連載
» 2014年04月21日 18時00分 公開

実践! IT資産管理の秘訣(4):ハードウェア管理台帳をダウンロードして今すぐ実践!〜IT資産管理の第一歩、現状把握の進め方〜 (3/3)

[篠田仁太郎,クロスビート]
前のページへ 1|2|3       

ハードウェアの把握

 もしかすると信じられる方は少ないかもしれませんが、筆者が比較する限り、日本企業の多くは他国に比べ、機密性の向上を何よりも優先しているにもかかわらず、「自社に何台のPCがあり、それがどこで、誰に使用されているか、もしくはどこに保管されているか」を1台単位で確認できている例は残念ながら少ないのが現状です。

 「何台のPCがありますか?」と質問をして帰ってくる答えのほとんどが、「おそらく○台くらいだと思います」というものです。

 機密性を高めるためのいろいろなシステムやプロセスの導入には一生懸命ですが、利用しているPCを的確に把握できていない状況で、組織の機密性が担保されているとは決していえませんし、せっかくコストを掛けて導入した施策の価値をも著しく下げることにもなりかねません。

 あらためて言うまでもありませんが、認識していないハードウェアの存在や認識しているハードウェアの所在不明は、機密性に大きな影響を及ぼすものですので、組織に存在するハードウェアの正確な把握は、IT資産管理で最初に必要となる重要なプロセスです。

 ハードウェアの現状把握をする際、始めに注意すべきことは、「欲張らない」ということです。ハードウェアの現状調査をしようとすると、「USBメモリやプリンター、ルーターやハブ、外付けハードディスクなども対象としたい」という欲が出てくることが多々あります。

 “IT資産管理”という以上、これらを管理対象に含めることはもちろん間違ったことではありませんが、現状把握はもともと、とても手間の掛かる作業ですので、資産の重要度をまず見極めて、対象を選定することが必要です。情報漏えい抑止の観点からすれば、始めに対象とする資産は、PC、サーバーと、状況によってはUSBメモリなど、外部記憶媒体までに絞ることをお勧めします。

 いろいろと書いてきましたが、ハードウェアの現状把握は、網羅性さえ担保すれば、それほど難しいものではありません。そのためのプロセスは以下の通りです。

ALT 図5 ハードウェアの現状把握プロセス

1.対象とするハードウェアの決定

 上述の通り、ハードウェアの現状把握では、PC、サーバーと必要に応じてUSBメモリなどの外部記憶媒体を対象とします。さらにここで必要なことは、IT資産管理の対象組織内にある対象資産は、例えば、お客さまからお預かりしているサーバーや、パートナー企業の常駐員が持ち込んでいるPCなどであっても、対象外とするなどの例外を設けないということです。

 同じ種別であれば、全てを現状把握の対象とすべきです。現状把握の段階で例外を設けてしまうと、対象外としているものが、漏れていて対象外になってしまったのか、または認識して対象外にしているのかの識別が困難になり、結果として網羅性を担保することが困難になります。

 現状把握の対象とした上で、IT資産管理の枠組みから外すことは考えられますが、少なくとも現状把握の段階では、例外を設けることはやめるべきです。

2.ハードウェアへの管理シールの貼り付け

 管理シールの貼り付けは、その番号体系やシールフォーマットだけでなく、その貼り付け場所についても事前に決定しておくことが重要です。また、シールの貼り付け場所を決定する際は、視認が容易な場所を指定してください。

 ノートパソコンの場合には、裏側や蓋の内側などに貼られてしまうと、現状把握で識別されたかどうかを後から確認するのに手間が掛かってしまいます。デスクトップPCも要注意です。デスクトップPCは設置状況によって管理シールが見えにくくなることが少ないよう留意することが必要です。

 サーバーを対象とする場合で、それがラックマウント型の場合には、管理シールを貼ることが難しい場合があります。その際には、ワイヤータグのようなものを用意してそのタグにシールを貼り付け、ラックの支柱などに、外れないよう取り付けることをお勧めしています。

 「仮想化されているハードウェアの場合にはどうすれば良いのか?」というお問い合わせをいただくことも増えてきましたが、これについては、仮想化されている数だけ、そのハードウェアに管理シールを貼り付け、管理台帳上は別々に登録する方法をお勧めしています。

3.必要な項目の取得

 ハードウェアの推奨管理項目については、「INV-07.ハードウェア管理台帳(現状調査用)Ver.2.0」をご参照ください。ただしこの管理項目は一般的な管理項目であり、組織によって異なることを留意しておいてください。

 項目を取得するに当たり、手入力してもらう場合には、(例えば部署名の入力の際、正式名称と略称とが混在するなど)入力する人によって同じ値が異なる情報になることがないよう、留意することが必要です。場合によっては、ハードウェアの現状把握時点では取得項目を以下の項目に限定し、この後に実施する“ソフトウェアの現状把握”の際に、追加取得することも推奨されます。

ハードウェア現状調査時における最低限の推奨取得項目
取得項目 内容
管理番号 貼り付けた管理シールの番号
利用者名 社員番号等でも可
設置場所 部門名で物理的な利用場所が判別できるのであれば、それでも可
機器種別 デスクトップPC・ノートPC・サーバーなど

 ハードウェアを網羅的に把握することは、情報セキュリティの強化とライセンスコンプライアンスの強化への大切な第1歩であり、適切なIT資産管理への入り口でもあります。

 まずはハードウェアを網羅的に把握しておけば、さまざまなIT施策を打つことも容易になりますので、人的リソースやコストリソースが乏しい場合には、まずハードウェアの現状把握まで実施しておくことをお勧めします。

 次回は、情報セキュリティのさらなる強化と、ライセンスコンプライアンスへ対応するための“ソフトウェアの現状把握“と”ライセンスの現状把握“のベストプラクティスについてお伝えします。

 特に“ライセンスの現状把握”は、とても繊細なプロセスになりますので、ぜひ、参考にしてください。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。