、音楽といったものが爆発的に拡大したのがこの100年と言える。現在、デジタル大変革期の現場にいる。世の中は『Life as a Service』の世界へ急速に向かっている。
ITの会社もリアルとバーチャルの融合を目指し、新しい分野への進出を目指しているが、全く人材の育成が追い付いていない、特に優秀なリーダーの不足は致命的である。例えて言うなら、多くの兵士が人海戦術で戦っているような有様だ。
欧米との違いとしてベンダーへの依存も挙げられる。『Life as a Service』の世界になっていくと、今までのようなエンタープライズ系のマネジメントでは立ち行かなくなり、さらに顧客に近い所で製品の開発やサービスの提供をしなければならない。ベンダー依存は極めて深刻なボトルネックとなる。
ITサービスの導入に際しても、自身で課題を明確化する活動の欠如が、日本のDXの進展を遅らせている。
私は、このような場で度々『五つの目』の話をしている。本日は5つ全てについてはお話しないが、この考え方は個人であっても、会社であっても同様であり、資産管理にも通じる。虫の目のように、一つ一つの資産をしっかりと見る必要性と、ワシの目のように、これから新しいデジタル時代の中でどのようなものが資産になっていくのか俯瞰する視点の必要性が特に重要になる。
私が関わっているサイバーセキュリティーから感じていることは、サイバーセキュリティーにおいても、資産管理は重要な要素であること、これは本日の参加者もよくご存じと思う。サイバー犯罪もその姿を絶え間なく変えている。昔と異なり、ゲートウェイは原因としてほとんど該当しない。日本はゲートウェイを守るのが大好きだが、原因はエンドポイントや従業員などに変わって来ている。
日本にはセキュリティー人材が足りていないと言われており、それも相当足りていないことは確かだ。そして日本の個人、企業が抱える最大の問題は、資産が盗まれたのさえ気が付かないことだ。
セキュリティーで確実に押さえるべき点をいかにしっかりと意識して取り組むかということが重要であり、IT資産管理においても、くまなく見ていくマネジメントがますます大事になっていく。厳格なガバナンスに基づいたオペレーション、監査、成熟度評価を行っていくことが重要だ。皆さんの役割である資産管理の領域で、どのように未来の資産管理の景色を変えていくのか。日々の皆さんの努力による結果でその変革が得られる。
私自身も、セキュリティー分野に関わるようになり、ITサービスや日本全体のデジタル化において資産管理は極めて重要だと実感している。
IT不祥事を防ぐために必要なIT資産管理のリスクマネジメント
〜最新の摘発事例のポイントとその対応策をわかりやすく~
BSA|ザ・ソフトウェア・アライアンス
日本担当顧問 弁護士 石原 修 様
BSAはアメリカで1988年に設立され、グローバル市場において、世界のソフトウエア産業をけん引する業界団体として活動し、日本で活動を開始して、本年で30年を迎えた。
BSAの主な活動の一つは不正対策だ。さらに知的財産の保護とイノベーションの促進として、政府への協力、組織内不正コピーの情報提供窓口、告発窓口、最近増えているオンラインでの不正防止、各企業、自治体へのコンプライアンス支援等にも取り組んでいる。
ソフトウエアの著作権の中で主なものが複製権だ。複製権とは、著作権者が持つ最も重要かつ中核的な権利で、勝手に使用許諾を超えたインストールをしてしまうと複製権侵害になり、不正コピーに該当する。ソフトウェアを利用する場合には価格、対価、使用地域、利用期間、複製可能回数等、ライセンス契約をくまなく読むことが非常に重要となる。
この不正コピーに関して、BSAは情報提供窓口を持っている。情報提供窓口に、不正コピーをしているという情報が実際に提供されると情報収集を行い、権利侵害の蓋然性が非常に高いことが認識されると、証拠隠滅の可能性も考慮し、裁判所へ証拠保全の申し立てを行い、当該組織へ出向き調査を行う。具体的には、全てのPCに付箋で番号を振り、その一つ一つの中身を見て、ソフトウエアのインストール状況を調べる。正規の契約と実際のインストールの差が不正コピーとなる。
ある事例では、ソフトウエアを無断で複製して利用しているといった情報が提供されたが証拠隠滅の恐れが低いと判断し、証拠保全ではなく当該企業に対して自主監査を求めたケースもある。自主監査の結果、415本の不正コピーが発見された。この時は損害額についてまとまらなかったため、裁判を起こすことになったが、最終的には、著作権侵害のソフトウエアを全てアンインストールすることに加え、1億7414万5543円という損害賠償金の支払いと、3年間はBSAの監査を受ける義務を負うように求める調停が成立した。
社内の不正コピー防止体制を取らず、漫然と放置してしまった事案の場合、会社の財産を隠されてしまう可能性もあるため、個人である代表取締役も併せて訴えるケースが多くある。
不正コピーの代償は財務的な負担が非常に重いものとなる。不正コピーが発覚した際は、当然のことながら損害賠償を支払わなければならない。訴訟費用も請求され、さらに、全ての不正コピーソフトウエアをアンインストールしなければならない。その後、正規品を購入し、ライセンス費用も支払う。不正を行ったことにより、潜在的な財務負担リスクが大きく膨らむわけだ。IT資産管理はそのようなリスク対応としても極めて重要だと認識してほしい。
どのようにして不正コピーや不正使用を防止していくか。全デバイスを対象にした全数棚卸しや内部監査の実施も必要になる。各社員が利用しているデバイスを含め、所有している全てのデバイスに対する監査は当然のことながら必要になり、台帳管理は欠かせない。定期的なレビューの実施も極めて重要だ。
また不正コピー予防のための管理のポイントとしては、まず経営層自らの意識を改革しなければならない。管理台帳の作成から、定期的な全数棚卸しに基づく台帳の情報更新、第三者による監査、ルールが順守されているか否かの検証、不一致が見つかった場合のメーカーへの適切な相談、海外事業所を持つ場合の適切かつ包括的な対応等が挙げられる。
まず経営層に自覚を持ってもらい、場合によっては経営者個人への民事責任が及ぶ点や、刑事責任として会社への罰金が来る可能性がある点も理解してもらう必要がある。顧客との取引停止、あるいは公共入札の参加資格がなくなる可能性もあり、さらには報道によるレピュテーションリスクも懸念される。このようなリスクを提言していき、経営層の意識改革を促してもらえればと考える。
ライセンスマネージャーとして知っておきたい交渉術
CLM(公認ライセンスマネージャー)
SWG リーダー 島田 篤 様
ライセンスマネージャーはソフトウェアライセンス管理を担当する担当者や職種のことで、海外では一般的である。
ライセンスマネージャーの具体的な役割は、組織にとって最適なライセンスの調達と展開、ライセンス監査への対応だ。
ライセンスマネージャーの役割を果たすための能力には「ライセンスの知識」「保有と使用のコントロール」「ライセンス契約の理解」「ステークホルダーとの関係性維持・向上」の四つが挙げられる。今回はその中で「ステークホルダーとの関係性の維持・向上」に着目し、具体的な交渉術と、どのような視点で交渉にあたるべきかというテーマで話を進める。
はじめに、交渉という一連のプロセスを『相手を知る』、『己を知る』、『交渉の準備をする』、『交渉を行う』の四つに分けて考える。
『相手を知る』…相手の参加者を確認し、その中で決定権を持つのは誰か確認することである。決定権を持つ相手が何に関心を持っているのか理解することで、どのタイミングで、どのような条件の提示を行い、交渉を進めるべきか準備することができる。
『己を知る』…交渉に臨む前に、交渉にあたる自分自身のメンタルと能力の両面で自己分析が必要である。自分の傾向を知ることで、自分の弱点に対して事前に準備をすることが可能になる。
『交渉の準備をする』…交渉はそれ自体が目的ではなく、交渉の結果、自組織が期待する結果を得ることが目的である。そのためには、交渉の目的を明確にすることが必要である。また、単独で交渉にあたる場合、自分が取れる裁量の範囲を明確にしておく必要もある。
『交渉を行う』…交渉の中で『学ぶ』、『変える』、『変わる』のサイクルを繰り返すことが交渉成功のポイントである。
マネジメント、や役職者に対する交渉では、実績を数値化することが重要になる。抽象的な成果や期待効果ではなく、金額など数値化して成果や期待効果を説明することでマネジメントや役職者の理解を促進し、受け入れやすくなる。
次に、自組織の社員・職員との交渉では、相手のメリットになるような提案を含めて依頼することが重要である。また、相手が確実に実施できるように具体的に依頼することも重要である。
最後に、パブリッシャーとの交渉では、自組織にとって有利な条件とは何か確認することが重要である。自組織にとって有利な条件を確認するには、現在、自組織で使用しているソフトウェアやその本数、契約内容を把握することが求められる。さらに、将来のITの展開計画やITに影響を及ぼす会社の方針を理解することも必要である。その上で、自組織にとって有利な条件とは何かを検討することが求められる。
交渉スキルを向上させるためには、実践を通じて経験を積むことが必須である。今回交渉のプロセスやテクニックを紹介したが、それらを実際の交渉の場で試すことが重要である。
リスク評価・クラウド・テレワーク、運用に課題を感じる理由とは?
クラウド・サービス管理WGリーダー
金井 孝三 様
クラウドの管理においてリスクアセスメントは極めて重要だ。クラウドを選択する際の判断基準はいろいろあるが、選ぶ以上はリスクアセスメントが適切にできている必要がある。
そして、リスクアセスメントには専門性が求められる。クラウドを使うことで起こり得る大きな問題としては、適正な契約と設定で使用しなければコストが余計にかかることや、設定漏れなどによるセキュリティー事故の発生も懸念される。会社や組織でクラウドの使用料として払われている額は、年々増加の一途をたどっている。利用者にとっては、Webブラウザで利用していると、何がクラウドで、何がオンプレミスかよく分からないような時代になってきている以上、クラウドについて、しっかりと理解をし、利用状況を確認して、リスク評価をしていくのはかなり難しい作業である。
リスクアセスメント管理表では、リスクの分類を、セキュリティー、コンプライアンス、コストの項目で分けており、それぞれの発生し得るリスクごとに何のカテゴリに分類されるものか判断していく。
セキュリティー面のリスクを考えてみる。あるパブリッククラウド・サービスで、ネットワーク機器のセキュリティーパッチが適用されていないために、外部から侵入を受けたセキュリティーインシデントが実際にあった。
クレジットカード決済では、運用コストが高いという判断から外部の専門サービス業者のサービスを利用することも少なくない訳ですが、その肝心のサービス業者がセキュリティー事故で情報漏えいをしたといったインシデントもあった。決済代行の専門業者での情報漏えい事故は、専門の会社なのでインシデントが発生するとは考えられないが、リスクアセスメントを通してその発生可能性を知っていれば、毎年のように起こるインシデントでもないが絶対に発生しないということはないという判断が出来る。もちろん、会社の事業構成によっても、そのリスク評価の対象なるサービスが、企業の売上や利益に占める割合によっても、リスクの評価は変わってくる。ただ単に技術的な問題のみではなく、企業、組織の経営的に個々のリスクに対する評価が必要なる。
クラウド・サブスクリプションの管理では、クラウドはユーザー数ライセンスになっており、オンプレミスの管理項目にプラスアルファで管理しなければならない項目が増える。どのPCにインストールすべきソフトウエアなのかという情報も台帳で管理しておかなければ成立しない。何のソフトウエアをどのPCに入れるかという紐付けが必要となる。
オンプレミスのソフトウエアでも、デスクトップPCと持ち出し用のノートPCがあった場合、同じユーザーが利用するのであれば2台までインストールできるといったセカンドライセンスの形態もある。
オンプレミスの時代と比較して、クラウド・サービス主流の時代になると、ユーザー数のライセンス付与となり、1人当たり5台まで等の条件のサービスも出てくるなど、さらに複雑さを増す。オンプレミスの時代よりもプラスアルファで管理をしなければ、適切に運用ができない時代になったと言える。組織においてクラウド利用ルールを明確に規定しておく必要がある。
CCoE (Cloud Center of Excellence)というワードがある。非常に重要なソリューションであるクラウドを適切に管理・運営するために、組織にはクラウドの専門部署が要るという話だ。クラウドを運用していくためには、専門的なスキルを持った人材に権限を持たせて配置していかなければ、望ましい結果は得られない。
テレワークでは、情報の分類が重要になる。今までは、会社の中で会社のPCを使う前提で情報資産管理台帳を作成し、機密性、完全性、可用性を決めていたケースが多かったが、テレワークで会社の外にデータ持っていく環境になった場合、従来どおりの管理では対応ができない。BYODやPC、テレワークの定義も明確にしなければならない。
クラウド・サービスの利用が進み、ITシステムは複雑化している。情報システム部門の中でも、クラウドに専門性を持った人材を配置しなければならない。リスクアセスメントも、単にリスク評価のみではなく、会社や組織の中でのサービスの立ち位置を考えてリスク評価をする作業が必要になる。
オンプレミスの時代ならまだしも、クラウド主流の時代においては、複雑化しているITシステムを運用していくためには、適切な人員配置をしなければ対応が難しくなってきているのではないかとわれわれは考えている。
何から何までこなそうとせず、それぞれ分野を決めて、その分野を勉強してもらい、組織の中で、できる部分、できない部分を切り分けた上で取り組んでいけば、実用的に回る運用ができるのではないだろうか。世の中が変わってきている点を認識して取り組んでもらえれば幸いだ。
情報セキュリティにおける資産管理の役割
独立行政法人 情報処理推進機構(IPA)
寺田 真敏 様
IPAの情報セキュリティ10大脅威のランキングで、2015年あたりは、標的型攻撃がトップであるが、2020年あたりからは2位に下がっている。そのかわりに、ランサムウエアとサプライチェーンの弱点を悪用した攻撃という脅威のランクが上がっているという点に注目してほしい。
ランサムウエアによる被害は、社会インフラに大きな影響が出る場合があり、その特徴の一つ目は、二重脅迫型というアプローチ。二つ目は、暗号資産による身代金の要求。三つ目は、企業の規模にかかわらず被害が発生しているという点が挙げられる。感染経路に関しては、古い機器を使用しているといった特徴もある。
サプライチェーンの弱点を悪用した攻撃に関して、その代表例であるSolarWinds問題は、管理製品のアップデートの際に悪意のあるプログラムが配布されたことにより、全世界的な規模で発生したインシデントだ。また、情報漏えいそのものも、自組織の本体のみではなく、委託先等でも起こる。リスクを内包する対象が幅広くなって、思うように手を打つことが難しくなってきている。
さらに、ベンダーの製品のみではなく、SIやユーザー企業自身で開発しているアプリケーションもある。昨今は、ウェブアプリ、スマートフォンアプリも増えており、ユーザー企業がソフトウエア製品を開発し、利用者へ提供しているケースも今まで以上に多く存在する。その分、セキュリティ問題に対峙しなければならない機会が増えてきている面もあり、その辺りも踏まえてそれぞれの組織で対策を進めていく必要がある。
ユーザー企業がスマートフォンアプリなども含めて、さまざまな形でアプリケーションを開発して配布をしているように、ここ数年でかなり様相が変わってきた。その中では品質の見える化が極めて重要となる。
品質の見える化に向けて、現在、経済産業省が、ソフトウエア部品表、通称SBOM(Software Bill of Materials)の活用について検討し始めている状況だ。総務省では、サイバーセキュリティー情報共有事業の実証実験において、脅威情報、攻撃元の分析等に加えて、脆弱性の管理、資産管理との連携、その中でSBOMの活用について検討についてしている。
情報セキュリティにおける脆弱性対策関連では、IPAからも情報発信を行っている。傾向としては、グローバルで見ると、2021年は見えている範囲のみでも2万件ほどの脆弱性が発見されている。IoT等などの拡がりを踏まると、実際の脆弱性の件数はさらに多いものになる。
脅威情報としては、攻撃元の情報などが重要となる。誰が攻撃してきているのかといった情報を業界で共有すればブロックもでき被害を未然に防げるが、情報の共有という点では、まだまだ途上であるといった印象だ。同様に、攻撃先として狙われる脆弱性の情報も重要となる。総務省の実証実験では、脅威情報と脆弱性情報を組み合わせながら対策を講じていかなければならないという発想から、脆弱性は脆弱性、脅威は脅威と分けるのではなく、ここにアクセスすれば全ての情報が得られるといった環境を構築して臨んでいる。
情報と情報システム資産とのひも付けの観点では、製品を一意に識別する共通プラットフォーム一覧、通称CPE(Common Platform Enumeration)のような技術活用が広がることで皆の問題も解決に導いていけるのではないかと考える。さらに、製品やカスタムアプリは、多くのオープンソースソフトや市販ソフトなどの「部品」から構成されていることから、どの「部品」が使われているかなどを管理するソフトウエア部品表を活用することで対策の強化が図れるのであろう。
総務省の実証実験でも利用した脆弱性対策データベースサービスのJVN iPediaや脆弱性対策情報共有フレームワークのMyJVNはIPAの提供しているサービスである。このようなサービスを活用して、資産管理ツールベンダーと協力しながら、可能な限り、皆さんの情報セキュリティ対策につながる資産管理に展開していきたいと考えている。ぜひ、人の手によらない自動化の環境を実現させていくために、品質の見える化も含めて皆さんとともに取り組んでいきたい。
ITAM(IT資産管理)の国際規格とJIS化の状況について
JIS化検討リーダーWG
高橋 快昇 様
国際規格の開発状況とJIS化の状況について説明する。
ISO/IEC SC7/WG21(IT資産管理)は,ISO/IEC 19770シリーズで標準規格を開発している。ITAMSの用語を説明している19770-5:2015第2版(概要と用語),日本がエディタ(執筆者)として参加した19770-1:2017第3版(要求事項),SAMACなどの業界標準と19770シリーズを比較するときの手順やフォーマットを規定した19770-8:2020第1版(相互マッピングのための指針),さらにIT資産管理のための情報構造を規定した規格として,ソフトウェア構造を規定した19770-2:2015第2版(ソフトウェア識別タグ),ライセンスを規定した19770-3:2016第1版(権利スキーマ),SAASなどで使用されるIT資産の利用状況を測定するときの情報構造を規定した19770-4:2017第1版(資源利用状況測定)などを既に出版し,JIS規格としても日本語化している。ITAMSの審査・認証を行う機関への要求事項を規定した19770-11:2021第1版(ITAMSの審査及び認証を行う機関に対する要求事項)も既に出版されているが,JIS規格としては,来年に出版される見込みである。
新たに開発されている規格としては,ハードウェアの情報構造を規定する19770-6(ハードウェア識別タグ),19770-1の要求事項を実現するためのガイダンス19770-10(ガイダンス),情報構造規格群(-2,-3,-4,-6)の使い方を記述したテクニカルレポート19770-7(タグオーケストレーション)がある。また,オープンソース・仮想コンテナ(19770-12),サステナビリティ(19770-13),ITAMインベントリスキーマ(19770-9)についても規格化が検討されている。
主な規格について少し詳細な説明を行う。
要求事項(19770-1)について,例えば箇条4では,組織のリスク分析が求められている。箇条5は,マネジメントスタンダードを決める上でのリーダーシップの確保が求められている。その他の箇条にも,計画の立案や,ITAMSに対する支援ができているか,ドキュメント体系が適切か等の内容が記載されている。実際の運用プロセスの中で出てくる結果に対して,セキュリティー分析,ライセンス分析,投資分析等を行い,次の改善に結び付けることも求められている。マネジメントをする上での必要事項を漏れなく記述したスタンダードであり,一般的なMMS及び資産管理の標準規格を包含した形になっている。項目をそれぞれ確認し,自組織がクリアできているかどうかを見て,感じてもらえばよいかと考える。
ITAMSの審査及び認証機関への要求事項(19770-11)についても,一般的に共通する要求事項(ISO/IEC 17021-1:2015)を包含する形で規定されている。主な追加項目を見てみる。箇条5一般要求事項の5.2.2に利害抵触とあるが,審査を行う認証機関は,改善提案など,コンサルタントと見なされる業務を遂行してはいけないとされている。箇条7リソースに関する要求事項では,ITAMS審査に関する力量,ITAMS審査チームを率いるための力量,審査報告書をレビューして認証を決定するための力量に対する要求事項が追加されている。具体的には,チームを適切に選ぶ力量や,工数の見積もった上でのレビューする機能,審査報告書を作成した上で認証を決定する機能の有無などが問われている。箇条8情報に関する要求事項では,審査の実施者が認証を行う上で必要な情報へアクセスできなければならないことなどが追加されている。箇条9プロセスの要求事項では,審査する際の所要時間,審査機関がヒアリングを行う対象人数の目安や工数の見積もりについてもITAMSの基準が記載されている。
業界標準との比較表指針(19770-8)は,様式と手順についての規格が記載されているが,レビュー時のWG21やその上位組織であるSC7の関与のレベルで比較表がランク付けされている。
情報構造の規格としては,ISO/IEC 19770-2,-3,-4,開発中のハードウェアの識別-6があるが,それぞれが連動して,いかに簡単に資産管理レポートやライセンスレポート,脆弱性レポートを出せるようにするかというところがポイントとなる。既に出版されている規格について特徴を説明する。
19770-2(ソフトウェア識別タグ:SWIDタグと呼ぶ)は,ルート要素として,製品名,タグID,製品バージョンなどの属性を持つ。展開前の製品やパッチを表す属性もあり,ソフトウェアのライフサイクルが管理できる。また,要素として組織を定義するEntity,ソフトウェアのリンク関係を定義するLink,ソフトウェアの真正性や検証を定義するPayload/Evidence,ソフトウェアの任意の詳細等を定義するMetaなどがある。
19770-3(権利スキーマ:ENTタグと呼ぶ)は,ルート要素として,ENTタグID,購入の元情報,割当てられものなのか,移管されたものなのか,追加情報を指定しただけのものなのかなどを規定するタグの種別,追加情報がどのタグに対するものなのかを指定できる属性などのを持つ。要素としてのEntityはー2の場合と同じ。Link要素は,この権利がどの資産に対するものなのか指定する。また,Meta要素では権利の詳細やどうやって権利をカウントするかなども指定できるようになっている。
19770-4(資源利用状況測定:RUMタグと呼ぶ)は,ルートの属性としては,タグに付与するRUMタグのIDくらいである。要素としては,測定するIT資産にタグがあるものとないもので指定が異なり,タグが存在するIT資産の場合はLink要素で,タグの無いIT資産の場合はAsset要素でAssetIdentification要素を指定する。IT資産の稼働状況はMeasurement要素で定義する。
タグの情報構造では,殆どの規定がオプションとなっており,自動化はこのオプションの使い方次第ということになっている。この指針を明確にしていくことがポイントである。
以上,ITAMSの標準化について説明したが,ITAMSをより高度化する上で重要になってくることは,どこでだれが情報を分析しチェックするかというプロセスを明確に管理することである。ここに時間をかけるために,機械化できるところは機械化し,工数を削減するかということが重要である。米国では,サイバーセキュリティーの高度化のために自動化を推進している。SAMACでも,何かお手伝いできないかということで,ITAMの規定・基準を19770-1に合わせて開発している。機械化についても情報構造とあわせSAMACのソフトウェア辞書が活用できないかということについて検討している。
IT資産管理のユーザー組織に聴くIT資産管理の目的と課題
パネリスト:
・石川県庁 総務部 デジタル推進課 内田 哲矢 氏
・山梨県庁 総務部 情報政策課 渡邊 雅義 氏
・中外製薬株式会社 ITソリューション部 鈴木 尚人 氏
・神戸都市振興サービス 技術部 亀井 浩司 氏
・野村総合研究所 総務部 吉原 裕淳 氏
(順不同)
コーディネーター :
・SAMAC 常務理事 篠田 仁太郎
篠田氏:
最初に、IT資産管理・ソフトウエア資産管理に、なぜ取り組んだのか、取り組むきっかけは何だったのかについて伺いたい。
内田氏:
石川県ではソフトウエアライセンスの適正な利用を管理するという点が目的だ。きっかけは、過去に石川県で発生したソフトウエアの不正使用によって実際に賠償金を支払った事案だ。実際に取り組みを始めようとした当時は業務に使えるシステムがなく、職員とベンダーで設計開発をして構築した。
渡邊氏:
山梨県庁ではコンプライアンスの違反をしないよう徹底することと、ソフトウエアの脆弱性やその対処が取り組みの目的だ。きっかけはソフトウエアベンダーから監査の申し入れに関するメールが来たことだ。IT資産の現状把握をする中では、各部署にもさまざまな作業をお願いする機会も多く、いろいろな反発が起き、思うように協力が得られない例などもあり苦労した。
亀井氏:
当社は、フリーソフトや、Windowsのセキュリティーパッチ等を管理するのが最も大きな目的だ。当社は二十数名程度の会社だが、社員の理解度やリテラシーが低い点も散見されたため、このような運用ではデータ漏えい事故も起こり得るという危機感を抱き、適切な資産管理をしなければ会社として安全が守れないと判断するに至った。
鈴木氏:
中外製薬はロシュ・グループの一員ということもあり、ITAMのSAMの領域ではロシュが取り組んでいたところがきっかけになっている。ITAM、HAMといった領域では、セキュリティー分野の強化を進めていた。
吉原氏:
野村総合研究所は15年前からIT資産管理に取り組んでいる。細かいところは把握していないが、世の中の流れを受けて取り組みを始めた。
篠田氏:
次に、各組織においてどのような体制で取り組んでいるのかを伺いたい。
内田氏:
各部署で、ハードウエアやライセンスの棚卸しに協力してもらっている。所属で新しく購入したPCがあれば、台帳システムに登録してもらい、システムの利用や制度自体の設計はデジタル推進課で担当している。
吉原氏:
各事業部にソフトウエア管理者を置いている。彼らを通じてコントロールしている。現場では、資産の棚卸しとして過不足を毎月チェックしてもらい、ソフトウエアを購入した際の登録やPCを購入した際の登録を行ってもらっている。
鈴木氏:
各部署にはリテラシーの低い人のサポートをする立場にあるIT担当のコンタクトパーソンがおり、その者にIT資産管理も兼任してもらっている。
内田氏:
石川県庁では、ソフトウエア資産管理のみの担当者もいるが、ほとんどが情報化推進という名称の、PCや情報化に関する担当も兼任している。
篠田氏:
次に、現在管理状況や問題点について伺いたい。
吉原氏:
全社を網羅して、総務部が主管部として管理している。棚卸しでおかしい部分が見つかれば指摘するといった流れだ。
鈴木氏:
部署によって管理レベルの差はあるが、研究部署のIT資産管理を担当している者、セキュリティー担当の者、工場側でIT資産管理やセキュリティー担当を務める者は、その人たちの知識レベルが高い。一方で総務部や人事部など、コーポレート系の部署では、そこまで知識は高くはないが、リスク対策として導入しているセキュリティーのソリューションやITAMのソリューションで低減できていると考えている。
内田氏:
繰り返し同様の業務を担当している者は異動した後も、同じような台帳の管理やデジタル化の担当業務をするケースが多く知識の定着が見られるが、一度きりで離れてしまった者や、10年前に担当していたといった者では、やはり知識レベルが少し下がってしまう。
渡邊氏:
山梨県では総務部情報政策課で集中管理を行っている。ネットワークに参加するにも、ソフトウエアをインストールするにも、情報政策課に必ず申請が上がり、許可がなければできないようになっている。基本的には、情報政策課で一括調達可能なものに関しては全て一括調達しているが、個別で購入しなくてはならないものもあるため、その場合は必ず申請を上げてもらっている。
亀井氏:
当社ではフリーのソフトウエアの管理が課題だ。個人ごとに、このようなソフトウエアが欲しいといった要望が出てくるが、可能な限り使用するソフトウエアをそろえていくといった調整もしている。管理上は、インベントリーツールや台帳ツール等を活用している。
篠田氏:
インベントリーツールやシステムを使用する中で、具体的にこのようにしてもらいたいといった要望はあるか。
鈴木氏:
セキュリティーレベルを下げず、なおかつ、インベントリーの収集を効率化するような複数の選択肢があれば助かる。それらが自動化されるシステムになっていればなおいい。ネットワーク的にも、どこのポートを使い、何のプロトコルを使うのか、どこの時間で行うのか等、その辺りの設計が非常に大変であるため、ツール等で連携化や自動化されていると非常に楽かと思う。
吉原氏:
インベントリー頼みになっている部分がある。現在、セカンドライセンスやクラウドライセンスの存在により、インベントリーと使用許諾条件が一対一でひも付かない形態が非常に増えてきている。ベンダーに聞いたとしても望むような答えも返ってこないため、かなり大変さは感じている。
渡邊氏:
確かに、そのように整合を判定してくれる機能を持つツールがあればうれしい。ネットワークが異なる部署もるので、インベントリーの取り方や手法などを工夫できればより良い管理ができるのではないかと考えている。
内田氏:
ネットワークが複数存在し、それぞれの主なネットワークにそれぞれインベントリーツールの管理機というか、収集の元締めになっているようなサーバーがあるので、できれば一本化したい。台帳システムのほうでは、その日に収集したものしか表示がされず前日や前々日など、その表示可能日数の範囲が広がれば、セキュリティー等への活用も増えてくるかと思う。
篠田氏:
続いて、IT資産管理やソフトウエア資産管理において、実際に困っていることや今後取り組もうとしていること等を伺いたい。
内田氏:
石川県庁では分散管理を行っているが、各所属に負担になっている状況がある。資産の棚卸しは年に2回、1週程度、また、デジタル推進課では、半年ほどをかけて、出先機関も含めて監査へ行っている。
亀井氏:
資産管理、情報セキュリティーも含めて、担当者に教えながら進めているが、数年経過すると人も異動するので、今後、このレベルをいかに維持していくか、次の者へどのように知識を伝えていくかが課題だ。
吉原氏:
テレワーク等が推進される中で、IT資産管理の面では、社内LANの中にシステムがあるため、そこへつながってこないことにはインベントリーも収集できない。今まで、システムとして出来上がっていたものの変化を余儀なくされている。
内田氏:
棚卸は難しい。棚卸しの中で、管理から漏れていたために是正したといった事例もあり、有効性がないとは言わないが、改善する余地は大いにある。
篠田氏:
これから管理対象にしようと検討しているものや今後の取り組みについて伺いたい。
鈴木氏:
どのベンダーの製品が高リスクなのかといったアセスメントをしながら、どこへ注力し、どの対象を管理していこうかといった検討は今後もさらに強化・拡大して進めたい。
渡邊氏:
現在もオンプレミス型のみではなく、クラウドサービス型も増えてきている。セカンドライセンスをはじめライセンス形態もさまざまにあるため、それらも含めてクラウドサービスの管理やサーバー管理を今後注力したい。
亀井氏:
今後、クラウドサービスの活用の検討を始めている。クラウドサービスではIDの管理等も必須であるため、今後の課題と捉えている。
内田氏:
情報資産管理をIT資産管理の側面ではなく、どちらかというとネットワーク管理の側面から取り組んでいる。ツールの中には対象を遮断する機能を有した製品があることは承知している。そのようなツールを運用に取り込めないだろうかといった発想は、頭の隅によぎることもある。
篠田氏:
シャドーITや野良クラウドについてはどうか?
渡邊氏:
野良クラウドについては、ネットワークのセキュリティーの側面から、例えばプロキシサーバーでブロックする等で対応している。シャドーITを可能な限りなくしていきたいと考えている。
鈴木氏:
基本的にはネットワークセキュリティーやデバイス側のセキュリティー、ネットワークの出口に置いているソリューションで検知をしている。そのシャドーITを見つるまでは比較的簡単だが、その後、実際にIT資産管理で行っている管理水準まで持っていくところについては検討が必要だ。
吉原氏:
野村総合研究所の場合は、シャドーIT等も含めて、社内に入ってくる不確かな対象はセキュリティー面で全て接続を切る体制にしている。
篠田氏:
ありがとうございました。
ITAM World 2022 開催報告
