クラウドやセキュリティ対策を台無しにするのは誰？：情シスに贈る“社内プレゼンス向上のヒント”

利便性と引き換えに、年々増大するリスク

　パブリッククラウドの浸透は、企業が迅速・柔軟なビジネス展開を図る上で格好の武器となった。だが同時にリスクも増した。サービスの利用状況やライセンスなどを正確に把握していなければ、サービスが乱立、重複してコストが増大してしまう。それと知らずにライセンス違反を犯してしまうリスクも増えた。ハードウェア／ソフトウェアを調達しやすい環境になった分、既存インフラにも同じことがいえる。情報システム部門が把握していないIT資産がセキュリティホールになってしまう事例は後を絶たない。

　この課題をストレートに捉えれば、解決策はIT資産管理ということになる。だが、昨今の情報システム部門の立ち位置を考えると、「単なるハードウェア、ソフトウェアの数や種類の管理」といった「従来のIT資産管理」の捉え方では、こうした問題を解決できないことに気付くのではないだろうか。

　というのも、サービスやIT資産が乱立、重複する原因の一端は、“なかなか対応してくれない情報システム部門に対するビジネスサイドの積年のストレス”にあるといわれている。一方で、多くの企業が関心を寄せるプライベートクラウドも「サービスの一元的な管理、提供」が軸となる。つまり、セキュリティ、コンプライアンスといった守りの施策はもちろん、IT資産／サービスのタイムリーな配備という攻めの側面においても、IT資産の確実な把握・管理が大前提となるのだ。

　IT資産管理というと、“専任の担当者もいない地味な取り組み”といったイメージが根強く残っている。だが社内のITガバナンスを保ち、サービス提供者としての役割が求められている情報システム部門にとって、この課題は存在意義が懸かった重要な問題といえる。では現在、IT資産管理はどのような状況にあり、情報システム部門はこれにどう向き合えばよいのだろうか？――IT資産管理に深い知見を持つ、二人の識者に話を聞いた。

ITマネジメントに対するビジネスサイドの無理解

　まずこの問題について、「情報システム部門単独の問題ではない」と指摘するのは日本情報経済社会推進協会（JIPDEC） 情報マネジメント推進センター 副センター長の高取敏夫氏だ。氏は「IT資産を調達しやすくなり、クラウドも浸透している今、IT資産を一元的に管理する仕組みが一層重要となっている。だが各部門の協力がなければ棚卸しも難しい以上、取り組みには全社的な理解と協力が必要だ。つまり経営トップが全社をリードすることが鍵となる」と解説する。

日本情報経済社会推進協会（JIPDEC） 情報マネジメント推進センター 副センター長の高取敏夫氏

　特に問題となるのが、ビジネスサイドと情報システム部門の間に横たわる壁だという。例えばJIPDECのソフトウェア資産管理（以下、SAM）に関する調査では、例年「SAMを実施する上での障害」として人材不足、予算不足が多く挙げられるという。「これもIT資産管理に対する経営層の理解不足を反映したものといえる」（高取氏）。

　理解不足といえば、「仮想化、クラウド＝コスト削減」といった図式をうのみにし、運用管理スタッフを減らすなどして運用管理に支障をきたしてしまった例も想起される。これもそうしたITマネジメント一般に対する、ビジネスサイドの理解不足の結果といえるのかもしれない。冒頭で“情報システム部門に対するビジネスサイドのいらだち”と述べたが、IT資産を有効かつ安全に活用できない問題の根底には、そもそもITマネジメントに対するビジネスサイドの無理解もあるというわけだ。

自社にとってのリスクは何か？　どの手段を持つべき／利用すべきなのか？

　では、棚卸しすら難しい現実がある中で、今持っている／利用しているIT資産を確実に把握し、有効かつ安全に生かすためにはどうすればよいのだろう？

ソフトウェア資産管理評価認定協会（SAMAC） 代表理事 篠田仁太郎氏

　これについて、たとえ理解がない中でも「情報セキュリティ対策とITサービスマネジメントの両面においてIT資産管理の重要性を認識し、確実に実施できる体制を築くことが大切だ」と訴えるのはソフトウェア資産管理評価認定協会（SAMAC） 代表理事 篠田仁太郎氏だ。

　例えば棚卸しなら、まずは現状を把握する対象資産・対象組織を設定して、「各IT資産の情報をどこまで調べ、どのように管理するか」という管理方針を決める。さらに「IT資産の利用者に変更があった際の報告・記録の仕方」など、“現状把握が終わるまでの暫定の規定”を定め、現状把握に時間がかかっても対象範囲の資産については「今の情報」を正確に把握できるよう配慮する。その上で正式なIT資産の管理台帳を作り、常に最新の資産状況を把握できる運用手順を策定して、実運用に入るのだという。

　「IT資産管理は現状把握が第一歩とはいえ、必ずしも社内の全資産を把握する必要があるわけではない。識別さえ可能であれば除外できる資産もある。大切なのはセキュリティの担保など、資産管理を行う自社の目的と、目的達成に最適な管理対象範囲・管理レベルを設定し、それに基づいて確実に行うことだ。注力すべき部分を明確化すれば、作業を確実・効率的に行える」

テクノロジの進展とともに変容したIT資産管理の意義

クリックでダウンロードページへ

　自社にとってのリスクは何か？　自社の目標を実現する上では、どの手段を持つべき／利用すべきなのか？――こうした観点は、セキュリティ対策やパブリック／プライベートクラウドの活用において不可欠であり、まさに経営層が考えるべき課題といえる。だが現実には、多くの企業においてそうした認識が浅く、本来ならIT戦略の道標となるIT資産管理が現場層に押し付けられているパターンが多い。その結果、仮に現場層が事の重大性を認識していても、予算や人材が足りないために、有効な手立てを打てないまま疲弊していく例がほとんどだ。

　無論、経営層の理解の問題と切り捨ててしまうこともできるが、情報システム部門にとって経営への寄与を下支えするIT資産管理は、あらためて考えてみるべき大きなテーマの1つといえるのではないだろうか。

　情シスの社内プレゼンス向上に役立つコンテンツをお届けする「TechTargetジャパン プレミアム」。その第5弾となる『クラウド、モバイル、セキュリティよりも大切なこと』では、ITマネジメントの観点からIT資産管理の意義と実践の勘所を俯瞰した。テクノロジの発展とともにIT資産管理の意味合いが大きく変容していることを、あらためて見直してみてはいかがだろうか。