なぜ、SAMは難しいのか?② 〜IT資産を漏れなく正確に把握する〜

なぜ、SAMは難しいのか?②〜IT資産を漏れなく正確に把握する〜

SAMの運用に欠かせない現状把握

既述しましたように、SAMのプロセスを定義している「ISO/IEC 19770-1」によると、SAMが適用される資産とは、「適用範囲内のソフトウェアを使用または管理する必要があるという特性を持つ、そのほかすべての資産である」とあります。ここで言われている、“使用または管理する必要があるという特性を持つ、そのほかすべての資産”には、所有しているソフトウェアすべてが含まれます。また、ソフトウェアがインストールされているPCをはじめ、関連する周辺機器すべてが対象となります。組織内にあるすべてのソフトウェアの名称や所有しているライセンス数、バージョンなどの把握が必要です。また、ハードウェアについても、サーバーやクライアントPCといったレベルではなく、メーカー名や型番、製造番号などの情報を取得し、PCを特定できる状態にしておきます。そして、それぞれのPCにインストールされているソフトウェアが何で、どのバージョン、ライセンスが使われているかといった情報をひも付けて管理することが求められます。現状把握が不十分な場合、SAMを運用していくにあたって必要な情報が不正確で、正しく運用していくことが難しくなります。

必要な情報が不正確で、正しく運用していくことが難しい…

SAMへの取り組み以前に、部署ごとにソフトウェアを購入されていた組織の場合、購入した際に台帳での管理を行われていない場合が多く見受けられます。その場合、一から調べ上げることになるため、現状把握には相当な時間と根気を持って取り組むことになります。

ソフトウェアに関しては、フリーソフトウェアを含めたすべてが対象となりますが、ハードウェアの場合、どこまでがSAMに必要な管理対象となるのか区別する基準がわからないという方もいらっしゃるかと思います。ハードウェアは、ソフトウェアに関係するすべての機器が対象となるため、PC以外にもソフトウェアをインストールして制御できる機器であれば、HUBなどの周辺機器も該当します。つまり、ほとんどすべてのハードウェアが対象に含まれることになります。CAD/CAMシステムや工作機械の制御装置などのPCは見落としがちになりますが、SAMの対象となりますので漏れがないように注意しましょう。

このように、SAMの運用に欠かせない、「ハードウェア管理台帳」「ソフトウェア管理台帳」「ライセンス管理台帳」に必要な情報を収集し、整理して台帳にまとめていく現状把握は、とても手間がかかり難しい作業です。しかし、ここをしっかり行わなければ、次に進むことはできません。

複雑なソフトウェアライセンスを把握する

ある調査では、組織内で使われているソフトウェアの種類が、保有しているPC台数の2.5〜3倍もあるという結果が出ています。例えば、5,000台のPCを所有していれば、少なくとも10,000種以上のソフトウェアが使われていることになります。それらすべてのライセンス情報を調べ、ライセンス証書の形態や所在に至るまでをひも付ける作業がとても大変であることは、想像に難くないかと思います。

近年、ソフトウェアをオンライン上からダウンロードして、PCにインストールする形態のソフトウェアの増加に伴い、オンライン文書上での使用許諾契約が増えています。もちろんそのようなオンライン上で使用許諾している情報もひも付けておくことが必要です。

全社的に使用するようなソフトウェアではなく、使用が一部の部署に限定されるため部署単位でパッケージ購入しているようなソフトウェアの場合、使用許諾契約書が紙の証書であることが圧倒的に多くなります。ライセンスの種類によっては、全社的に使用しているソフトウェアであっても紙の証書となります。その場合、ソフトウェアメーカーにより、保管が義務づけられているものは異なりますが、ライセンス証書のほかに、ソフトウェアを収録したメディアなどの保管も必要です。また、フリーソフトウェアであっても、使用に関して制限が設けられていることがあり、使用許諾が必要な場合もありますので、有償のソフトウェアと同様の管理を行います。SAMを運用していくためには、所有しているソフトウェアが、どのPCにインストールされ、使用許諾契約書の形態が何で、どこに保管されているかといったことまでをひも付けて管理しなければなりません。

ソフトウェアの使用許諾契約書の内容は、ソフトウェアごとに異なり、ライセンス形態は年々複雑化していく傾向にあります。複雑な使用許諾契約書の内容を把握した上で、ハードウェア情報、ソフトウェア情報、ライセンス情報がひも付けられている状態が実現できて、ようやくソフトウェアライセンスを正しく使用していることを証明できます。

複雑な使用許諾契約書

SAMの成功には各部門の協力が不可欠

情報セキュリティ・マネジメント・システムの国際規格であるISO/IEC 27001の認証取得と同様、SAMを運用していくための現状把握は、情報システム部門やSAMのプロジェクトチームだけで行えるものではありません。これまでどのように管理していたかを知るためにも、各部門に協力してもらうことが不可欠です。しかし、ライセンス証書や所有しているインストールメディア、さらにクライアントPCのインベントリ情報の提出といった作業は、現場にとって大変な負担となります。そのため、まずはSAMの必要性を経営者に理解してもらうため、実施していない場合のリスクや実施することでのメリットを説明します。その上でトップダウンによって、SAMを実施する意図を従業員に理解してもらい、組織が一体となって取り組まなければ、SAMが成功することはありません。このようにSAMには経営者の関与が重要です。

SAMのメリット

  • リスクの軽減
  • 従業員の意識向上
  • コスト削減
  • IT資産の効率運用など

手順書を作成し、シミュレーションする

現状把握は、やみくもに作業をスタートすればいいというものではありません。まずは、現状把握のための手順を作成し、そのとおりの作業をシミュレーションしてみることが重要です。1つの部署で手順書に従って作業を行い、ハードウェアは何が収集できず漏れたのか、ソフトウェアの調査では何が不十分だったのかを検証し、改善のためのフィードバックをかけます。

この段階で作成した手順の不備があれば修正し、実際に組織全体の現状把握を開始したときに、できるだけ戻り作業が発生しないよう組み立てておきます。こういった作業を怠ると、後になって管理対象から漏れた資産がボロボロと出てきて、結局運用が回らなくなるという事態になりかねません。

社内に存在するすべてのハードウェアを洗い出し、そこで使われているソフトウェアを調べ上げる。そして最終的に、それらソフトウェアのライセンス情報を収集する。こうした手順を積み上げていくことによって、ソフトウェア資産の管理を始められます。ここまでのことができて、ようやくSAMのスタート地点に立ったと言えます。

ソフトウェア資産管理(SAM)の関連コンテンツ
ソフトウェア資産管理(SAM)のススメ
今なぜSAMなのか
なぜ、SAMは難しいのか?① 〜難しい現状把握〜
なぜ、SAMは難しいのか?② 〜IT資産を漏れなく正確に把握する〜
SAMの対象範囲を決める① 〜部署・組織編〜
SAMの対象範囲を決める② 〜ハードウェア・ソフトウェア・ライセンス関連部材編〜
パイロット運用で、課題を洗い出す
現状把握の問題点を洗い出し、改善をかける
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら