では、ISO19770で定められているSAMの定義と、日本国内の「ソフトウェア資産管理コンソーシアム(SAMコンソーシアム)」が定めているSAMの基準や構築手順、管理プロセスなどを紹介しよう。いらぬ誤解を避けるため、ここでは詳細にまでは踏み込まないが、そのアウトラインをざっと俯瞰(ふかん)してほしい。
「ソフトウェア資産管理とは、組織内のソフトウェア資産の有効な管理、制御および保護のために、ライフサイクルの全層にわたって必要なインフラストラクチャ、プロセスおよびび組織を管理する取り組みをいう」
【関連リンク】
▼ソフトウェア資産管理コンソーシアム
なお、SAMの導入に当たっては上記の「SAMの構築手順」を踏む形となるが、実際には、ISO19770-1で定められている規格に対応した“自社なりの”管理目標、管理要件、管理項目を定義し、それらに必要な管理細目を洗い出したうえで、 ISO19770-1で定められている評価基準と合わせて利用する形にすれば、自社の管理状態の成熟度に見合った仕組みを導入できる。
ただ、構築作業に入る以前に、まず不可欠となるのが「基準とガイドライン(ポリシー)」の策定である。 ソフトウェアの利用に関する“ルール”があって初めてソフトウェア資産管理が可能となると言っても過言ではない。
その目的が法令遵守、コンプライアンス対応といった企業内部統制だろうと、ソフトウェアメーカーの監査対応だろうと、まずはポリシーを明確化していなければ、継続的な運用で一定の管理水準を維持することは不可能だからだ。参考までに、設定すべき代表的なポリシーを以下に挙げておく。
むろん、このようなポリシーはIT部門だけで策定・運用することはできない。以下の図1のように、各組織が連携して取り組まなければならない。
さて、では次にSAMの具体的な作業について紹介しよう。まず「SAMの実施に必要な作業および管理」は、以下のように整理できる。
必要な作業 | 詳細 | |
---|---|---|
1 | 現状把握(ソフトウェアの棚卸し) | ソフトウェアインベントリ情報の収集/ソフトウェア台帳の作成・利用/ソフトウェア台帳の作成・利用 |
2 | コンプライアンス向上対策 | ライセンス管理表の作成・利用 |
3 | ソフトウェアライフサイクル管理 | ―― |
4 | 利用ソフトウェアの標準化 | 必須ソフトウェア管理/利用バージョンの統一/ソフトウェア配布機能の利用/アップデート/ソフトウェア配布機能の利用 |
5 | セキュリティ対策 | 禁止(必須)ソフトウェア管理/セキュリティポリシー自動照会機能 |
一方、ソフトウェアインベントリ情報として、以下の項目を収集する。
必要なインベントリ情報 | 詳細 | |
---|---|---|
1 | プログラムの追加と削除情報の収集 | 製品名/メーカー名/バージョン/プロダクトID |
2 | 特定レジストリ配下からの情報収集 | 製品名/メーカー名/バージョン/シリアル番号/ファイルサイズ/実行ファイル名/パス |
3 | ソフトウェアファイル情報の検索 | ローカルディスク内をキーワードで検索/ 検索時のCPU使用率を考慮 |
4 | その他 | スタートメニューからの情報収集/ デスクトップアイコンからの情報収集/任意レジストリ情報の収集(各社製品のプロダクトIDなど)/Officeソフトの詳細情報収集(スイート製品情報、各デスクトッププログラム情報、プロダクトIDなど)/ライセンス形態ごとのインストール数の情報収集/ ウイルス対策ソフトの詳細情報収集(エンジンバージョン、パターンファイルバージョンなど) |
以上、SAMの定義や基準、具体的な実施作業、収集情報までざっと俯瞰(ふかん)してみたが、おおよそのイメージはつかむことができただろうか。より詳細を知りたい方は、上記で紹介した関連書籍『ソフトウェア資産管理の基礎と実践』(SAMの基礎と実践編集委員会=編著、日本規格協会)やソフトウェア資産管理コンソーシアムのサイトなどを参考に、自社の状況も考え合わせながら、ぜひ情報を掘り下げてみてほしい。
Copyright © ITmedia, Inc. All Rights Reserved.