去る2016年6月10日(金)、ベルサール新宿グランドにて、一般社団法人ソフトウェア資産管理評価認定協会(SAMAC)主催「SAM World 2016」を開催いたしました。
有識者による講演ではSAM推進のための有益な情報や実践例の紹介、また会員企業による個別セッションや展示ブースなど充実したプログラムを提供し、日本最大のIT資産管理・ソフトウェア資産管理の専門カンファレンスへ多くの皆様にご来場いただきました。

開催概要

講演

【基調講演】情報セキュリティから見た、IT資産管理の重要性 ～IT先進県 佐賀県の事例から～

前 佐賀県最高情報統括監
岡山県特命参与
森本　登志男 氏

2011年就任当時、佐賀県最高情報統括監には、ICT活用の観点から県庁経営に参画し、県庁や県内の情報化を総括すると共に、ICTを活用した県庁全体の業務改革の推進を担うという役割が求められた。
具体的なミッションとしては、「全国最先端の電子県庁を構築すること」「ワンストップ電子行政サービスの実現への道筋をつけること」「ICTを活用した地域活性化及びICT関連産業の振興を図ること」の3箇条であった。
電子県庁構築、救急医療体制構築などの改革を進める中で、最後の数年で特に力を入れたのが、テレワークの推進による業務改革である。
目指したのは、「どこでもデスクと同じ環境で働けること」。
そのために、一人1台のPC、1,000台のモバイル端末の導入、サテライト・オフィスの設備、ICT基盤の整備などを行った。
2014年10月から県庁全職員約4,000名のテレワークを実施可能にした。
佐賀県庁職員の男女別年齢分布を見ると、バランスが非常に悪かった。
職員の育休・介護時期にどのようにして仕事を継続させるか。
女性の活躍、管理職への登用。
これらの課題は、テレワークなしには解決が難しいと考えた。
有事における業務継続、行政ニーズの高度化・多様化への対応などの課題もあった。
テレワーク導入の効果は、持ち帰り対応の削減、すきま時間の活用や直帰率の上昇などさまざまな部門に表れた。
実例のひとつに、大雪時の業務継続がある。
大雪当日、車での通勤が不可能になったり、自宅で子どもを見なければならなくなった職員が多くいた。
こうした400名を超える職員が、自宅や車中、サテライト・オフィスでテレワークにより業務を継続できたのである。
このような効果が評価され、佐賀県は2016年に「テレワーク推進賞」最高賞を受賞した。
テレワーク導入に際し意識した点は多数あるが、経営的視点においては特にセキュリティ対策を徹底した。
IT資産管理においては、デバイス、ソフトウェア、ライセンスの3本柱を集中管理すること。
情報漏えい対策も重要である。
そのためには、まず「どこに何があるか」、保有しているIT資産を可視化することが必要だ。
現状把握においては、マネジメントが必要性を実感し、実践の後ろ盾となること、会社で実施するための部門の協力を得ることがポイントとなる。
SAMACの講師派遣やカリキュラムも大いに役立つはずだ。

「情報セキュリティから見た、IT資産管理の重要性 ～IT先進県 佐賀県の事例から～」

【特別講演】弁護士が解説！ 不正コピーが引き起こす重大リスクとライセンス管理の重要性

BSA The Software Alliance 日本担当顧問
TMI総合法律事務所 弁護士
石原　修 氏

BSAの情報提供窓口には、組織内不正コピーに関する情報が年平均400件以上寄せられている。
日本における不正コピー率は、世界的に見て特に高いわけではないが、それでも18％ある。
不正コピーが発覚した際の代償は大きい。
刑事的には行為者の10年以下の懲役刑と1000万円以下の罰金刑（併科可）のほか、組織に3億円以下の罰金、民事的には損害賠償などを負う。
ずさんなソフトウェア管理を漫然と放置した場合、経営者自身も損害賠償の対象となる。
では、社内で調査を行い、不正コピーを見つけたらどうすればいいのか。
適切な対応は、メーカーに相談することである。
無断でアンインストールすると、著作権法違反被疑事件の証拠を隠滅したことになり、証拠隠滅罪に該当する可能性がある。
BSAやメーカーに通報される前に自ら申告すれば、前向きなコンプライアンス指導が得られる。
不正コピーが発覚した場合、リスクは広範かつ連鎖する恐れがある。
第一次リスクとしては、賠償請求等の法務・コンプライアンスリスク、情報漏洩等の情報セキュリティリスク、経営者の財務負担リスクなど。
第二次リスクとして、レピュテーションリスクや事業継続リスクへ連鎖する可能性もある。
商標法違反、不正競争防止法違反など新たな法的対応が取られる事例も増えている。
リスク予防のためには、徹底した意識改革が必要だ。
全組織的な取組みと位置づけ、部門横断的な組織を設置して管理を徹底する。
全PCを対象とした棚卸を行い、その後も適正な状態を保つために定期的なレビューを実施することが重要となる。
管理者がいるから、業者に任せているから大丈夫などと思うのは誤解である。
ソフトウェア・ライセンスの知識が不十分な業者も存在する。
また、納入先のコンプライアンス条件への抵触、海外の事業所での不正コピーが落とし穴になった事例もある。
不正コピー予防のためには、経営層の意識改革、基本台帳（管理台帳）による管理、台帳の更新のルール設定、そのルールが守られているかの検証、さらに不一致が見つかった場合の適法是正措置がポイントとなる。
BSAでも、e-ラーニング・サービス、ソフトウェア資産管理サポート、アジア支店のライセンス資産管理ポータルなど、教育啓発コンテンツを提供しているので、ご活用いただきたい。

「弁護士が解説！ 不正コピーが引き起こす重大リスクとライセンス管理の重要性」

【ユーザー講演】建設業におけるソフトウェア資産管理 ～現状把握とSAM監査への対応～

＜発表者＞
広成建設株式会社 取締役兼常務執行役員 経営企画本部長　森　幸雄 氏

広成建設は、広島県トップの売上を持つゼネコンである。
建設業は受注産業のため、生産現場が常に移動するという特徴がある。
現場は通信環境が不安定な場合もあり、本社や支店の管理が及びにくい。
ノートPCへの私物ソフトウェアのインストールや、ライセンスの破棄や紛失も、生産現場の移動により生じやすい課題であった。
また、個別原価管理という特徴もある。
工事毎に損益計算を行うため、作業所長が実質的な発注権限を持ち、ソフトウェアについても、所長が好みのものを無断で使用したり、規程を定めても、ライセンスへの意識は希薄で、管理が難しいという実態があった。
広成建設としては、本社に統括管理者、本社と支店に管理者を置いてIT管理を行っていたが、ソフトェア・ライセンスの管理、ライセンス管理台帳の管理などは、調査前には行っていなかった。
また、約1,000台のノートPCはIT資産管理サーバーで管理していたが、ライセンスに紐づけた管理はできていなかった。
2012年から、IT資産管理を含めた基幹システムの再構築プロジェクトを進めている中で、2014年8月にライセンスの管理状況に関する調査依頼が来た。
会社として対応が必要と判断し、IT資産管理の専門家とアドバイザー契約すると共に、同種事案に経験のある弁護士事務所とも契約した。
ライセンスの調査に取りかかったが、社員各自に調査依頼しても正しい数字は上がってこない。
アドバイザーに同行いただきながら、本社管理部門が実態調査をしていった結果、想定外のソフトウェア、廃棄予定のPCなどが多数発見された。
これにより、ライセンスの不足数が多大になったが交渉によって、最終的には、-130本で基本合意となった。
この調査結果を反省として、IT資産管理に関する規程の見直しを行った。
IT資産管理ツールと台帳システムを導入し、PC、ソフトウェア、ライセンス、ライセンス媒体について台帳を用いて管理。
購入から廃棄まで管理を徹底しているところである。
IT資産管理は、リスマネジメントの観点から必須である。
管理コストを考慮すると、IT資産管理ツールの導入が最適と考える。
調査依頼への対応は、どの企業にも起こりうることだろう。
当社の調査対応事例が、今後の皆様の業務において参考になれば幸いである。

「建設業におけるソフトウェア資産管理 ～現状把握とSAM監査への対応～」

【SAMAC セッション 01】SAMシステム導入企業のアンケート結果 ～SAMシステムのユーザーの声から探る調達時のポイント等～

SAMAC ユーザーフォーラムWG

SAMを構築・運用するに当たり、過去にはインベントリーツールの導入だけが検討されてきた。
しかし、それだけでは十分なSAMの運用は難しいことから、現在では、SAMシステムとの連携管理がトレンドになりつつある。
今回、SAMシステムを導入している12の組織にアンケートを依頼し、11組織から回答を得た。
組織の対象人数は700～2万名、管理対象ハードウェア数は1,000～12万台、使用しているSAMシステムは5種類である。
SAMシステムの導入経緯と導入目的については、7割以上が調査・監査を受けたことを理由としている。
またすべての組織がライセンスコンプライアンスを目的として挙げていることからも、SAMの運用にSAMシステムが必要とされていることがわかる。
導入コストについては、2～5千万円という回答が多く、ライセンスの調査・監査を受けた先のコストが高い傾向にある。
これは、調達の必要性を訴求しやすく、予算取りがしやすいためと考えられる。
導入工数についても、監査を受けた後の導入の負担率が高いことがわかった。
導入前と導入後の機能のギャップについては、SAMシステムを自社開発した1社を除く10社が「ある」と回答している。
具体的には、仮想環境の管理機能がなくホストとゲストの紐づけがない、検索機能が弱いなど、使い勝手の悪さに関する回答が多く見られた。
保守については、年間保守料金10～15％という回答が最も多かった。
SAMシステム導入後のバージョンアップ回数は、4割強が1～2回あり、3割強が0回と回答しているが、その内容を確認すると、バージョンアップではなく、バグフィックスの色合いが強い。
追加要望機能としては、承認フローのカスタマイズ機能、ユーザー管理システムとの連携、サーバーライセンスの管理機能などを求める回答が挙がった。
これらのことから、SAMシステムの利用を検討しているユーザーに対しては、SAMシステムを導入する目的を明確にすること、
システムでできることと運用でカバーしなければいけないことを明確にすること、
実装されている機能や運用でカバーしなければいけないプロセスが現実的かどうか確認すること、
導入しようとするSAMシステムのロードマップを確認することを提言したい。
また、SAMシステム提供者は、できることとできないことを明確に説明すること、しっかりヒアリングして実行可能なSAM運用業務を提案すること、SAMシステムのロードマップを提示することが望ましいと考える。

※なお、今回のアンケートはSAMシステムの現状を把握するために実施したものであり、SAMシステムの優劣を評価するものではありません。

「SAMシステム導入企業のアンケート結果 ～SAMシステムのユーザーの声から探る調達時のポイント等～」

【SAMAC セッション 02】IBMサーバライセンス管理のポイント

＜発表者＞
SAMAC監事　島田　篤 氏

IBMサーバライセンスの違反でよく見られる事例の多くが、仮想サーバに関連するものである。
仮想サーバ上にIBM Processor Value Unit製品（IBM製品が導入されたサーバのコア数に基づき使用ライセンス数を算出する製品）を導入した場合、
ILMTというProcessorやインストールされているIBM製品をレポートするツールを導入し、4半期に1回ILMTからレポートを出力する。
レポートはIBMからの依頼があった場合、提示できる状態にする。
この条件を満たした場合に限り、特例として仮想サーバに割り当てられたコア数に基づき算出されるライセンス数で使用ライセンス数を算出することが認められる。
このような条件が設定されている中で、ILMTを導入しない状態で仮想サーバへの割当てコア数分のライセンスしか保有せずライセンス違反となった事例や、
システム仕様書と異なる設定やソフトウェアを使用していた為にライセンス違反となった事例がある。
これらライセンス違反が確認されたシステムの管理担当者からは「外部ベンダーに任せていたので問題ないと思っていた」といった声が聞かれる。
これはライセンス違反の発生につながる勘違いであり、認識を変える必要がある。
外部のベンダーにライセンスの調達やシステムの運用を委託している場合でも、管理責任はライセンスを保有する組織が負う。
使用するソフトウェアの使用許諾条件を理解する。
仮想サーバの割当てコア数の変更を行うシステム運用担当部門など、使用ライセンス数の変更につながるイベントを担当する部署・担当者と連携を取る。
こうした認識を持ち管理に取り組むことがサーバライセンス管理のポイントである。

「IBMサーバライセンス管理のポイント」

【SAMAC セッション 03】SAM導入のメリットと導入時の課題

＜発表者＞
株式会社内田洋行　田中　寿一 氏

SAMの定義にはさまざまあるが、SAMACとしては、「SAMは、ソフトウェア及びソフトウェア関連資産をそのライフサイクルを通して管理するしくみ」と位置づけている。
また、SAMは、ITサービスマネジメント全体の有効な支援として実施する。
具体的には、ビジネスリスク管理の促進、コスト管理の促進、競争上の優位性確保などだ。
不適切な方法でソフトウェアを調達しているとなれば、不正競争防止の観点から、入札に参加できなくなるといったリスクもある。
SAMとISMS・ITSMSの関係としては、それぞれが資産を識別し、マネジメントシステムの基本情報としている。
SAMの対象資産はISMS及びITSMSと共通であり、かつそのライフサイクルを通じた網羅性において他のマネジメントシステムに対して貢献するという特徴を持っている。
SAM（ISO/IEC 19770-1）の組織と資産であるが、管理対象だけでなく、対象外の資産と組織についても識別可能にすることを求めている。
また、対象資産のライフスタイルを通した変化、ITサービスプロセスまで言及している。
このような形で、組織が決めた手続きで網羅性を持って管理していれば、ソフトウェア、ハードウェアが正しくデータベース化され、今どういう状態か可視化できるようになる。
SAM導入時の課題として、まず難しいのが管理範囲の設定だ。原則は、すべての資産と組織が対象となるが、実際は予算とセキュリティ要件により対象外が発生する場合が多い。
これは、対象・対象外の判断においてリスクアセスメントが行われていないこと、対象外とした資産が識別できるようになっていないことなどが原因として挙げられる。
網羅性、正確性、適時性、妥当性の維持と可用性の維持も課題である。
必要なソフトウェアを随時現場でインストールしてしまうといった事例があるが、業務上認めなければならないケースもある。
例外が発生したときの手続きを考えることも必要である。
また、ソフトウェア使用許諾の理解、コスト計画などの課題もある。
バランスよく、効率的・計画的にソフトウェアを調達・利用すること、標準ソフトウェアの設定が重要である。
SAMACでは、SAMやソフトウェアライセンスについて詳しく学習できる研修も行っているので、ご興味のある方は受講いただければと思う。

「SAM導入のメリットと導入時の課題」

【SAMAC セッション 04】ライセンス調達の基礎

＜発表者＞
株式会社ライセンシング ソリューションズ　相田　雄二 氏

現在、ライセンスの形態は大きく変わってきている。
ボリュームライセンスから、クラウドとサブスクリプションへと移行している中、組織においてはその両方を考え、調達し、また管理していく必要がある。
しかしながら、間違ったライセンスの買い方をしているケースが非常に多く見られる。
典型的なのが、不要なライセンスや使い方に合っていないライセンスを調達しているケースだ。
また組織の中には、ライセンス契約タイプとライセンス課金要素の組み合わせによりさまざまなライセンス形態が存在するが、きちんと検証せずに無駄なライセンスを買い足してしまうケースも多い。
仮想化環境を利用する場合にも、それに対応したライセンスの買い方がある。
重要なのは、正しい知識を得ようとすることだ。
専門家やベンダーに任せるだけでは、結果的に高い買い物になってしまう可能性がある。
使う側にもある程度の知識、賢さ、用心深さがないと、適切なライセンス調達を行うのは難しい時代と言える。
ライセンス契約には、単体契約、クラウド契約、包括契約、サブスクリプション契約、サイトライセンス契約などがあり、それぞれにメリットとデメリットがあり、使い方や組織によって最適な契約は異なる。
包括系のライセンス契約の特徴としては、多くが相対契約のため、適切な交渉戦略により、価格や条件が変わってくる場合がある。
価格は高く、支払った分のメリットを享受できるかどうか精査する必要がある。
また、契約書の確認不足や特別条件の落とし穴にも注意が必要だ。
大手ベンダーは、急速にクラウド契約にその軸足を移行させている。
クラウド契約の特徴としては、ユーザー単位契約、最新版の利用、月額・年額課金や契約などがある。
正しい知識や行動によって必要な対応、準備を行うことが求められる。
ライセンス調達の際には、ライセンス形態の変化、ライセンス知識、新しい技術やサービス、ライセンス保有とインストール状況、ライセンス利用実態、ライセンス契約、自組織のIT戦略や計画、交渉の基本などを押さえておくべきだ。
安く買っている、ベンダーや販社に無理してもらっているといった思い込みを捨て、検証を行い、競合製品を検討することも重要である。

「ライセンス調達の基礎」

【SAMAC セッション 05】スマートデバイスとSAM

＜発表者＞
Sky株式会社　金井　孝三 氏

スマートデバイスとは、一般的にスマートフォンやタブレット端末のことを示す。
ここでは、特に通信キャリア回線への接続機能を有するものと定義する。
企業におけるスマートデバイス利用時の管理形態を分類するとすれば、従業員が個人所有のスマートデバイスを利用する例（BYOD）、
従業員が企業所有のスマートデバイスを利用する例（BOID）、企業が自社のポリシーに基づきスマートデバイスを複数候補提示し従業員が選定する例（CYOD）などが考えられる。
また、企業による制限やアプリケーションの入手方法もさまざまである。
また、企業側がスマートデバイスの業務利用を許可していない場合でも、従業員が企業側に連絡や相談せず勝手に『独自BYOD』を行っているケースも多いと推測され、企業のリスク管理として対応が急務な状況である。
スマートデバイスにインストールされるアプリケーションは、現在では多種多様のものが用意されているが、ソフトウェアライセンスの提供形態はユーザーライセンスの場合が多い。
このため、SAM台帳も、従来のデバイスを中心としたライセンス管理体系から、ユーザーを中心としたデバイスとの紐付けについて自由度が高い管理体系を考える必要がある。
デバイス台帳、アプリケーション台帳、サービス台帳、ユーザー台帳、ライセンス台帳、
契約サービス台帳をそれぞれ紐づけて管理することがポイントとなるが、
BYODの場合には会社が知らない間に従業員が機種変更するなどの可能性もあり、
各種台帳の内容については今までよりも変動することが多くなると考えられるため注意が必要である。
スマートデバイス上でソフトウェアを利用する際は、
ユーザーを中心とした管理体系であるか、
商用利用が許可されているアプリケーションやライセンスか、
不注意によるライセンス違反が発生する可能性がないないか、
スマートデバイス利用時に追加や変更が必要なライセンス契約があるか、
ライセンシーは企業であるべきか個人であるべきかどうかなど今までのソフトウェアとは違った視点で検討すべきである。
また、スマートデバイスにおけるセキュリティは、BYODの場合、端末の所有権は個人にあるため、企業がどこまで介入するかが問題となる。
電話番号やメールアドレスなどは個人情報となるため、IT資産として管理するだけでなく、個人情報としても管理する必要が生じる。
従来のPCにおけるSAMの仕組みをそのままスマートデバイスに持ち込むと、情報セキュリティ対策面での課題が多い。
情報デキュリティ対策の観点から運用を考えた上で、SAMの要件を付加していくことが現実的と考える。

「スマートデバイスとSAM」

【SAMAC セッション 06】SAMの実施にあたって何をすべきか

＜発表者＞
NECキャピタルソリューション株式会社　森田　聡子 氏

SAMを実施していただくにあたり、まずは現状を把握し可視化することが必要だ。
現状を踏まえ、目的やあるべき姿を検討していくことがSAM実施への早道と考える。
現状把握のためにSAMACでも推奨しているのが、利用ソフトウェア分析と成熟度評価である。
利用ソフトウェア分析とは、「どんなソフトウェアがどの程度利用されているか」をインベントリ結果とソフトウェア辞書を利用して分析するものである。
主な分析内容には、どのようなソフトウェアが利用されているか、管理・把握を厳格に行うべきソフトウェアはどれか、標準となりうるソフトウェアはどれか、などがある。
レポートでは、まずソフトウェア調査対象概要として、インベントリに入っているソフトウェアの量はどのくらいか、他社平均に対して何倍あるのかを提示する。
これは、管理・把握を厳格に行うべきソフトウェアはどれか等を検討する資料となる。
また、導入比率の分析では、どういう種類のソフトウェアがどのくらい入っているのかを大きく分類する。
これは、標準となりうるソフトウェアはどれかを検討する資料となる。
成熟度分析とは、ヒアリングと評価に必要な確認要帳票を提示いただくことにより、ソフトウェア資産管理基準と評価基準に従って、成熟度モデルを利用し組織のSAMの状況を客観的指標で評価するものである。
ソフトウェア資産管理の方針・規程の整備、ソフトウェア資産管理体制の整備、ソフトウェア資産管理体制の整備等、9つの項目を対象とし、管理状態について6段階の成熟度で評価する。
まずは現状を把握し可視化することによって、初めて自分たちが何をすべきかが把握できると考える。
各社により状況は異なるので、皆がやっている方法が自社にとって最適とは限らない。
本格的な取組みには経営層への起案が必要だが、必要性を理解いただくためには、裏付け資料が必要だ。利用ソフトウェア分析や、成熟度評価を活用いただければと思う。

「SAMの実施にあたって何をすべきか」

【SAMAC セッション 07】IT資産管理関連タグの国際標準化動向

TAG（ソフトウェア識別子）WG

IT資産管理国際規格ISO/IEC 19770-Xシリーズにおいて、情報構造タグの標準化が進んでいる。
タグ標準化を進める理由は、IT資産の特徴にある。
頻繁に変更される、簡単に複製できる、利用場所と所在場所が異なっている、非常に数が多いなどの特徴から、管理が難しい。
ITを利用した自動化アプローチが必要だが、同じ製品や企業でも異なる名称があったり、情報のフォーマットがバラバラだったりと課題がある。
このため、情報構造を標準化して、徹底した高品質と省力化を追求しようというのが狙いだ。
権利情報は19770-3（ENT）、ソフトウェア識別情報は19770-2（SWID）、リソースの利用状況は19770-4（Rum）で情報構造が標準化される。
各種情報を利用することにより、ライセンスコンプライアンスやソフトウェアの改竄などが自動チェックできるようになり、大幅な運用品質の向上とコスト削減が期待できる。
ソフトウェア識別タグ19770-2（SWID）は、ソフトウェアの名称や作成者などを定義し、パッチや実行モジュールの個々を識別でき、改竄があったかどうかを確認できるハッシュ値なども定義できるようになっている。
ISMSやITSMSの元となると言える。
権利構造タグ19770-3（ENT）は、組織情報などのほか、契約のメタ情報を記述する。
権利の分割、譲渡、統合、破棄など、権利のタイプごとに契約条項が定義される。
権利の条件やSWIDタグやリソースの利用状況を規定するRUMなどを使用して省力化が可能だ。
資源利用状況測定タグ19770-4（RUM）は、どういう資産なのかという資産識別子、メタ情報や測定情報を記述する。
インベントリやライセンスの情報構造の標準化は、使えるレベルに進展してきた。
後は、実際にどのように運用するかが課題となっている。
今後、ソフトウェアベンダー様には、プロダクト開発と同じレベルでタグに対応することをお願いしたい。
また、IT資産管理・セキュリティ管理のツールベンダー様も、積極的に標準化された情報構造を活用していただきたい。

「IT資産管理関連タグの国際標準化動向」

【SAMAC セッション 08】ハードウェアのLCMとSAMの密接な関係

＜発表者＞
横河レンタ・リース株式会社　中井　史郎 氏

ハードウェアを管理するためには、ハードウェア台帳が重要だ。
ソフトウェアライセンス管理の精度向上は、ハードウェア台帳の精度向上なくしては実現しない。
管理番号、契約開始日、契約終了日、シリアルNo、マスターNo等、導入時の状況を管理しているハードウェアの購入台帳とインベントリツールとのデータの連携を図ることで、精度の高いハードウェア管理ができるようになる。
盲点になりやすいオフラインPCの管理、廃棄PCにも注意が必要だ。
購入ライセンスと利用ソフトウェアの突合わせができている状態をもって、ライセンス管理ができている状態となる。
ライセンス管理の精度を高めるためには、調達から廃棄までを徹底して管理する必要がある。
ソフトウェアのライフサイクルの各フェーズで、そこに関わる関係者の協力が必要になる。
管理体制の構築には、まず現状把握する必要がある。棚卸PCリストを作成し、ソフトウェアの把握をし、ソフトウェアの仕分けリストを作成する。
その後、ライセンスを把握し、不足ソフトウェアの是正を実施し、標準ソフトウェアを選定する。
標準ソフトウェアの選定ができると、社内の管理ルールの作成に着手できる。
こうして最終的にライセンス管理体制が構築できていく。
ソフトウェアの資産管理は、全社の協力を得なければ成功できない。
部署内のコンセンサス作り、経営層による支援が不可欠になる。
そのためには、現状を明確に把握し、リスク評価や追加ライセンス費用のシミュレーションなど、具体的な数字を持って経営層に説明することを提案する。
こうしたデータ作り、部署内への啓蒙活動などは、SAMACのコンサルタントが支援させていただく。
全社的な取組みとなり、実現までの道のりは簡単ではないかもしれないが、信念を持って進めていただきたい。

「ハードウェアのLCMとSAMの密接な関係」

【SAMAC セッション 09】Oracleライセンスの落とし穴とリスク

＜発表者＞
SoftwareONE Japan株式会社　高島田　正哉 氏

オラクルは、昨年の国内RDBMSソフトウェア市場において49.9％のトップシェアを誇る。
機能、性能に優れた製品だが、ユーザはライセンスを強く意識する必要がある。
オラクルユーザにとって大切なキーワードが、「Compliance（コンプライアンス）」と「Optimization（最適化）」だ。
オラクルとユーザとの間には、使用権許諾書と注文書が交わされ、この2つの契約文書のみでライセンスが許諾される。
製品使用に対し、その権利管理はユーザ自身が責任をもって行うものであり、製品供給側としては契約行為以外の制限は一切加えない、というのが、オラクルのコンプライアンスに対する考え方だ。
ただし、正しく使用されていることを確認するために、オラクルは監査権を持つ。
コンプライアンス違反が発生する主な要因には、Non-protected Softwareであること、契約条文の理解不足、IT統合やハードウェアの入れ替え、組織変更・合併・買収、知識不足・誤解などがある。
具体的には、許諾数を超えるユーザ、プロセッサでの利用、仮想環境下での利用、使用許諾を受けた個人・団体の内部的業務処理目的以外での利用、関連会社や国外での利用などがある。
オラクルの監査は、社内の専門チームが行う。
監査によりライセンス不足が発覚した場合、是正費用として、不足ライセンス費用、不足ライセンス分の初年度保守費用、不足ライセンス分の遡及保守費用、ペナルティとして遡及保守費用への加算分50％が必要となる。
是正費用が定価ベースで億円を超えた実例もある。
オラクルユーザが抱えがちな「無駄な投資は感じるが、それを証明する数字や根拠がない」「包括契約を締結したが、これ以上の交渉余地は本当になかったのか」などの課題を解決するには、ライセンスの最適化が重要になる。
最適化とは、さまざまな制約条件が存在する中でひとつ以上の選択を組み合わせて最大の成果を出すことだ。
最適化のためには、知識、経験、正確なデータとその理解、根拠のあるIT投資計画、多角的かつ論理的な分析力を元に、強い交渉力を持ってオラクルとテーブルにつくことが重要となるが、現実は困難だ。
オラクルのライセンス違反を防ぎ、最適化を実現するには、専門的な知識、多くの交渉経験、正確なデータ収集などが必要不可欠だが、それらをユーザ自身の力のみで行うことは難しい。
専門性のある機関にご相談されることをおすすめする。

「Oracleライセンスの落とし穴とリスク」

【SAMACセッション　10】ライセンス監査の実際と必要なアウトプット

＜発表者＞
株式会社クロスビート　篠田　仁太郎 氏

ライセンス調査やライセンス監査は、使用許諾条件もしくは著作権法に基づいて当該ソフトウェアが条件通りに利用されているかを確認するものである。
調査も監査も根拠は同じだが、通報によるものか否かという起点によってその進め方は異なる。
監査のきっかけはほぼ100％が内部通報によるものだ。
ここでは、通報によって監査権を行使する行為を監査とする。
監査の流れとしては、まず通報があると、パブリッシャーが確認し、弁護士からレターが送付される。ユーザーは弁護士と相談し、期限等の交渉を行う。
自社にて調査し、報告方針を決定。報告・交渉し是正することになる。
ライセンス監査に適切に対応するためには相応の知識と経験が必要であり、専門家に相談することが推奨される。
また、アンインストール、パニック買い、逆切れ、報告除外資産の指定などはしないように十分に留意することが大切。。
ライセンス不足を解消するためにアンインストールすると、証拠を隠滅したと認定される可能性がある。
また、慌ててライセンスを購入してもレターの日付以降の調達ではライセンス違反をした事実は解消されず、場合によっては無駄な投資となってしまうことも少なくない。
逆切れは印象を悪くするだけだ。
報告除外資産の指定も気をつけたい。
廃棄・返却予定でも、そこにソフトウェアがインストールされていれば、ライセンスが必要となる。
監査時には、保有ライセンス数と利用ソフトウェア数だけでなく、それが正しいものであることの証明も求められる。
ハードウェア、ソフトウェア、ライセンスの紐付けを行い、過不足表を作成。
その際には、紐づけているライセンスの正確性を担保するための保有証拠の提出も求められることもある。
過不足表作成後には、再度、漏れがないかどうかを確認するため、
不足分の再調査を行い、報告資料の組織内合意を取って、報告書の提出となる。
調査時には、ツールの収集結果だけで完了としないこと、無駄なライセンス紐付けを行わないよう気を付けることに留意すること。
また、ライセンス媒体の保有調査には漏れがないよう、外の目線を持つことも必要だ。
普段見慣れた風景に溶け込んでいるものは、第三者の目でないと探せないからだ。
監査が来る前には、異動時の利用ソフトウェアを明確にして無駄にインストールされた状態にしないこと、
いらないハードウェアをすぐに破棄すること、
PCとサーバーを正確に識別しておくこと、
最低限必要な保有ライセンス、
把握している保有ライセンスの利用数を把握しておくことは最低限行っておきたい。
今後、調査・監査は増加すると思われる。
依頼があった場合には頭から拒否せずに、自社に最低限必要な管理を考えるきっかけとしていただきたい。

「ライセンス監査の実際と必要なアウトプット」

【独立行政法人情報処理推進機構(IPA)】ソフトウェアの脆弱性データベースとSAMAC辞書

＜発表者＞
独立行政法人 情報処理推進機構(IPA)　寺田　真敏 氏

デバイスのスマート化や制御系のオープン化などにより、新たな分野で新たな脆弱性が発見され続けている。
アメリカの脆弱性データベースNVDに登録された2015年の脆弱性は6,488件。
2割がウェブアプリケーションで、内訳はクロスサイトスクリプティング（XSS）とSQLインジェクションで8割を占める。
こうした脆弱性を放置すると、自組織に重大な被害が発生する危険が大きくなる。
脆弱性と対策のための関連情報を知っておくことが、適切な対応につながる。
脆弱性関連情報は、脆弱性情報サイト、ニュースサイト、注意喚起サイト、製品ベンダサイトなどから収集できるが、その数は非常に多い。
迅速に対策を実施するためには、対策情報、攻撃情報、脅威傾向など、判断材料となる情報を収集する必要がある。
そこで役立つのが、キーワードである。
脆弱性を一意に識別する番号（CVE）、脆弱性の影響度を評価する指標（CVSS）、脆弱性の種別を体系的に分類する（CWE）、製品を一意に識別する仕様（CPE）の4つのキーワードを記憶しておいていただきたい。
IPAでは、脆弱性対策情報サイト（JVN）を通して、国内で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供している。
JVNは、製品開発者と調整した脆弱性対策情報をタイムリーに公開する脆弱性対策情報ポータルサイト・JVNと、国内で利用されている製品を対象にした脆弱性対策情報を広く蓄積する脆弱性対策情報データベース・JVN iPediaから構成している。
IPAが所有するこれらの情報をより活用していただくことを目的として、現在、ソフトウェア辞書とのデータ連携に取り組んでいる。
インストール状況を把握できるソフトウェア辞書と脆弱性対策情報サイトとを紐付けできれば、脆弱性対策効率化へ可能性が広がる。
具体的には、製品識別子・CPEを用いた脆弱性対策データベース・JVN iPediaとSAMACソフトウェア辞書との連携を進めている。
長期的には、ソフトウェア識別タグ・ISO19770-2を用いた資産管理と脆弱性対策の連携を視野に入れている。
日々の脆弱性関連情報の収集だけでなく、資産管理と連携させた対策を進めることで、サイバーセキュリティリスクの管理を加味した脆弱性対策を実現していく必要がある。
JVN脆弱性対策機械処理基盤では、これら脆弱性対策を支援する基盤の整備を進めているので、ぜひとも、基盤を活用した脆弱性対策の推進をお願いしたい。

「ソフトウエアの脆弱性データベースとSAMAC辞書」

【一般財団法人日本情報経済社会推進協会(JIPDEC)】ISMSクラウドセキュリティ認証の概要

＜発表者＞
一般財団法人 日本情報経済社会推進協会(JIPDEC)　高取　敏夫 氏

2015年12月15日に発行されたISO/IEC 27017:2015は、ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範を提供する国際規格である。
発行の背景には、クラウドサービス利用の普及・拡大による情報セキュリティ上の不安があった。
2011年4月に経済産業省情報セキュリティ政策室がISO/IEC 27002との整合性を考慮して「クラウドサービス利用のための情報セキュリティガイドライン」を策定、
ISO/IEC JTC1/SC27へ提案し、国際標準化が決定。
その結果、2015年12月に国際規格となったものである。
この規格は、ISO/IEC 27002に規定する指針に追加し、これを補うものである。
附属書Aに、クラウドサービス拡張管理策集として、追加の管理目的、管理策及び実施の手引を記載している。
管理策に関連する追加のクラウドサービス固有の実施の手引を必要とする場合には、「クラウドサービスのための実施の手引」に示すとしている。
このような状況を踏まえ、クラウドサービスの信頼性を保証するISMSクラウドセキュリティ認証を今年の夏をめどに開始する予定である。
ISMSクラウドセキュリティ認証は、ISMS（ISO/IEC 27001）認証を前提として、ISO/IEC 27017のガイドラインに沿ったクラウドサービスの情報セキュリティ管理を満たしている組織を認証する仕組みとし、クラウドサービスプロバイダ、クラウドサービスカスタマの両方が対象となる。
認証基準となるJIP-ISMS517（ISO/IEC 27017に基づくISMSクラウドセキュリティ認証に関する要求事項）に、
引用規格や要求事項をまとめている。
現在、各認証機関への説明会、広報などを進めている。

「ISMSクラウドセキュリティ認証の概要」