連載
» 2014年07月23日 18時00分 公開

ソフトウェア、ライセンスの現状把握と、その後の管理、確実な方法とは?〜今すぐ使える管理項目台帳もダウンロード提供〜実践! IT資産管理の秘訣(5)(2/3 ページ)

[篠田仁太郎,クロスビート]

ライセンスの調査対象とするソフトウェアの特定

 インベントリツールで利用ソフトウェアを収集すると、非常に多くの種類のソフトウェアが利用されていることが分かります。

 筆者のこれまでの経験から、ざっくりとその数(種類)をお伝えすると、保有しているPC台数の1.5〜5倍程度のソフトウェア種類が見つかることになります(台数が1万台を超えるとおおむねPC台数分、1000台以下だとPC台数の3倍以上)。

 これを見て、ほとんどの方は「これじゃ何が使われているのかを把握することは無理だ」と諦め、「(仕方がないので)一部の、監査の厳しそうなソフトウェアから始めよう」となります。

 しかし「現実的にできるところから手をつける」とはいっても、「利用されているソフトウェアを確認することなく、いきなり調査対象のソフトウェアを絞るのは、絶対にやめた方が良い」と筆者はいつもお勧めしています。

 その理由は、これをすると、まず間違いなくライセンスコンプライアンスリスクの高いソフトウェアが、リストから漏れてしまうためです。また、該当するソフトウェアの想定外のバージョンやエディションが利用されていることすら見落とされがちになり、結果として、せっかくの現状把握が「役に立たないモノ」になりかねません。

 現状把握の時点では、必ず一度は、少なくともインベントリツールで収集した全てのソフトウェアを確認し、その上で調査対象とすべきソフトウェアを決めることです。その決定方法はいくつかあると思いますが、筆者が推奨している手順は以下の通りです。

alt 図4 ライセンス調査対象の選定ステップ

 以下では順を追って説明します。

1.組織で利用可能とするソフトウェア(利用許可ソフトウェア)を選定

 ソフトウェアとライセンスの管理を簡単にする最も簡単な方法は、「収集した結果を確認し、その中から組織で利用するソフトウェアの種類を絞る」というものです。

 組織内で利用されている膨大な種類のソフトウェアを詳細に分析してみると、SAMを導入していない組織では、(保有しているパソコンやサーバーの台数が100台であろうと1万台であろうと)、おおむねその70〜80%の種類のソフトウェアは、10台以下のPCでしか利用されていないことがほとんどです。そして、これらのほとんどは何らかのドライバーであったり、個人的な興味からインストールしたフリーウェアであったりします。

 これらの中にはパッケージソフトウェアなどの有償ソフトウェアも含まれますが、利用者が個人的な目的で利用しているものが多く、さらにその中には、インストールしたことすら忘れられているものも少なくありません。

 「こういったソフトウェアが本当に業務に必要なのか否か」を利用者に確認するのは、組織で利用するソフトウェアを選定する際の有効な手段の一つです(ここでいう利用許可ソフトウェアには、有償ソフトウェアだけでなく、フリーウェアやドライバー、パッチなど全てのソフトウェアが含まれています)。

 利用許可ソフトウェアの選定に当たっては、まず次の2点に留意することが大切です。

  • 全PC台数の1%以上で利用されているソフトウェアを前提とする
  • その中から「適切なソフトウェア」を選定する

 ここでは、「1%以上の台数で利用されている」というところがポイントです。先に書いた通り、組織の中で利用されているソフトウェアの70%程度は、使われていないか、使う必然性の低いソフトウェアです。そして、ソフトウェアライセンスの管理を難しくしているのも、この70%です。

 これまでほとんどのソフトウェアをあまり規制もなく利用させてきた組織において、いきなり、「このソフトウェア以外は使用を禁止します」としてしまうと、社内ユーザーの大きな反発を招くだけです。かと言って、いつまでも野放図に許していては、管理はままなりません。

 「1%」というのは、こういったユーザーの反発を抑えるための方便に使う数値です。「1%以上で利用されているソフトウェアのうち、ソフトウェアの性質上、業務利用の問題がないソフトウェアを利用許可ソフトウェアとして設定しました」とアナウンスすれば、選定の公平性を担保でき、社内の反発も抑えやすくなります。

 仮に、1%以上とした場合に、想定を超える種類のソフトウェアが発見された場合には、1%を適宜引き上げ、2%、3%とすればよいでしょう。要は、「社内に納得感を持って受け入れてもらうための閾値をどこにするか」ということです。

 そして次に大事な点は、「適切なソフトウェアを選定する」ということです。1%以上で利用されているソフトウェアの中には、ゲームやアドウェア系のソフトウェアなど、組織で利用するにはふさわしくないソフトウェアが少なからず存在します。個人で持っているパッケージソフトウェアを業務で利用しているものもあるでしょう。他には、例えば年賀状作成ソフトウェアなど、「データ共有化のために同一ソフトウェアに統合しよう」というものもあるでしょう。そういった状況を踏まえ、利用許可ソフトウェアを1%の中からさらに絞ります。

 なお、1%以上のソフトウェアを利用許可ソフトウェアとしますが、1%未満で利用されているソフトウェアが、セキュリティパッチやドライバーなどであることが判別できている場合には、業務上の問題が生じないよう、運用上はそれらも利用許可ソフトウェアとすることをお勧めします。

2.「利用許可ソフトウェア以外で継続利用したいソフトウェア」を各部門から申請/3.各部門からの申請を基に利用許可ソフトウェアを決定

 利用許可ソフトウェアの制定は、組織におけるソフトウェアおよびライセンス利用の統制の第一歩であり、保有ライセンスの調査を成功させるための重要ポイントの一つです。そして、これを制定するためには、社内ユーザーの納得感を得ることが大切だとお伝えしました。

 そのための次の一手が、「1%以下の台数で利用されているソフトウェアの、利用許可ソフトウェアへの組み込みプロセス」です。

 これは「1%以下の台数で利用されているソフトウェアでも、以下の2点が、利用者および利用部門によって担保されれば、それを部門としての利用許可ソフトウェアに追加し、継続して利用を許可する」というプロセスです。

  • 情報セキュリティ上、問題のないソフトウェアであることが確認できている
  • ライセンスを保有していることが確認できている

 こうすることで、これまでのユーザビリティを最大限損なわずに、利用ソフトウェアを制定できるようになります。

 「結局、無数のソフトウェアが利用許可ソフトウェアとして制定され、意味がなくなるのではないか?」と思われる方がいるかもしれませんが、心配は無用です。そもそも、利用許可ソフトウェアに認定されなかったインストール済みソフトウェアがどういうソフトウェアか、利用者は分かっていないことがほとんどですし、分かっていたとしても、強い意志を持って引き続き利用したいとするユーザーはそれほど多くはないからです。

4.利用許可ソフトウェアの中から、保有ライセンス調査が必要なソフトウェアを選定/5.当該ソフトウェアのライセンス調査の手順を決定・周知

 利用許可ソフトウェアを制定したら、次にその中から保有ライセンスの調査対象とするソフトウェアを選定します。

 多くの組織が保有ライセンスの調査をする理由は、単にライセンスコンプライアンスに対応することだけではないはずです。その目的の多くは、

  • ライセンスの中でも、特に有償ソフトウェアの不正利用を抑止し、損害賠償を回避すること
  • 購入したライセンスを保全し、紛失を防ぐこと
  • 無駄なライセンスを洗い出し、無用な投資を抑止すること

 でしょう。

 そのために必要なことは、利用許可ソフトウェアをビジネスリスクの大きさに従って、例えば、利用許可ソフトウェアを有償ソフトウェア、フリーウェア、ドライバー/ユーティリティ、Hotfixなどに分類することです(注1)。

注1:この分類をするためには、「ソフトウェア辞書」というものを利用することが一般的です。ソフトウェア辞書には、さまざまな種類のものがありますが、一般的には、インストール名称から、ベンダー名、バージョン、エディション、有償/無償の別などを判別するものです。一般社団法人ソフトウェア資産管理評価認定協会でも2014年7月現在、約8万2000種類のソフトウェア辞書を提供しています。

参考リンク:SAMAC「ソフトウェア辞書」紹介ページ(一般社団法人ソフトウェア資産管理評価認定協会)

 ここから、できれば全ての有償ソフトウェアについて、保有ライセンスの厳格な調査をすることが望ましいのですが、有償ソフトウェアだけに絞ったとしても、それを一度に全て調査するのは容易なことではありません。

 そもそも有償ソフトウェアでも、組織によって各ソフトウェアのビジネスリスクは異りますので、ここではさらに「有償ソフトウェアをリスク値に分けて分類する」ことをお勧めします。

 有償ソフトウェアを例えば、組織としてリスク値が高いと想定するソフトウェア名、あるいはソフトウェアベンダー名で分類し、リスクの高いものから厳格な保有ライセンス調査をしていく方法です(注2)。

注2:「調査を後回しにする有償ソフトウェア」の保有ライセンス状況を一切無視するということではありません。例えば、「後回しにするソフトウェアについては、ライセンス証書やインストールメディアなどの物理的な情報の登録はせず、持っていることのみを各部門で確認するだけにする」「ライセンスの保有状況については、各部で別途把握できる状態にしておく」などの最低限のプロセスは実施しておくことが望まれます。

 こうして有償ソフトウェアの中から、保有ライセンスの調査対象ソフトウェアをさらに絞ることで、適切な保有ライセンス調査手順を策定できるようになります。以上の利用許可ソフトウェアの選定プロセスをまとめると以下の通りです。

alt 図5 利用許可ソフトウェアの選定プロセス

 次に、策定した調査手順を組織内に周知します。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。