去る2015年6月12日(金)、ベルサール新宿グランドにて、一般社団法人ソフトウェア資産管理評価認定協会(SAMAC)主催「SAM World 2015」を開催いたしました。有識者による講演ではSAM推進のための有益な情報や実践例の紹介、また会員企業による個別セッションや展示ブースなど充実したプログラムを提供し、日本最大のIT資産管理・ソフトウェア資産管理の専門カンファレンスへ多くの皆様にご来場いただきました。
開催概要
開催日 | 2015年6月12日(金) |
---|---|
開催時刻 | 10:00~18:30 |
会場 | ベルサール新宿グランド 5F 東京都新宿区西新宿8-17-1 |
主催 | 一般社団法人ソフトウェア資産管理評価認定協会(SAMAC) |
後援 |
BSA | ザ・ソフトウェア・アライアンス 一般財団法人日本情報経済社会推進協会(JIPDEC) 一般財団法人日本規格協会(JSA) |
協賛 |
一般社団法人コンピュータソフトウェア協会(CSAJ) 一般社団法人日本コンピュータシステム販売店協会(JCSSA) 一般社団法人コンピュータ教育振興協会(ACSP) |
参加人数 | 約367名 |
講演
【基調講演】政府情報システムの整備及び管理に関する標準ガイドラインにおける資産管理について
総務省 行政管理局 技術顧問
高橋 邦明 氏
政府は、情報システム調達やプロジェクト管理に関する共通ルール「政府情報システムの整備及び管理に関する標準ガイドライン」を策定し、本年4月1日より施行した。
全ての政府情報システムに適用されるこのガイドラインにおける柱の一つが資産管理である。
資産管理について説明するとき、「冷蔵庫には、何が入っていますか?」という問いがわかりやすい。
料理を作ろうとするとき、まず冷蔵庫にどんな食材があるか確認するはずだ。
資産管理においても、まず現状を知ることが最も大切である。
政府も、現状を知るための取組を行ってきた。
平成13年より取組んだ「業務・システム最適化」では、現行体系を見直し運用経費を削減できたが、調査したのは一部の業務に止まっていた。
その後、情報システムに係わる各種情報をより具体的に把握すべく、「電子政府推進計画」を施行。
平成19年より、省庁毎に情報資産台帳の整備に着手した。
平成24年からは、全省庁統一で「政府情報システム棚卸し」を実施。
棚卸し調査内容を元に、約1,500の情報システムの半減などを盛り込んだ「政府情報システム改革ロードマップ」を策定した。
この情報システムの改革を進める上で、ITガバナンスの強化・既存ガイドラインの整理統合・投資管理の徹底のために定めたのが、先に述べたガイドラインである。
政府のプロジェクトは、政策の結果を出すまで長期間に及ぶため、システム開発後も必要に応じて見直したり、機器を追加したりと、日々状況が変化する。
そこで、「政府情報システム管理データベース(ODB)」を提供し、資産管理のルーチン化を図った。
ODBに、各プロジェクトのあらゆる情報を登録し、明確化することで、省庁横断的な調査や危機管理も容易になる。
ODBの登録シートはエクセルで、システムのハードウェア構成、ソフトウェア構成など各項目を登録できる。
開発事業各社には、調達仕様書にODB登録用シートを盛り込み提出していただくようご協力をお願いしている。
政府全体で資産管理に取組んできたが、昨今メディアを騒がせたセキュリティ案件もある。
データベースを整備して終わりではなく、その内容を認識し判断する「人」の部分で、さらなる努力が必要である。
さらに、個人情報など情報資産の範囲もますます広がっている。
政府としてそれらを資産管理の中にどう位置づけ守っていくか、検討し取組んでいきたい。
「政府情報システムの整備及び管理に関する標準ガイドラインにおける資産管理について」
【特別講演】法律/コンプライアンス面から見たソフトウェア資産管理の必要性
弁護士、BSA | ザ・ソフトウェア・アライアンス 日本担当顧問
石原 修 氏
組織でソフトウェアを管理する際に正しい姿勢とはどのようなものか。
ソフトウェア管理は、法律を含む制度的側面と事業の管理遂行の両面から、経営者自らが積極的に関与して推進しなければならない。
ソフトウェアは、著作権で保護された、ビジネスインフラとして不可欠な存在であり、それを組織としてきちんと管理していく必要がある。
ソフトウェア・ライセンスとは、そのソフトウェアを利用してもいいという「権利」をソフトウェアメーカーから許諾してもらうことである。
不正コピーや使用許諾契約書に反した不正使用をするなどした場合、第一次リスクとして、賠償請求等の法務・コンプライアンスリスク、
情報漏洩等の情報セキュリティリスク、経営者の財務負担リスクなどが考えられる。
さらに第二次リスクとして、レピュテーションリスクや事業継続リスクへ連鎖する可能性もある。
リスク管理は徹底したいが、ソフトウェアは目に見えず、管理が容易ではない。
リスク予防のためには、徹底した意識改革が必要だ。
全組織的な取組みと位置づけ、部門横断的な組織を設置して管理を徹底する。
全PCを対象とした棚卸を行い、その後も適正な状態を保つために定期的なレビューを実施することが重要となる。
不正コピーについて、BSAには年間400件以上寄せられている。
刑事的には行為者に10年以下の懲役と1000万円以下の罰金ほか、組織に3億円以下の罰金、民事的には損害賠償などを負い、
ずさんなソフトウェア管理を漫然と放置した場合、経営者自身も損害賠償の対象となる。
違法コピー予防のためには、経営層の意識改革、基本台帳(管理台帳)による管理、台帳の更新のルール設定、
そのルールが守られているかの検証、さらに不一致が見つかった場合の適法是正措置がポイントとなる。
BSAでも、e-ラーニング・サービス、ソフトウェア資産管理サポート、アジア支店のライセンス資産管理ポータルなど、
教育啓発コンテンツを提供しているので、ぜひ利用していただきたい。
「法律/コンプライアンス面から見たソフトウェア資産管理の必要性」
【SAMAC 仮想化・クラウドWG】クラウドや仮想化デスクトップ移行時のソフトウェアライセンスの考え方
<発表者>
Sky株式会社 金井 孝三 氏
仮想化は、物理サーバの台数を削減できるなどメリットがあるが、ソフトウェアライセンスの考え方という視点では複雑化する要因の一つでもある。
特に、何年も前から利用しているソフトウェアには、仮想環境やクラウドで使うということが想定されていない製品も少なくない。
それらのソフトウェアを仮想環境等に移行する場合、技術的な問題は解決できても、ライセンスの問題を解決するのは意外と難しい。
これが、仮想環境やクラウドを利用する際の大きな課題と言える。
クラウドやデスクトップのシンクライアントでの動作も想定した比較的最近のアプリケーションソフトウェアは、使用許諾契約についても、
それらの環境を考慮しての契約条項が記載されているので、仮想環境やクラウドで動作させることについて悩むことは殆どない。
しかし、比較的古くに導入したソフトウェアやソフトウェアメーカーから仮想環境やクラウドでの利用について案内されていないソフトウェアについては、
当然ながら、使用許諾契約に仮想環境やクラウドでのライセンスの考え方について明記されていない場合が多く、使用する前にメーカーに確認する必要がある。
使用許諾契約に記載がないからと言って、自分勝手に解釈するのは好ましくない。
どう解釈するか、どう考えるかは、メーカーによって考え方が異なることも少なくないからだ。
技術者はどうしても、まずは、システムがきちんと動くかどうか確認したくなるものだ。
しかし、動作検証環境であったとしてもシステムを動かした時点で、仮想環境やクラウドでの動作がライセンス的に認められていないソフトウェアであれば、
ライセンス違反となってしまう。
とはいえ、ソフトウェアメーカーが想定してない仮想環境やクラウド上での動作については、
ライセンスに関する問い合わせを行うと回答に非常に時間がかかる場合も多いので、十分な時間的余裕を確保すると共に、
回答はメールあるいは書面でもらい、必ずエビデンスを取り、各種監査等が入った場合の証拠を確保しておくも重要だ。
「クラウドや仮想化デスクトップ移行時のソフトウェアライセンスの考え方」
【SAMAC ユーザーフォーラム1】不適切なSAMがもたらすリスク ~ユーザーがお伝えするリスクとその対策~
<発表者>
Sky株式会社 木村 佳弘 氏
SAMが実施されていない、実施されているがうまく機能していない環境では、さまざまなリスクが発生する可能性がある。
ライセンスコンプライアンスリスクとしては、部門で個別調達しているハードウェアで使用しているソフトウェアを把握していないといったハードウェアの不適切な管理がもたらすライセンス違反、
使用許諾条件の軽視がもたらすライセンス違反などが挙げられる。
これらの違反は、多額の損害賠償、対応コスト、レピュテーションリスクなどをもたらす。
情報セキュリティリスクとしては、どのようなソフトウェアがインストールされているかわからない場合などに起こる
「不適切なソフトウェアの利用による情報漏えい」、「外部媒体の不適切な利用による情報漏えい」、「組織のセキュリティレベルの低下」などが挙げられる。
ITコストリスクとしては、正確な利用状況を把握していないために起こる「過剰なライセンス調達」、「遊休資産の存在に気づかぬままの新規調達」、
「本来必要としない契約の費用」などが挙げられる。
適切なSAMを導入することは、対象資産の網羅的把握・体制の整備・継続管理をするということになる。
これにより、先に挙げたさまざまなリスクを軽減できる。
大切なのは、それぞれのリスクに場当たり的に対応するのではなく、組織に合ったルールを制定し、ルールが守られる仕組みを構築して、
きちんと守られるよう運用管理するといった正攻法を地道に行うことである。
SAM導入後のメリットとしては、「ライセンスコンプライアンスの強化」、「情報セキュリティの強化」、「IT投資コストの最適化」などが挙げられる。
適切なSAMの導入により、それまで把握が難しかったものが可視化され、それらの情報を元にリスク対策なども立てやすくなる。
SAMは、単にライセンスコンプライアンス対策ではなく、情報セキュリティやITコストの最適化にも大きな影響を及ぼすものであることを認識してもらいたい。
適切な運用が守られているか把握するために、対象資産を網羅的に把握し可視化すること。
その上で、組織全体で適切な教育を実施することが大切である。
「不適切なSAMがもたらすリスク~ユーザーがお伝えするリスクとその対策~」
【SAMAC ユーザーフォーラム2−1】SAM運用時の注意点(1) ~サーバライセンスの留意点~
<発表者>
株式会社トクヤマ情報サービス 河村 幸夫 氏
SAMの構築・運用にあたっては、インベントリーツールやSAMシステムなどを利用することが一般的だ。
しかし、その環境でサーバまで管理できるだろうか。
サーバの構成は複雑になってきており、ソフトウェアの種類が多く、ライセンスポリシーも難しい。クライアントとサーバの資産管理は異なり、
別のシステムが必要なのではないか。
ライセンスの考え方は、サーバの構成・メーカー・使用目的によって変わってくる。
また、仮想環境の場合も難しく、構成によって必要なライセンス数は変わる。
ユーザライセンスの管理も見落としやすく、システム導入後、メーカーに違反と判定された場合の痛手は大きい。
システムを新規導入・更新する際は、多くの人が関わってくるため、ライセンス数の計算やサーバ設定で間違いが起こりやすい。
契約にあたっては、見積書の根拠としてライセンス確認書を提出してもらうとよい。
また、引渡し時には、完成図書とは別に、設定確認書・利用条件書を作成してもらい確認することが大切だ。
これらは、実際の運用時にも重要となる。
また、社内で作成した隠れたシステムが問題になるケースがある。
システム登録をしていない無償の開発ソフトを使用しているなどから、ライセンス違反が発生する可能性がある。
隠れたシステムを可視化し、すべてのハードウェアを管理できないと、問題の発生を防止することはできない。
サーバの資産管理は、ライセンスの難しさなどから間違いが起こりやすい。
また、隠れたシステムがあるなど、管理し切れていない場合も多い。
ソフトウェアは単価も保守料も高額であり、リスクが高い。
サーバ一覧・ライセンス一覧・使用許諾書・ライセンス証書・ライセンス確認書などを揃え管理していく必要がある。
【SAMAC ユーザーフォーラム2−2】SAM運用時の注意点(2) インベントリ情報収集だけでは終わらない
<発表者>
石川県庁 藤井 誠 氏
例えば、上司から「ソフトウェアメーカーのライセンス監査に備えておくように」という指示を受けたらどう対応するだろうか。
まず、保有するライセンス数が使用中のライセンスより多いことを証明することを考えるだろう。
インベントリーツールなどを使用し調査した結果、ライセンス数が足りていた場合、問題ないと判断しがちだが、実はそれだけでは終わらない。
ソフトウェアには使用許諾条件がある。
例えば、プリインストールライセンスは、特定のパソコンに付属し他のパソコンでは使用できない。
使用許諾条件に違反していないことを示すためには、全数把握だけでは不十分だ。
対策としては、管理シールを貼り付けるなどすべてのハードウェアとライセンスを識別できるようにした上で、
ハードウェア管理台帳・ライセンス管理台帳を作成し、さらにライセンスをどのハードウェアで使用しているか紐付けするソフトウェア管理台帳を作成し、
管理する必要がある。
表計算ソフトにより手作業で管理する方法もあるが、パソコンの入れ替えやソフトウェアのバージョンアップなど環境変化のため、
台数が多い場合は正確な管理が難しいことがわかる。
そこで紐付けと同時に導入数の増減を自動的に管理できるSAMシステムが必要となる。
さらに紐付けされたソフトウェア管理台帳とインベントリーツールで収集した情報を突合することで、不整合が生じても直ちに発見することができる。
ネットワーク接続していないハードウェアなどインベントリーツールで自動収集できないものもあるため、
外部記憶媒体上で実行できる情報収集ツールを用意し定期的に手動取得するなど特別な運用ルールを決めておくことも大切である。
適切なソフトウェア資産管理を行うためには、こうしたSAMシステムの導入が必要であり、加えて職員の教育や棚卸、
内部監査など運用ルールを定め組織全体で取り組むことが重要である。
「SAM運用時の注意点(2) インベントリ情報収集だけでは終わらない」
SAMAC Tag WG】IT資産関連タグの国際標準化動向
<発表者>
富士通株式会社 高橋 快昇 氏
IT機器の多様化、ソフトウェアのサービス形態の複雑化はますます進んでいる。
知財、個人情報は企業の継続性をも左右する。こうしたIT資産は、頻繁に変更され、簡単に複製されるなど、管理が難しい。
ITを利用した自動化アプローチが必要だが、現在は情報のフォーマットがバラバラで、ツール間の乖離などもあり限界がある。
こうした課題を解決するために、情報構造の標準化が必要となる。
現在、IT資産管理国際規格(ISO/IEC 19770)は、大きくプロセスと情報構造(タグ)の2つに分かれ、標準化が進んでいるが、
本講演ではタグの標準化について焦点を当てた。
情報構造の標準化は、XMLスキーマで行われており、ISOのページで参照できる。
ソフトウェア識別情報は19770-2(SWID)、ライセンス情報は19770-3(Ent)、ソフトウェア利用状況は19770-4(Rum)でそれぞれ標準化されている。
各種情報を利用することにより、ライセンスコンプライアンスやソフトウェアの改竄などが、自動チェックできようになり、
大幅に運用品質の向上とコスト削減が期待される。
19770-2(SWID)は、2009年に国際標準化され、欧米を中心に利用されているが、今回、
定義を効率化するとともにサイバーセキュリティに対応できる識別子として大幅な改定が行われた。
ソフトウェアの名称や作成者などをグローバルで一意に定義し、統合的に組み合わせられた製品は勿論、パッチや実行モジュールの個々を識別でき、
改竄があったかどうかを確認できるハッシュ値なども定義できるようになっている。
また、SWIDが改竄されないような認証機能も規定されている。
19770-3(Ent)は、2015年春にFDIS(国際標準の最終段階)に移行することが認められたので今年度中に国際標準化されると思われる。
権利の分割、譲渡、統合、破棄など、権利のタイプごとに契約条項が定義される。電子的なファイル(Ent)が契約書の一枚一枚と
同じように存在すると考えて頂きたい。
これらは、通常、ライセンスの管理サーバに保存され、ライセンス情報をDBで管理する。
どうやってライセンスのチェックを行うかもEntファイルに記述できる。例えば、収集したSWIDの情報より、自動チェックできるものもあれば、
Rumの情報と自動チェックする場合も想定される。このような対応付けは、手動で判断するか、ツールに設定することで自動化するかは、
運用次第ということになる。
今後、ソフトウェア開発者様には、ソフトウェアのリリースと同様にSWIDタグを考えて対応をお願いしたい。
お客様のIT資産管理やセキュリティ管理にも貢献している製品であることの証明につながる筈である。
また、IT資産管理・セキュリティ管理のツールベンダー様も、積極的に標準化された情報構造を活用して頂きたい。
- 開催概要
-
講演
- 【基調講演】政府情報システムの整備及び管理に関する標準ガイドラインにおける資産管理について
- 【特別講演】法律/コンプライアンス面から見たソフトウェア資産管理の必要性
- 【SAMAC 仮想化・クラウドWG】クラウドや仮想化デスクトップ移行時のソフトウェアライセンスの考え方
- 【SAMAC ユーザーフォーラム1】不適切なSAMがもたらすリスク ~ユーザーがお伝えするリスクとその対策~
- 【SAMAC ユーザーフォーラム2−1】SAM運用時の注意点(1) ~サーバライセンスの留意点~
- 【SAMAC ユーザーフォーラム2−2】SAM運用時の注意点(2) インベントリ情報収集だけでは終わらない
- SAMAC Tag WG】IT資産関連タグの国際標準化動向