多種多様な端末と“ライセンス管理”の盲点

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

多種多様な端末と“ライセンス管理”の盲点

2013/08/20


 「ソフトウェア違法コピーの通報で賞金100万円」 という報奨金制度をソフトウェア著作権保護団体BSAが開始したのは今年6月。その月内に通報件数は1〜5月の平均の約8倍の145件と過去最高を記録した。こうした通報に基づく違法コピー訴訟では、2011年に国内で世界最高額の4億4000万円の和解が行われたケースなどのように、巨額の支払いに至るケースが相次いでいる。他の業界団体や個々のソフトウェアベンダもユーザのライセンス・コンプライアンス向上策に積極的に取り組んでおり、利用しているソフトウェアの実態を把握していないと思わぬ代償を払うことになりかねない。また逆にライセンス過剰購入という問題もある。
 今回は、クラウド化やスマートデバイス、サーバ仮想化などシステムインフラも端末も多様化する中で、ソフトウェア資産をどう管理していけばよいのか、問題点と対応策を探る。

ソフトウェア

自社のソフトウェア利用状況がつかめない!数億円の出費につながる場合も…

 某月某日、A社は業務で長年使っているアプリケーションソフトのベンダからライセンス利用状況の監査を求められた。ライセンスは以前から適正に購入してきており、ベンダの営業部門とも友好的な関係が続いているのになぜ…?
 実は購入していたライセンスはCPUコア単位での契約になっていたのに、A社は今年度初めに複数のマルチコアCPUを搭載する高性能サーバに買い換えていたのだ。アプリケーションは性能が求められれば動的にコア数を割り当てる機能を持っていた。利用コア数が増えれば当然ライセンス違反。それを知った従業員が義憤にかられて通報し、ベンダ側の担当部門からの監査要求に至ったのだった。
 ……これは架空の事例だが、このようにユーザ側がきちんとソフトウェアを利用しているつもりでもライセンス違反を犯してしまうことがある。実際にソフトウェアベンダは特にCPUとライセンスの関連での監査を強化しており、違反が発見されたケースでは数億円〜数十億円の請求に至った例もあるという。あまり知られていないが、ライセンス契約の多くに「利用の確認」「遵守状況の確認」というような表現で「監査権」が盛り込まれており、内部監査を求めること、あるいは監査法人による監査を契約時に了承した形になっているのだ。
 監査となると長期間にわたり相応のコストと人員を費やすことになり、負担は重い。その結果ライセンス違反が見つかれば、ライセンス適正化のための予定外出費が避けられず、対応しないでいると著作権侵害として損害賠償を求められる可能性もある。監査にまで至らなくてもベンダから調査が求められたときには、例えば図1のような項目をすべて洗い出し、適時に結果を提出しなくてはならない。もしできないと、ベンダ主導の監査や訴訟へと追い込まれていくと考えておく必要がある。

図1 ソフトウェアのライセンスと利用状況の監査項目例
図1 ソフトウェアのライセンスと利用状況の監査項目例
※アップグレード版は元のバージョンのライセンスと紐付けなければならない。

 しかも、近年ではITインフラが大きな変化を遂げており、仮想サーバや仮想クライアントが簡単に追加/削除できるようになってきた。またクラウド化も進展し、社内とハウジング先のデータセンタだけを対象に管理していればよい時代ではなくなっている。さらにスマートフォンやタブレットが増加し「BYOD」と呼ばれる私物端末の業務利用を容認するケースも増えた。加えて、Windows 8の機能として提供されているWindowsToGoのようにUSBデバイスにPC機能が載るような新しいソフトウェア利用法も登場している。
 管理対象デバイスが、物理・仮想環境ともに多様化し、全体として増加する中で、ソフトウェアは社内システムでひたすら拡散の一途をたどっているのが現状だ。この環境下でソフトウェア資産を把握し、管理するのはますます大変になっていくだろう。だからこそ効率的な管理体制を整え、これからのシステム環境に対応していくことが肝心だ。システムの改変期はソフトウェア資産管理を適正化する好機でもある。今こそソフトウェア資産管理に本気で取り組んでみてはいかがだろうか。


1

ソフトウェア資産管理の意義

 「ライセンス管理」はほとんどの企業が実施しているはずだ。しかし把握されているソフトウェアが実際の利用状況と合致しているかどうかに不安を感じる管理者もまた多いはず。多くの場合は購入したライセンスを台帳に記し、せいぜい、ライセンス証書、導入用のメディアなどを管理しているだけだ。利用実態との照合が把握されていないと、管理情報と実態とが時間を経るに従って乖離していく。そしてそれはいずれ次のようなリスクとなって表面に表れてしまう。

ソフトウェア資産管理が適正でない場合のリスク

アカウンタビリティ(説明責任)を果たせなくなってしまう。

資産を適切に保全していなければ、利用できなくなる可能性がある。

著作権違反により提訴されるなどの法的問題が発生し、賠償等損害が発生する。

内部管理体制の不備による法的問題が発生し、罰則を受けることになる。

法的問題発生により、社会的信用を失う。

非効率あるいは過剰なライセンスの購入による余分な費用負担が発生する。

ソフトウェア利用についての適切なサービス提供が維持できない。

不適切なバージョンや設定のソフトウェアを利用することによりセキュリティ上の問題が発生する。

ソフトウェアを効果的に利用できないことにより、競争力が不足あるいは低下する。

ソフトウェア資産管理評価認定協会「ソフトウェア資産管理基準Ver.3.1」より

 アカウンタビリティや資産保全、法的問題といった面はわかりやすいだろう。そればかりでなく、セキュリティ上の問題や競争力にも関わるところに注意したい。これらリスクを避けるために行いたいのがソフトウェア資産管理だ。

1-1

ソフトウェア資産管理を行うメリット

 これまでの「ライセンス管理」と「ソフトウェア資産管理」は何が違うのだろうか。前者では、各社差があるとはいえ購入情報をベースにした管理台帳運用をしている場合が多い。この場合だと正式な窓口から購入した有償ソフトウェアだけが対象になり、部署やグループの予算で導入したものや、個人が勝手に導入したものが管理から除外されてしまいがちだ。また有償ソフトウェアであっても無償の修正プログラム適用などの経過や関連するデバイスドライバなどの更新、追加も把握できなくなる可能性がある。
 これに対してソフトウェア資産管理は、ソフトウェアの利用状況の観点からすべての種類のソフトウェアを対象にするのが大きな違いだ。フリーウェアやデバイスドライバ等も含め、無償/有償、市販/自社開発などといった種別を問わず管理対象にし、そのすべてに何らかの使用条件(ライセンス)が存在するとして、ライセンス、ソフトウェア、導入したハードウェアを一体として管理する。
 例えば図2のように「ライセンス台帳」以外に「利用ソフトウェア台帳」「ライセンス関連部材台帳」「ハードウェア台帳」を用意し、それぞれに関連づけて整理、検索できるようにしておくことが望ましい。これら台帳を作成し、日々更新していくことによってソフトウェア資産管理のベースができることになる。

図2 ソフトウェア資産管理に必要な「台帳」の内容と関連性
図2 ソフトウェア資産管理に必要な「台帳」の内容と関連性
「ソフトウェア資産管理ユーザーズガイド〜導入のための基礎」より
資料提供:日本情報経済推進協会(JIPDEC)

 これらがすべて揃ったところで、全ソフトウェアを「有償/無償」「修正プログラム」「アドウェア」「その他」といった種別で整理して、さらに「組織標準導入ソフト」や「個別導入ソフト」、「未許可ソフト」「禁止ソフト」「修正プログラム」といった分類を行うことが可能になる。そうすればポリシー外のソフトウェアに何があるかがはっきりし、許可されているソフトウェアのライセンスが適正に利用されているかどうかの確認も可能になるわけだ。
 このような台帳を作成した後は、ソフトウェア導入を申請制にして、申請していないソフトウェアは導入できないルールが施行できる。また未許可ソフトの導入は柔軟にして、利用許可を得る条件をはっきりさせておけば、わざとルール違反をしない限り、適正なソフトウェア運用ができるだろう。そこで得られるのは次のようなメリットだ。

■ソフトウェア資産管理で実現できること
● リスクマネジメント能力が高まる

説明責任を全うでき、資産保全、法的リスクの回避が可能になる。

またセキュリティ上の問題への対処がよりしやすくなり、システムの可用性が高まる。

● システムのコスト合理性が高まる

ライセンス数は従来余裕を見て購入していたが、利用実態に照らして適正な数にできるためTCO削減の可能性が出てくる。また不適切なソフト利用や設定などを避けることにもつながって可用性が高まり、コスト効果の高いソフトウェア運用が図れる。

● 競争優位性を確保できる

 ソフトウェアが有効に活用できることにより、ソフトウェア資産管理をしていない競合相手の優位に立てる可能性がある。

 つまり、冒頭で述べたような法的リスク回避などのリスク対策のほか、コスト削減、競争優位獲得という積極的な役割を果たすことができるのがソフトウェア資産管理のポイントだ。

コラム:なんと!ソフトウェア監査で“1億円”が浮いた!ライセンス管理で意外な利点も?

 ソフトウェア資産の監査専門家によれば、1万5000台のPCを運用している国内企業でソフトウェア資産の棚卸しを行い利用状況を分析したところ、情報システム部門管理のソフトと業務部門管理のソフトの重複や、利用者数に余裕を見た過剰なライセンス購入が次々に発見された。その適正化を行なえば、今後4年で1億円ほどのライセンスコスト削減が可能という分析結果となったという。無駄なコストは、システム管理者や経営者が思っている以上に存在しているようだ。


セキュリティ情報局にご登録頂いた方限定で「多種多様な端末と“ライセンス管理”の盲点」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


ソフトウェア/多種多様な端末と“ライセンス管理”の盲点」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ソフトウェア」関連情報をランダムに表示しています。

ソフトウェア」関連の製品

Windows Server 2012 【日本マイクロソフト】 簡単ファイル転送/システム連携「HULFT-WebFileTransfer」 【セゾン情報システムズ】 高速全文検索システム REX-File・Finder 【寿精版印刷】
Windows ファイル転送 データ検索ソフト
●クラウド技術を搭載した、仮想化/クラウド対応の最新WindowsサーバーOS。
●「Windows Server 2008 R2」をベースに、180以上に及ぶ機能強化を果たしている。
自社環境にプライベートクラウド型のデータ連携基盤を構築し、セキュアかつ手軽なデータ連携を実現する。 検索結果をイメージで見ながらファイルを探せる高速全文検索システム。ファイルサーバ、NAS、文書管理システムの検索エンジン、エンタープライズサーチとしても使用可能。

ソフトウェア」関連の特集


 2010年は、新しい時代に突入したことを感じる長い1年であった。2010年前半は、スマートフォンは…



純国産の大規模データ処理基盤「Jubatus」を紹介。HadoopやMapReduceとの違いはなに…



「会議はムダが多い」と思っていませんか?そこで注目したいのが遠隔会議。時間・交通費を削減し、意思決定…


ソフトウェア」関連のセミナー

Connected AI Conference 2016 【ナノオプト・メディア】 締切間近 

開催日 12月9日(金)   開催地 東京都   参加費 無料

加速する人工知能がもたらす社会変革〜 “繋がるAI”の活用で実現するビジネスの未来とは?〜加速する人工知能がもたらす社会変革をテーマとし、ビジネスへ与えるインパ…

半年前の情報はもう古い!ランサムウェア最新対策セミナー 【主催:ソフトバンク コマース&サービス/協賛:マカフィー】 締切間近 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

猛威を振るい続けるランサムウェア。近年よく聞かれるようになりましたが、かなり古くから存在する攻撃手法の1つです。常に進化・変貌を重ねており、個人から大手企業まで…

海外の先進事例に学び、日本流IoTビジネスの取り組みとは 【キヤノンITソリューションズ】 締切間近 

開催日 12月6日(火)   開催地 東京都   参加費 無料

 クラウド、ビッグデータ、IoTなど、次から次へ登場するITキーワード!そんな言葉を耳にしない日はなくなりました。昨今では、多くの業界・業種において、IoTを活…

「運用管理」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006141


IT・IT製品TOP > 運用管理 > IT資産管理 > IT資産管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ