95%が管理外!高リスクのソフトウェア管理

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

95%が管理外!高リスクのソフトウェア管理

2012/04/17


  IT資産の管理は単に資産棚卸しのためだけでなく、セキュリティ面でも大切な役割を果たす。なかでも重要なのが、ソフトウェア資産の管理だ。ソフトウェアライセンスが適法に利用されていないと、時には著作権侵害訴訟などの重大なリスクが生じる。また、不適切なソフトウェアのインストール、特にエンドユーザが勝手にインストールして使うソフトウェアは、ウイルス感染や情報漏洩の窓口になってしまうこともある。しかし、PC内のソフトウェアは、絶えずバージョンアップやエンドユーザによる追加が行われているため、管理者が実態を把握できず、管理が行き届きづらいのが実情。今回は、こうしたリスクと問題解決のためのソフトウェア資産管理(SAM:Software Asset Management)導入について見てみよう。

IT資産管理

使用ソフトの95%が管理されていない企業システムの実情

 昨年9月、あるコンピュータソフト企画制作会社の違法コピーソフトウェアの利用に関する訴訟で和解金総額が約4億4000万円(世界最高額)にのぼったことが公表され話題になった。今年2月にも、ある労働者派遣業者のソフトウェア著作権侵害に関する簡易裁判所調停が1億5000万円(国内最高の調停額)で成立したという報道があった。過去には100人以下の企業規模だったにもかかわらず、ソフトウェア著作権侵害事件の和解金が総額で約1億円に達した事例がある(事例はビジネスソフトウェアアライアンス公表資料)。
 こうした金額をみると、明らかに経営に大打撃を与える規模だ。もちろんどちらかといえば特異なケースであり、ベンダから不正利用を指摘されても是正しなかった企業が訴訟に至ることになる。とはいえ、指摘されたら管理を厳しくしようという姿勢では、コンプライアンスは貫けない。企業が内部での不正行為に気づかない、あるいは気づいても対処しないことは、従業員のコンプライアンス意識を低下させる元凶になる。
 また、企業がソフトウェアを適正に管理できていないために生じるリスクは訴訟リスクばかりでない。次のようなリスクを考えなければならない。

表1 企業がソフトウェアを適正に管理できていないために生じるリスク
表1 企業がソフトウェアを適正に管理できていないために生じるリスク
出典:一般社団法人ソフトウェア資産管理評価認定協会「ソフトウェア資産管理基準Ver.3.10」

 ソフトウェア資産管理は企業経営上の問題であることがわかる。このようなリスクを避けるためには、適切に管理できる体制とルール、それを運用できる技術的な仕組みがいる。
 ところが、ソフトウェア資産管理の専門家に聞くと、そもそも企業で管理できているソフトウェアは、インストール数全体の3〜5%にすぎないという。驚くべきことに、95%以上が管理されていないというのだ。ソフトウェアの種類で見ても、企業のPCにはドライバなども含めだいたい4000〜5000種のソフトウェアが導入されているが、管理されているのはそのうちの数十種類についてのみというのが現状のようだ。
 この状況の中で、どのようにソフトウェア資産管理を行っていけばよいのか。今回は、社内の膨大なソフトウェアを適切に管理し、セキュリティを含めたリスク管理を行うための基本的な方法を見てみよう。


1

ソフトウェア資産管理の実態

 ソフトウェア資産はすでに管理下にある、と考える人も多いだろう。実際、購入したソフトウェアについては少なくとも経理・財務に購買情報があるはずだ。IT部門では購買情報とともにライセンス証書を保管し、配布先、インストール先と紐づけて、情報をリスト化している場合もあるだろう。しかしそれだけではまったく不十分で、ソフトウェア資産管理(SAM)を行っていることにならない。
 そもそもライセンスは、すべてのソフトウェア個別に存在している。購入したソフトウェア、ライセンス証書が保管されているソフトウェアは、企業のPCにインストールされているソフトウェアのほんの一部に過ぎない。したがって、購買履歴に紐付いているだけのソフトウェア資産リストは、実際のソフトウェア利用状況の一部しか反映されていないと言える。不正コピーされているソフトウェアがあるのかどうか、セキュリティ上問題のあるソフトウェアが使われているかどうかを調べようとしても、その方法が用意されておらず、調査ができる体制もないという企業が多いのが実態のようだ。これでは、上述のリスクを低減する役割はほとんど果たせない。

1-1

ソフトウェア資産管理(SAM)とは

 リスクを避けるには、まずは組織が利用しているハードウェアとソフトウェア及びそのソフトウェアを利用するためのライセンスの全体を把握してそれぞれの台帳を作る必要がある。このような台帳に基づき、ハードウェアとソフトウェア、ライセンスのライフサイクル全体にわたって正確に情報を把握し、違法あるいは社内ポリシー違反のソフトウェアを発見して対処できるようにするのがソフトウェア資産管理(SAM)だ。
 これは「ライセンス管理」とよく似ている。ライセンス管理は有償の一部のソフトを主な対象とすることが多い。しかし現実にはフリーウェアなどにも著作権があり、使用許諾条件もある。また、有償以外のソフトウェアも管理対象としなければ、有償ソフトウェアがすべて管理されていることを担保することができない(管理対象外に有償ソフトウェアが入っていないことが検証されない)。また実際のライセンス管理では、実際のインストール状況を根拠にしない管理が行われる場合もある。それでは現実を把握しているとは言えない。危険なソフトウェアが利用されているかどうかの確認すらとることができない。
 SAMは、ライセンスコンプライアンスに加えて、情報セキュリティの維持・向上と、IT投資の最適化という目的をもつ。一部のソフトウェアのライセンスだけ管理するのではなく、システム全体のハードとソフト、保有ライセンスの全部を、有償・無償、自社開発などの区別なく管理対象とするものだ。

セキュリティ情報局にご登録頂いた方限定で「95%が管理外!高リスクのソフトウェア管理」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

IT資産管理/95%が管理外!高リスクのソフトウェア管理」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「IT資産管理」関連情報をランダムに表示しています。

IT資産管理」関連の製品

IT資産統合管理 コア ITAMソリューション 【ギガ+他】 資産管理ツール Absolute Data and Device Security 【ソフトバンク コマース&サービス】 9/6(水) 東京・9/15(金) 大阪 「ガチンコ!Networld .next 2017」 【ネットワールド】
IT資産管理 IT資産管理 垂直統合型システム
導入実績1500社以上。PC端末からデータセンターまで、幅広いニーズに応えるIT資産統合管理ソリューション。物の管理と固定資産管理の紐づけを行い、資産管理を効率化する。 ノートPCやタブレットの盗難・紛失時に遠隔よりデータを削除して情報漏えいを防止する資産管理ツール。デバイスの位置を地図上に表示する位置情報トラッキング機能が特長。 競合ベンダーが壇上でアピール合戦「ガチンコ対決セミナー」開催

IT資産管理」関連の特集


IT担当者632人を対象に「IT資産管理ツールの導入状況」を調査。導入状況や導入目的、満足度から、ツ…



個人市場ではスマートフォンが急速に普及していることから、これを業務に使いたいというニーズが高まりを見…



“内部からの情報漏洩対策”連載第2弾は「アクセス制御」に注目。システムやワークフロー上でポリシー外の…


IT資産管理」関連のセミナー

System Support Day 2017 【ディー・オー・エス】 注目 

開催日 9月7日(木)   開催地 東京都   参加費 無料

標的型攻撃の脅威や、内部不正による情報漏洩などが社会問題となる昨今、あらゆるセキュリティ対策の基盤となるIT資産管理は、ますます重要性を増しています。また、ソフ…

データ消去ソフト ディスクシュレッダー5 製品紹介セミナー 【パーソナルメディア】  

開催日 6月28日(水),7月12日(水),7月26日(水),8月23日(水),8月30日(水)   開催地 東京都   参加費 無料

データ消去ソフト「ディスクシュレッダー5」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたします…

データ消去ソフト USBディスクシュレッダー 製品紹介セミナー 【パーソナルメディア】  

開催日 6月28日(水),7月12日(水),7月26日(水),8月23日(水),8月30日(水)   開催地 東京都   参加費 無料

データ消去ソフト「USBディスクシュレッダー」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたし…

「運用管理」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30004696


IT・IT製品TOP > 運用管理 > IT資産管理 > IT資産管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ