2025年6月6日、SAMAC主催「ITAM World 2025」をベルサール新宿で開催いたしました。
IT資産管理における重要な課題であるセキュリティについては、ゼロトラスト時代のIT資産管理をテーマに、またソフトウェアライセンスに関してはTMI総合法律事務所石原弁護士によるライセンス管理のポイントについて講演頂きました。
クラウド管理、ライセンス最適化、リスクマネジメントなど多彩なセッションが展開され、最新のITAM動向とユーザー事例が共有されました。
開催概要
| 会期 | 2025年6月6日(金)9:30~18:30 |
|---|---|
| 会場 | 東京都新宿区西新宿8-17-1 ベルサール新宿グランド 5F |
| 主催 | 一般社団法人IT資産管理評価認定協会(SAMAC) |
| 後援 | 一般社団法人コンピュータ教育振興協会(ACSP) Business Software Alliance(ビジネス・ソフトウェア・アライアンス) 独立行政法人情報処理推進機構(IPA) 特定非営利活動法人CeFIL サービスマネジメント・イノベーションセンター 一般財団法人日本情報経済社会推進協会(JIPDEC) 一般財団法人日本規格協会(JSA) 一般社団法人ソフトウェア協会(SAJ) |
講演
【基調講演】ゼロトラスト時代のIT資産管理
PwCコンサルティング合同会社
丸山満彦 氏
丸山満彦氏の講演は、現代のIT環境におけるセキュリティの変化と、それに伴うIT資産管理の重要性を中心に展開された。講演は、ビジネス環境の変化、ゼロトラストの本質、IT資産管理の重要性、そしてこれからの方向性という4つの柱で構成されている。
まず、システム環境の変遷について、1970年代の汎用機時代から始まり、1990年代のPCとインターネットの普及、2000年代のWebシステム、2010年代のクラウド活用、そして2020年代の生成AIの登場までを振り返った。特にCOVID-19以降、働く場所が多様化し、従来の「境界防御」型セキュリティでは対応が困難になったと指摘。社内ネットワーク中心の防御では、外部からのアクセスやクラウド利用が増加する現代には不十分であり、新たなセキュリティモデルが必要とされている。
その新たなモデルが「ゼロトラスト」である。ゼロトラストとは、「誰も信用しない」のではなく、「信用をゼロから積み上げる」アプローチであり、アクセスのたびにユーザー、デバイス、状況(コンテキスト)を検証する。丸山氏は、フィッシングやサプライチェーン攻撃などの事例を挙げ、IDとパスワードだけでは本人確認が不十分であることを強調。多要素認証や動的ポリシーの導入により、異常なアクセスを検知し、都度の確認を行う必要性を説いた。
ゼロトラストの実装には、IT資産管理が不可欠である。ソフトウェアやデバイスの可視化、脆弱性の把握、未承認ソフトの排除などが重要であり、これらを手作業で管理するのは限界がある。IT資産管理ツールの導入が必須であり、資産が信頼できる状態にあるかを常に監視し、適切な対応を取ることが求められる。特に、資産の網羅的な把握と、信頼性の確保がゼロトラストの基盤となる。
さらに、ゼロトラストの運用にはIAM(アイデンティティとアクセス管理)やSIEM(ログ監視と分析)との連携が重要であり、情報システム部門だけでなく、法務やコンプライアンス部門との協力が必要である。ゼロトラストと境界防御の共存は難しく、ゼロトラスト構築には段階的な移行と継続的な改善が求められる。ゼロトラストでは、アクセスのたびに検証が行われるため、運用は複雑になるが、サイバー攻撃や内部不正への耐性は高まる。ユーザーの利便性とセキュリティのバランスを取るためには、動的な対応と自動化が不可欠である。
講演では、ゼロトラストアーキテクチャの3つの検証対象(ユーザー、デバイス、状況)についても詳しく説明された。例えば、普段とは異なる時間帯や場所からのアクセスがあれば、追加認証を求めるなど、状況に応じた柔軟な対応が必要である。また、アクセス権限はセッション単位で付与され、ポリシーは動的に変化する。これにより、セキュリティの強化と運用の効率化を両立させることが可能となる。
最後に丸山氏は、IT資産と人の両方が社外に存在する現代において、動的かつ自動化されたセキュリティ対策とIT資産管理が不可欠であると強調。ゼロトラストの導入は単なる技術的な対応ではなく、組織全体で取り組むべき課題であり、継続的な改善と部門横断的な連携が成功の鍵であると述べた。今後は、アーキテクチャの設計と段階的な導入を通じて、ゼロトラストの実現を目指すべきであると締めくくった。
【特別講演】IT不祥事の国内外の最新事例から学ぶリスクマネジメント~IT資産管理の漫然放置による役員・職員の法的責任とその対応策~
BSA |Business Software Alliance(ビジネス・ソフトウェア・アライアンス) 日本担当顧問 TMI総合法律事務所
石原 修 氏
特別講演講ではBSA日本担当顧問、石原修氏から企業や自治体におけるIT資産管理の重要性と、著作権侵害の法的リスクについて、国内外の摘発事例を交えながら詳細に解説をいただいた。
まずBSAについて簡単に紹介する。アメリカでは1988年に設立され、日本で活動を開始して今年で33年になる。BSAはグローバル市場において、世界のソフトウェア産業を牽引する業界団体であり、ソフトウェア産業の権利の保護や知的財産権に関する政府への提言などを行っている。私は2000年に
日本担当顧問に就任し、以来、BSAが設置する情報提供窓口への情報提供に基づき、多くの不正使用をする企業や自治体に対し、交渉や法的手続きを行うほか、IT資産管理のアドバイスや啓発のためのセミナーなどを行っている。
まず著作権について簡単に説明すると、思想・感情を表現したものが著作物であり、著作物を創作すれば著作者となり著作権と著作者人格権を享有する。スマホで写真を撮影すれば撮影者が写真の著作者になり、その写真について権利を取得するわけだ。特許や商標の様に出願などは一切必要ない。思想・感情とソフトウェアは関係ないようにも見えるが、著作権法改正により、プログラムが著作物の一つとして加わり、1987年以降、ソフトウェアは著作権法で保護されることになった。
■ 法的責任と判例
ここから、著作権侵害に関するリスクについて具体例を交え説明する。
著作権侵害には重い刑事罰が用意されており、会社の社員が業務のためにPCにライセンスの無いソフトウェアをインストールした場合、社員個人には最大懲役10年・罰金1000万円の双方、会社には最大罰金3億円が課される可能性がある。民事上の主な責任は損害賠償とソフトウェアの削除(アンインストール)である。
• 司法試験予備校事件(2001年):不正コピーの事件で、東京地方裁判所は、約8500万円の損害賠償を認める判決を下した。裁判の前に行った裁判所による証拠保全手続では、時間の制約により全219台のPCのうち136台しか調査できなかったが、残りの未調査分の台数について同じ割合の不正コピーがあると認定された。
• コンピュータスクール事件(大阪地方裁判所):証拠保全手続においてアンインストールが行われたが、その痕跡のあるもの他、痕跡が無くとも告発情報等により約4000万円の損害賠償責任が認められた。この判決では法人だけでなく、代表取締役個人にも重過失が認定され、同額の賠償責任が認められている。
■ 自治体でのリスク
自治体では、監査請求や住民訴訟により市長等の個人責任が問われる可能性がある。自治体は部局ごとに管理が分散しており、コンプライアンス体制の構築が困難しく、管理体制の確立が難しい状況にあり、不正利用につながる可能性は十分にありえる。自治体で不正利用が発生した場合、損害賠償を支払うためには議会での承認が必要になり、議会の議事は公開されるため、企業と異なり情報が公開されやすいという特徴がある。
■取締役の個人責任
ここまで、著作権法違反に対しての事例を紹介してきたが、いざ事案が発生すると、経営者からは「社員が勝手にインストールして使ってしまった」と弁解される場合が多い。しかしながら、民法715条の使用者責任により、会社が責任を負うことになる。
そして、会社だけでなく取締役個人も故意または重過失がある場合には損害賠償責任を負うケースがある(会社法429条1項)。
先のコンピュータスクール事件では、従業員のソフトウェアの不正コピーを漫然と放置したこと、ソフトウェアの管理体制が不備であったことから裁判所が代表取締役の重過失を認め、会社と併せて代表取締役に対し損害賠償の支払いを命ずる判決となった。
このように管理体制に不備があると取締役個人の責任追及も行われることから、全社でのコンプライアンスへの取り組みは重要な課題と言えよう。
コンプライアンスに取り組んでいても、内部監査などで不正利用が発覚することは十分にあり得る。その場合はソフトウェアメーカーに相談をすることが重要である。監査で発見された不正利用のソフトウェアを、不正を除去しようと削除(アンインストール)してしまうケースがあるが、著作権法違反被疑事件の重要な証拠を隠滅したとして証拠隠滅罪(刑法104条)に該当してしまうことになる。メーカーは、完ぺきな管理が難しいことは理解し、自ら内部監査をすることを評価しているので、上記のようなことにならないためにも、まずメーカーに相談してほしい。
■ IT資産管理の具体的対策
ここまで経営者の責任について述べてきたが、社内でのコンプライアンス強化のため、以下の運用管理は是非とも実施してほしい。実際に経営者に、使用するPCの台数やソフトウェアの利用状況について尋ねると、担当者に丸投げしているケースを散見するが、先に述べたリスクの大きさから経営者の積極的な関与が望まれる。以下にIT資産管理のポイントを示す。
• 全社的な棚卸し:全PCのインストール状況を調査。
• ライセンス台帳の整備:インストールソフトとライセンスの対応を明確化。
• 横断的な管理体制の構築:部門任せではなく、中央管理を徹底。
• 定期的なレビューと監査:一度の調査で終わらせず、継続的な監査が必要。
また、CSR(Corporate Social Responsibility)調達の観点から、著作権侵害を引き起こした企業は取引を拒絶される場合もあり、IT資産管理が企業の信頼性維持、最終的には取引にも直結することになる。著作権侵害が今後のビジネスにも影響があると言わざるを得ない。
一方、海外に拠点をもつ企業については、特にアジアにおいて不正コピー率が非常に高い国がある。海外の関連会社まで管理できていない場合も多いと思われるが、日系企業への立ち入り調査や刑事事件にもなっており、海外展開している企業は注意を喚起する必要がある。
ここまで説明したとおり、IT資産管理の漫然放置は、代表取締役自身への賠償責任の可能性や、損害賠償金も高額になる事案もあり、取引先からの取引拒絶、さらには刑事責任の可能性もある。経営者が漫然とライセンス管理を放置することによるリスクをご理解いただき、経営者が先頭に立ち改善を進めてもらいたい。
【SAMACセッション】 クラウド(SaaS)管理への着手は、どこからすべきか?
クラウド・サービス管理WG 片貝 和人氏
近年、クラウドサービスの普及に伴い、従業員が個人で契約・利用を開始する「野良クラウド」や「シャドーIT」が課題として顕在化しています。利便性の向上と引き換えに、情報システム部門が関知しないクラウドの存在が増加し、コストの見落としやセキュリティリスクの温床となっているのが現状です。
こうした状況を受け、クラウド管理をどこから始めるべきかについて、1年間のワーキンググループで議論した結果が共有されました。クラウドの利用状況をすべて把握する「全数把握」は理想ではありますが、現実的には非常に困難です。しかし、「すべては無理だからやらない」ではなく、まずは部分的にでも管理を始めることが大切です。50点でも対策を始めれば、リスクは半減し、継続的な改善により管理の精度も高まっていきます。
初めの一歩として重要なのは、現状の把握です。たとえば、PCにインストールされたクラウド関連のアプリや、アクセスログ、操作ログから利用状況を確認できます。AIを活用すれば、ログ分析による可視化の効率も向上します。ただし、これらの手段だけで全体を網羅するのは難しく、費用や精度にも限界があります。
そのため、技術的な対策と並行して、組織としての運用ルールを整備し、周知・教育を徹底することが不可欠です。たとえば、クラウドサービスの利用には申請と承認が必要であることを明文化し、従業員に周知します。承認済みのサービス以外を使用する場合は相談を義務づけるなどの運用ルールも有効です。
さらに、リスクアセスメントを行い、重要度の高いサービスや有償サービスから優先的に把握を進めるという方針も現実的です。部署単位での管理や、定期的な監査の実施によって、少しずつ精度を高めていく取り組みが求められます。
今回のセッションでは、明確な「正解」を示すことは目的ではありませんでしたが、多様な対策の方向性が紹介されました。クラウド管理は一朝一夕で完結するものではなく、継続的な見直しと対応が不可欠です。ワーキンググループでも引き続き議論を深め、今後のITAM Worldにて、より具体的な運用情報を発信していく予定です。
【SAMACセッション】 最新アンケートから見るIT資産管理の課題と台帳ツールの有用性
ツール普及・促進WG 篠田 仁太郎氏
SAMAC(IT資産管理評価認定協会)が実施した最新のアンケート調査に基づき、現代のIT資産管理における課題と、その解決策としての「台帳ツール」の有用性についてご説明します。
■IT資産管理の現状と課題
調査結果によると、IT資産管理の最大の目的は、従来のライセンスコンプライアンス対策から「情報セキュリティの維持向上」(6割超)へと変化しています 。しかし、インベントリツール(LanScope、MaLion、MCore、PalleteControl、SKYSEA、SS1など)を導入している組織の7割以上が、IT資産管理に依然として「課題がある」と感じていると回答しました 。
課題の上位には、「社内システムの管理」「ライセンスの管理」「サーバーの管理」「棚卸の効率化」が挙げられています 。これは、PCの稼働状況把握やソフトウェア配布を得意とするインベントリツールだけでは、管理が難しい領域が存在することを示唆しています 。具体的には、インベントリツールがインストールできないサーバーやネットワーク機器 、管理が複雑なユーザーライセンスやクラウドサービスのライセンス 、さらには手作業が多く非効率な棚卸業務などが、多くの組織で課題となっています 。
このため、インベントリツール導入組織の6割以上が、Excelなどで別途「管理台帳」を保有し、二重管理の状態に陥っている実態も明らかになりました 。
■「台帳ツール」の有用性
こうした課題を解決するのが「台帳ツール」です。インベントリツールが端末情報を収集し「コントロール」することを目的とするのに対し、台帳ツールは組織のIT資産全体を正確に把握し、「ガバナンス」を効かせることを目的とします 。
台帳ツールの主な特長と有用性は以下の通りです。
一元的な資産管理: PCだけでなく、サーバー、ネットワーク機器、クラウドサービス、多様な形態のソフトウェアライセンスなど、インベントリツールだけでは管理しきれない全てのIT資産を登録・管理できます 。
情報の正確性の維持: インベントリツールで自動収集した情報と台帳の情報を定期的に突合し、差分を検知します 。これにより、本来あるべき「正」の状態と現状の差異(例:無許可のソフトウェアインストール、IPアドレスの不一致、長期間未通信の端末など)を把握し、セキュリティリスクに迅速に対応できます 。
ワークフロー機能: 資産の登録・変更・廃棄などを申請・承認のワークフローに乗せることで、誰がいつ更新したかの履歴が正確に保持され、Excel管理で起こりがちな無秩序な更新を防ぎます 。
業務プロセスの効率化: 人事異動や組織改編の際に、人事マスターDBと連携して情報を自動更新したり 、棚卸業務をシステム化して効率を上げたりすることが可能です 。また、各部門の管理者に権限を委任することで、情報システム部門への負荷集中を避けることができます 。
■適切なツール選びと導入に向けて
IT資産管理ツールの導入を成功させるために、SAMACでは以下の点を重視しています。
目的の明確化: 何のために管理を行うのか、目的と目標を明確にすることがツール選定の第一歩です 。
事前の試用: デモだけで判断せず、自社の環境で必ずツールを試用し、要件を満たすか検証することが重要です 。
プロセス見直しの柔軟性: 既存の管理方法に固執せず、ツールが提供する標準機能に合わせて業務プロセスを見直す柔軟な姿勢が、結果的にコストを抑え、ツールの効果を最大化します 。
インベントリツールで収集した情報を、「台帳ツール」を用いて管理・統制するという組み合わせによって初めて、効果的で効率的なIT資産管理が実現できるようになると、私たちは考えています 。
ただし、IT資産管理に万能なツールは存在しません。適切なツールを導入したうえで、それを適切に運用し、検証するプロセスが必要です。
【SAMACセッション】 ITAMの標準化動向と管理プロセスの効率化への試み
規格推進検討WG 高橋 快昇氏
本セッションでは、「ITAMの標準化動向と管理プロセスの効率化」をテーマに、国際標準の策定状況やその背景、そして現場における導入や改善の方向性が紹介されました。
現在、IT資産管理(ITAM)に関する国際標準は「ISO/IEC 19770」シリーズとして整備されており、日本国内でもこれに対応するJIS化が進められています。標準群は、用語や概要、管理システムの要求事項、監査ガイドライン、タグ規格(SWID・HWID)など、多岐にわたります。SAMACは、これらの標準策定に対し、国内外でC-Liaisonや委員として積極的に貢献しています。
標準の見直しの中でも特に注目すべきは、クラウド環境の拡大を背景にしたIT資産の新しい分類です。物理的資産だけでなく、オンプレミス型・オフプレミス型の非物理資産も明示的に整理され、実態に即したマネジメントを可能にする構成へと進化しています。
また、ISOのマネジメントシステム共通構造(Annex SL)に準拠しつつも、ITAM独自の特徴に配慮した構成へと整理されています。特に第8章「運用」の項目では、従来の煩雑な要求事項が見直され、より簡潔に、かつ柔軟にプロセス定義ができるよう改善されました。
さらに、クラウド環境における資産管理の考え方として「FinOps」の導入が進められています。これは、開発・運用(DevOps)と財務(Finance)を統合し、3つのフェーズ「Inform(可視化)」「Optimize(最適化)」「Operate(運用)」に沿ってプロセスを設計する考え方です。これにより、クラウド資産の利用状況の把握とコスト管理を両立する柔軟な運用が可能になります。
一方で、これらの運用にはデータの収集・連携・分析が不可欠です。契約、使用実績、資産構成といった情報を統合的に管理することが、予算策定やライセンス最適化につながります。こうしたデータの可視化には、SPDX(ソフトウェア構成情報)、FOCUS(クラウドベンダー共通レポートフォーマット)などの仕様も活用が期待されており、国際的な動向に合わせたツールやガイドラインの整備も急務とされています。
ITAMの標準化は、単なる形式ではなく、IT資産を正確に把握し、効率的かつ安全に運用するための基盤です。クラウドやSaaSの普及により、従来の管理手法では対応が難しくなっており、FinOpsの考え方と組み合わせた柔軟な実践が求められています。標準はあらゆる企業に適用可能な原則を示しており、自社に適した形で導入・改善を進めることが、今後のIT資産管理の鍵となります。
【後援団体セッション】サイバーセキュリティー対策のキーワード2025
独立行政法人情報処理推進機構(IPA) 寺田 真敏 様
独立行政法人情報処理推進機構(IPA)からは毎年、「情報セキュリティ10大脅威」について紹介しており、今回は全体を概観した上で、「ランサム攻撃」と「セキュア・バイ・デザイン」の二つのトピックを紹介します。
情報セキュリティに対する脅威を、社会的に影響が大きい組織について見ると、2012年からは「標的型攻撃による被害」が最大でしたが、最近では「ランサム攻撃による被害(二重脅迫型)」に代わっています。その他、「サプライチェーンの弱点を悪用した攻撃」、「システムの脆弱性を突いた攻撃」、「内部不正による被害」などがあります。
個人について、最近10年ほどの傾向に変化は無く、「クレジットカード情報の不正利用」、「インターネットバンキングに係る不正送金被害」、「特殊詐欺:架空料金請求詐欺」「ランサム攻撃の被害」、「SNS型 投資・ロマンス詐欺」などがあります。
本日最初のトピックであるランサム攻撃は、2013年から始まり、窃取したデータを暗号化して、それを復元するための金銭を要求するという強迫から、窃取したデータを公開するという「二重脅迫」、さらに、交渉を開始するまでの間に通信過負荷状態を発生させる「三重脅迫」、窃取データを悪用して顧客やビジネスパートナーに対して、攻撃を受けていることを暴露する「四重脅迫」、昨今では、窃取したデータを公開すると脅迫して金銭を要求する「ノーウェアランサム攻撃」というように変化しています。
これを攻撃者の側から見ると、RaaS(Ransom as a Service)によるランサム攻撃環境の提供、IAB(Initial Access Broker)によるログイン情報の売買などが行われており、これらを購入して、攻撃を仕掛けることが可能になっています。
次に被害者の側、即ち侵入経路から見ると、VPNなどの脆弱性の悪用、認証情報の侵害、悪意のあるメールなどですが、これらを潰しきれていないのが現状です。
ランサム攻撃の被害の復旧に要した期間、業務に与えた影響の程度から見ると、ランサム以外に比べて対応期間が2倍になっており、それだけ業務に与える影響が大きくなっています。
侵入型のランサム攻撃を受けた場合、情報の窃取とデータの暗号化が行われます。情報の窃取の場合には個人情報が漏洩し、データ暗号化の場合、多くはシステム稼働障害による事業停止、もしくは委託元/委託先での連鎖型事業停止が起こります。現実には個人情報漏洩が注目されがちですが、事業停止による社会インフラへの影響が重大であることを周知徹底していくことが重要です。
ランサム攻撃に対する入口対策として、機器の脆弱性、機器の認証情報、人の脆弱性についてのしっかりとした対策が必要です。また、従来の標的型攻撃によりデータを摂取された時に講じた出口対策と同じようなモデルを、拡散対策として強化していく必要があります。
最近では、アタックサーフェス管理(ASM)が重要視されており、内部の資産に限らず外部からアクセス可能なIT資産も含めて、攻撃者の観点から自分たちのシステムを見るということが、一つの方向性になっています。
次のトピックである「セキュア・バイ・デザイン」はサプライチェーンに関するものです。
ランサム攻撃はセキュリティ対策の甘い組織が足がかりとなるため、(ソフトウェア)サプライチェーンのセキュリティにおいては、委託元の視点における「見えるセキュリティ」と情報システム構築事業者の視点における「見せるセキュリティ」により、共通の仕様や言語でコミュニケーションする「透明性」が求められます。
2023年にNISC(内閣サイバーセキュリティーセンター)がセキュア・バイ・デザインの法則とアプローチに関するガイダンスを公開しました。この中では、設計・開発段階から、悪意ある者が端末機器、データ、インフラに不正にアクセスできないようにするセキュア・バイ・デザイン、顧客にリスクを生じさせることのない初期状態で製品を出荷するセキュア・バイ・デフォルトについて、多くの個人、企業、非営利団体からのフィードバックをもとに、ソフトウェア作成業者に対する3つの原則が示されています。
原則1:顧客のセキュリティの結果に責任を持つ
原則2:徹底した透明性と説明責任を負う
原則3:トップ主導での実施
これらを踏まえた対策としては、原則1を実現するため、脆弱性の根本原因の排除を考慮した脆弱性管理を行い、ソフトウェアの品質計画・管理・改善・測定に関する措置を講じることが求められます。また原則2を実現するためには、既存製品についてはメモリセーフな言語に移行し、新たな製品についてはメモリセーフな言語を使用することで、メモリの安全性に起因する脆弱性を排除することが求められます。
日々の脆弱性関連情報の収集だけではなく、セキュリティリスク分析や資産管理と連携させた対策を進めることで、サプライチェーンで開発されるアプリケーションのリスクと管理を加味した脆弱性対策を実現していく必要があります。
IPAでは、共通基準/共通仕様の活用、データ連携により、IT資産と脆弱性対策との一元的な管理を支援する基盤の整備を進めています。脆弱性に対して、適切な対応を取りましょう。
————-
ITAM World 2025 開催報告
