ソフトウェア資産管理は“組織横断”が成功の秘けつ:コスト削減時代の資産管理(2)(2/3 ページ)
SAMの基本概念とは?
では、ISO19770で定められているSAMの定義と、日本国内の「ソフトウェア資産管理コンソーシアム(SAMコンソーシアム)」が定めているSAMの基準や構築手順、管理プロセスなどを紹介しよう。いらぬ誤解を避けるため、ここでは詳細にまでは踏み込まないが、そのアウトラインをざっと俯瞰(ふかん)してほしい。
「ISO/IEC 19770-1」によるSAMの定義
「ソフトウェア資産管理とは、組織内のソフトウェア資産の有効な管理、制御および保護のために、ライフサイクルの全層にわたって必要なインフラストラクチャ、プロセスおよびび組織を管理する取り組みをいう」
SAMコンソーシアムによる「管理基準の構成」
- ソフトウェア資産管理の方針・規定の整備
- ソフトウェア資産管理体制の整備
- ソフトウェア資産化にの在庫プロセスの枠組み
- 所有ライセンスの把握
- 導入ソフトウェアの把握
- 所有ライセンスの証明
- ソフトウェアの不正使用は不法行為であるとの認識
- ライセンス内容の理解
- 不正を犯しにくい環境
- 購入コストの削減
- セキュリティ上の配慮
- 運用管理プロセス
SAMコンソーシアムによる「SAMの構築手順」
- ポリシーの策定
- 対象範囲の特定
- 管理体制の構築
- 現状の把握
- 規定・規則の策定
- 運用の開始
SAMコンソーシアムによる「SAMの組織管理プロセス」
- 4.2 SAMの制御環境
- 4.2.2 SAMの企業統治プロセス
- 4.2.4 SAMの役割および責任
- 4.2.4 SAMの方針、プロセスおよび手順
- 4.2.5 SAMの能力
- 4.3 SAMの計画立案および導入プロセス
- 4.3.2 SAMの計画立案
- 4.3.3 SAMの導入
- 4.3.4 SAMの監視およびレビュー
- 4.3.5 SAMの継続的改善
SAMコンソーシアムによる「中核SAMプロセス」
- 4.4 SAMの制御環境
- 4.4.2 ソフトウェア資産の識別
- 4.4.3 ソフトウェア資産の目録管理
- 4.4.4 ソフトウェア資産の管理
- 4.5 SAMの検証および順守プロセス
- 4.5.2 ソフトウェア資産記録の検証
- 4.5.3 ソフトウェアライセンスの順守
- 4.5.4 ソフトウェア資産セキュリティの順守
- 4.5.5 SAMの適合性検証
- 4.6 SAMの運用管理プロセスおよびインターフェース
- 4.6.2 SAMの関係および契約かに
- 4.6.3 SAMの財務管理
- 4.6.4 SAMのサービスレベル管理
- 4.6.5 SAMのセキュリティ管理
- 4.7 SAMのライフサイクルプロセスインターフェース
- 4.7.2 変更管理プロセス
- 4.7.3 取得プロセス
- 4.7.4 ソフトウェア開発プロセス
- 4.7.5 ソフトウェアリリース管理プロセス
- 4.7.6 ソフトウェア展開プロセス
- 4.7.7 インシデント管理プロセス
- 4.7.8 問題管理プロセス
- 4.7.9 廃棄プロセス
【関連リンク】
▼ソフトウェア資産管理コンソーシアム
なお、SAMの導入に当たっては上記の「SAMの構築手順」を踏む形となるが、実際には、ISO19770-1で定められている規格に対応した“自社なりの”管理目標、管理要件、管理項目を定義し、それらに必要な管理細目を洗い出したうえで、 ISO19770-1で定められている評価基準と合わせて利用する形にすれば、自社の管理状態の成熟度に見合った仕組みを導入できる。
まずはポリシー策定から
ただ、構築作業に入る以前に、まず不可欠となるのが「基準とガイドライン(ポリシー)」の策定である。 ソフトウェアの利用に関する“ルール”があって初めてソフトウェア資産管理が可能となると言っても過言ではない。
その目的が法令遵守、コンプライアンス対応といった企業内部統制だろうと、ソフトウェアメーカーの監査対応だろうと、まずはポリシーを明確化していなければ、継続的な運用で一定の管理水準を維持することは不可能だからだ。参考までに、設定すべき代表的なポリシーを以下に挙げておく。
- インストールと使用手順
- コピー、貸与の禁止
- 購入手順
- 保証書の保管方法
- メディア保管方法
- 購入と廃棄手順
- 方針の遵守
- 報告義務
むろん、このようなポリシーはIT部門だけで策定・運用することはできない。以下の図1のように、各組織が連携して取り組まなければならない。
図1 ポリシーは、IT部門だけで策定・運用することはできない。各部門がそれぞれの視点からポリシーを考える必要があるSAMで求められる作業と情報
さて、では次にSAMの具体的な作業について紹介しよう。まず「SAMの実施に必要な作業および管理」は、以下のように整理できる。
| 必要な作業 | 詳細 | |
|---|---|---|
| 1 | 現状把握(ソフトウェアの棚卸し) | ソフトウェアインベントリ情報の収集/ソフトウェア台帳の作成・利用/ソフトウェア台帳の作成・利用 |
| 2 | コンプライアンス向上対策 | ライセンス管理表の作成・利用 |
| 3 | ソフトウェアライフサイクル管理 | ―― |
| 4 | 利用ソフトウェアの標準化 | 必須ソフトウェア管理/利用バージョンの統一/ソフトウェア配布機能の利用/アップデート/ソフトウェア配布機能の利用 |
| 5 | セキュリティ対策 | 禁止(必須)ソフトウェア管理/セキュリティポリシー自動照会機能 |
一方、ソフトウェアインベントリ情報として、以下の項目を収集する。
| 必要なインベントリ情報 | 詳細 | |
|---|---|---|
| 1 | プログラムの追加と削除情報の収集 | 製品名/メーカー名/バージョン/プロダクトID |
| 2 | 特定レジストリ配下からの情報収集 | 製品名/メーカー名/バージョン/シリアル番号/ファイルサイズ/実行ファイル名/パス |
| 3 | ソフトウェアファイル情報の検索 | ローカルディスク内をキーワードで検索/ 検索時のCPU使用率を考慮 |
| 4 | その他 | スタートメニューからの情報収集/ デスクトップアイコンからの情報収集/任意レジストリ情報の収集(各社製品のプロダクトIDなど)/Officeソフトの詳細情報収集(スイート製品情報、各デスクトッププログラム情報、プロダクトIDなど)/ライセンス形態ごとのインストール数の情報収集/ ウイルス対策ソフトの詳細情報収集(エンジンバージョン、パターンファイルバージョンなど) |
以上、SAMの定義や基準、具体的な実施作業、収集情報までざっと俯瞰(ふかん)してみたが、おおよそのイメージはつかむことができただろうか。より詳細を知りたい方は、上記で紹介した関連書籍『ソフトウェア資産管理の基礎と実践』(SAMの基礎と実践編集委員会=編著、日本規格協会)やソフトウェア資産管理コンソーシアムのサイトなどを参考に、自社の状況も考え合わせながら、ぜひ情報を掘り下げてみてほしい。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。