なぜSAMは認められないのか？ 〜予算をもらう3つの秘訣〜：実践！ IT資産管理の秘訣（3）（2/4 ページ）

SAM導入に関する一般的な稟議

　まずはSAMを導入する際に作成する稟議書の内容ですが、一般的には次のようなものが多いのではないでしょうか？

SAMの導入稟議の例 〜よくある失敗例〜

　ライセンスコンプライアンスに適切に対処するためにSAMに取り組むということは、訴訟リスクを低減するだけでなく、ライセンスならびにIT資産の調達コストの削減をも可能にします。

　「どのようなソフトウェアを使用しているか」「どのようなハードウェアを誰が使用しているか」を把握することで、危険なソフトウェアの導入抑制、ハードウェア紛失時の迅速な対応が可能になり、情報セキュリティ上も有益です。

　何より、知的財産としてのソフトウェアを適切に管理していくことは、組織として当然の責務の1つでもあり、これを果たすためだけでなく、ベンダーからの監査対策のためにも最低限の投資は必要です。

　先ほど「SAMの目的とメリットが認知されない3つの理由」をフォローする言葉が、太字で示したように見事に組み込まれています。内容も特に問題のあるところは見当たりません。しかしながら、そもそもこれら3つの問題に対する認識がマネジメントに不足しているからこそ国内ではSAMへの取り組みが進まないのであって、従って、単にこれらを理由として挙げるだけでは、承認されることは難しいのが現状です。

　もちろん、このレベルの内容でマネジメントが承認してくれれば、それに越したことはありません。しかしその場合は、過去にライセンス監査を受けて不足を指摘された経験があったり、何らかの事故が起きて対応を迫られたりしたことがあるなど、やはりSAMに対して一定以上の認識がある組織である場合が多いように思います。

　次に、SAMに対する認識不足を明確にするために、今やほとんどの組織で取り組まれている情報セキュリティ管理についての稟議と比較してみます（以下は僕が今までに見てきたクライアント企業の、情報セキュリティ施策導入時の稟議内容を簡単にまとめたものです）。

「情報セキュリティ施策導入稟議」の例

　「昨今の情報セキュリティに関する社会の関心は高く、特に個人情報については、その管理の適切性が求められています。

　情報漏えい対策としては、DoS攻撃への対応や、ログの対策は一般的に行われており、USBポートの制御やディスクの暗号化も必要な施策とされています。

　何より、情報セキュリティ対策は、営業取引上も求められることが多くなっており、要望があれば当社のセキュリティ施策を提示することも必要になります。また取引先による情報セキュリティ監査が入ることもあり、求められるセキュリティレベルを保持するために、最低限の投資は必要です。

　ほとんどの組織では、このような稟議内容で、情報セキュリティについては、新たな管理施策の導入が承認される傾向にあります。

　では先ほどのSAMの稟議と、この情報セキュリティの稟議にはどのような違いがあるのでしょうか？ 次項では、複数の観点から両者の違いを考えてみましょう。