95%が管理外!高リスクのソフトウェア管理

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

95%が管理外!高リスクのソフトウェア管理

2012/04/17


  IT資産の管理は単に資産棚卸しのためだけでなく、セキュリティ面でも大切な役割を果たす。なかでも重要なのが、ソフトウェア資産の管理だ。ソフトウェアライセンスが適法に利用されていないと、時には著作権侵害訴訟などの重大なリスクが生じる。また、不適切なソフトウェアのインストール、特にエンドユーザが勝手にインストールして使うソフトウェアは、ウイルス感染や情報漏洩の窓口になってしまうこともある。しかし、PC内のソフトウェアは、絶えずバージョンアップやエンドユーザによる追加が行われているため、管理者が実態を把握できず、管理が行き届きづらいのが実情。今回は、こうしたリスクと問題解決のためのソフトウェア資産管理(SAM:Software Asset Management)導入について見てみよう。

IT資産管理

使用ソフトの95%が管理されていない企業システムの実情

 昨年9月、あるコンピュータソフト企画制作会社の違法コピーソフトウェアの利用に関する訴訟で和解金総額が約4億4000万円(世界最高額)にのぼったことが公表され話題になった。今年2月にも、ある労働者派遣業者のソフトウェア著作権侵害に関する簡易裁判所調停が1億5000万円(国内最高の調停額)で成立したという報道があった。過去には100人以下の企業規模だったにもかかわらず、ソフトウェア著作権侵害事件の和解金が総額で約1億円に達した事例がある(事例はビジネスソフトウェアアライアンス公表資料)。
 こうした金額をみると、明らかに経営に大打撃を与える規模だ。もちろんどちらかといえば特異なケースであり、ベンダから不正利用を指摘されても是正しなかった企業が訴訟に至ることになる。とはいえ、指摘されたら管理を厳しくしようという姿勢では、コンプライアンスは貫けない。企業が内部での不正行為に気づかない、あるいは気づいても対処しないことは、従業員のコンプライアンス意識を低下させる元凶になる。
 また、企業がソフトウェアを適正に管理できていないために生じるリスクは訴訟リスクばかりでない。次のようなリスクを考えなければならない。

表1 企業がソフトウェアを適正に管理できていないために生じるリスク
表1 企業がソフトウェアを適正に管理できていないために生じるリスク
出典:一般社団法人ソフトウェア資産管理評価認定協会「ソフトウェア資産管理基準Ver.3.10」

 ソフトウェア資産管理は企業経営上の問題であることがわかる。このようなリスクを避けるためには、適切に管理できる体制とルール、それを運用できる技術的な仕組みがいる。
 ところが、ソフトウェア資産管理の専門家に聞くと、そもそも企業で管理できているソフトウェアは、インストール数全体の3〜5%にすぎないという。驚くべきことに、95%以上が管理されていないというのだ。ソフトウェアの種類で見ても、企業のPCにはドライバなども含めだいたい4000〜5000種のソフトウェアが導入されているが、管理されているのはそのうちの数十種類についてのみというのが現状のようだ。
 この状況の中で、どのようにソフトウェア資産管理を行っていけばよいのか。今回は、社内の膨大なソフトウェアを適切に管理し、セキュリティを含めたリスク管理を行うための基本的な方法を見てみよう。


1

ソフトウェア資産管理の実態

 ソフトウェア資産はすでに管理下にある、と考える人も多いだろう。実際、購入したソフトウェアについては少なくとも経理・財務に購買情報があるはずだ。IT部門では購買情報とともにライセンス証書を保管し、配布先、インストール先と紐づけて、情報をリスト化している場合もあるだろう。しかしそれだけではまったく不十分で、ソフトウェア資産管理(SAM)を行っていることにならない。
 そもそもライセンスは、すべてのソフトウェア個別に存在している。購入したソフトウェア、ライセンス証書が保管されているソフトウェアは、企業のPCにインストールされているソフトウェアのほんの一部に過ぎない。したがって、購買履歴に紐付いているだけのソフトウェア資産リストは、実際のソフトウェア利用状況の一部しか反映されていないと言える。不正コピーされているソフトウェアがあるのかどうか、セキュリティ上問題のあるソフトウェアが使われているかどうかを調べようとしても、その方法が用意されておらず、調査ができる体制もないという企業が多いのが実態のようだ。これでは、上述のリスクを低減する役割はほとんど果たせない。

1-1

ソフトウェア資産管理(SAM)とは

 リスクを避けるには、まずは組織が利用しているハードウェアとソフトウェア及びそのソフトウェアを利用するためのライセンスの全体を把握してそれぞれの台帳を作る必要がある。このような台帳に基づき、ハードウェアとソフトウェア、ライセンスのライフサイクル全体にわたって正確に情報を把握し、違法あるいは社内ポリシー違反のソフトウェアを発見して対処できるようにするのがソフトウェア資産管理(SAM)だ。
 これは「ライセンス管理」とよく似ている。ライセンス管理は有償の一部のソフトを主な対象とすることが多い。しかし現実にはフリーウェアなどにも著作権があり、使用許諾条件もある。また、有償以外のソフトウェアも管理対象としなければ、有償ソフトウェアがすべて管理されていることを担保することができない(管理対象外に有償ソフトウェアが入っていないことが検証されない)。また実際のライセンス管理では、実際のインストール状況を根拠にしない管理が行われる場合もある。それでは現実を把握しているとは言えない。危険なソフトウェアが利用されているかどうかの確認すらとることができない。
 SAMは、ライセンスコンプライアンスに加えて、情報セキュリティの維持・向上と、IT投資の最適化という目的をもつ。一部のソフトウェアのライセンスだけ管理するのではなく、システム全体のハードとソフト、保有ライセンスの全部を、有償・無償、自社開発などの区別なく管理対象とするものだ。

セキュリティ情報局にご登録頂いた方限定で「95%が管理外!高リスクのソフトウェア管理」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

IT資産管理/95%が管理外!高リスクのソフトウェア管理」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「IT資産管理」関連情報をランダムに表示しています。

IT資産管理」関連の製品

リプレース回数を減らしてコスト削減、サポート切れの機器を延命させるには? 【フィールドワン】 EOSL後の延命保守、大型ストレージの場合の注意点と対策 【エスエーティ】 非常駐型IT資産統合管理ツール「e-Survey+」 【ニッポンダイナミックシステムズ】
IT資産管理 IT資産管理 IT資産管理
リプレース回数を減らしてコスト削減、サポート切れの機器を延命させるには? EOSL後の延命保守、大型ストレージの場合の注意点と対策 エージェントレスでインベントリ収集。
ハード資産やソフトウェアライセンスと契約情報を紐づけ管理。 直感的な操作で運用負荷を軽減、低コスト・短期間でIT資産管理を実現。

IT資産管理」関連の特集


キーマンズネットが事前に行ったアンケート調査で、中堅企業の導入が3割程度にとどまっていた統合運用管理…



情報漏洩対策やSOX法対応で重要性が高まるセキュリティ対策。いったいどこまで対応すればよいのか?今回…



アナログKVMスイッチとデジタルKVMスイッチの違い、説明できますか?移行進むデジタルKVMスイッチ…


IT資産管理」関連のセミナー

サーバー資産管理 「ITAMマネージドサービス」ご紹介セミナー 【内田洋行】  

開催日 10月18日(水),11月17日(金)   開催地 東京都   参加費 無料

近年、ITAM(IT資産管理)の重要性が益々高まる中、管理対象のインフラがオンプレやクラウドや物理及び仮想化など複雑化する環境において、特に、各種ライセンス(M…

ソフトウェアライセンス管理を始めるために知っておくべきこと 【サイバネットシステム】  

開催日 9月22日(金)   開催地 オンラインセミナー   参加費 無料

組織内で利用するソフトウェアやツールの種類は様々です。誰がどのPCで何のソフトウェアを利用しているのか、その管理工数や作業負荷に頭を抱える担当者は少なくありませ…

事業影響度分析/ビジネスインパクト分析(BIA)トレーニングコース 【BSIグループジャパン(英国規格協会)】  

開催日 12月1日(金),2月19日(月)   開催地 東京都   参加費 有料 3万2400円(税込)

本コースは、事業継続に取り組む上で欠かせない事業影響度分析/ビジネスインパクト分析(BIA)について学びます。事業継続におけるビジネスインパクト分析(BIA)は…

「運用管理」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30004696


IT・IT製品TOP > 運用管理 > IT資産管理 > IT資産管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ