ソフトウェア資産管理のあるべき姿

ISO/IEC19770-1ではSAMの適用対象となる資産を

・「適用範囲に入る関連資産は、適用範囲内のソフトウェアを使用または管理する必要があるという特性をもつ、その他すべての資産である」

と定義しています。 また、ソフトウェア資産管理基準の中でも「ソフトウェア資産管理の前提としてのハードウェア管理」の中で

・「ソフトウェアは、その性質から、ハードウェア上での稼働が前提となっている。このため、ソフトウェアの利用状態を適切に管理するためには、ハードウェアの管理が必要となる」

と定義しています。

上記二つの定義から、SAMの対象資産はソフトウェア単体ではなく、ハードウェア（プラットフォーム）、ソフトウェア（導入ソフト）、ライセンスの3つの要素で構成されていると定義できます。

ソフトウェア資産管理基準Ver.2.0にある「目的」では、SAMの目的は以下の4つとされています。

1. 説明責任（アカウンタビリティ）の確保
2. 法的リスクの回避
3. セキュリティの確保
4. TCO（総保有コスト）の削減

上記の事から、SAMの目的がソフトウェアの不正使用にかかる刑事責任やソフトウェアベンダーからの損害賠償の回避だけでないことは明らかです。 この目的を達成するためには、現状把握（対象資産の棚卸）を適切に行い、不可視の資産であるソフトウェアを可視化することが必要です。 また、一時的な運用ではなく継続的にソフトウェアを含むIT資産運用のライフサイクルに沿った運用管理を行っていくことがSAMのあるべき姿です。

対象資産を網羅的に把握して適切な管理を行うことで、情報セキュリティ、IT統制の強化を可能とし、ソフトウェアの投資効果を高め、業務プロセスの重要な一部としてITサービスを最大限に利用することが可能となります。

ソフトウェア資産管理で最も関心が集まる項目は、「ソフトウェアライセンスの管理」ですが、混同されがちなライセンス資産管理（LAM:License Asset Management）とSAMではそもそもの目的が異なります。

LAMの場合、目的がライセンスコンプライアンスの実現ですので、損害賠償の回避が主たる目的となります。損害賠償を回避するがために、保有しているライセンス数が利用数を下回らないことに注力してしまい、インベントリデータと保有しているライセンス数の比較に陥りがちです。
また、解決策としてライセンスを必要数以上に購入してしまい、無駄なコストの増大という結果を招くケースも少なくありません。

LAMを実施する場合、対象のソフトウェアがマイクロソフト、アドビ、オートデスクなど著名ベンダーの有償ライセンス製品だけが管理対象とされることが多く、フリーウェアやオープンソースについては管理対象外とされてしまう場合も見受けられます。

SAMの場合、ライセンスコンプライアンスの実現も目的の一つとなりますが、LAMと異なり対象資産の網羅性および記録の正確性を確保したうえで、対象資産に関するリスクアセスメントを実施し、様々なリスク回避や、ITサービスのSLA（サービスレベルアグリーメント）の維持を実現しなければなりません。

SAMの目的の一つであるコンプライアンスの観点からみた場合、フリーウェアやオープンソースも著作権により保護される著作物であり、たとえソフトウェアが無償であっても、使用許諾違反をした場合は法令に反するリスクが潜在しています。

また、ファイル交換ソフトなど近年報道された重大な情報漏洩の原因となったソフトウェアも、多くは無償ソフトウェアとして流通しています。このように、有償ソフトウェアなど一部のソフトウェアのみ管理対象とすることは過剰ライセンス購入による経営面や、セキュリティの管理不足という側面でのリスクが潜在しており、SAMのあるべき姿としては不適切であると言えます。正確な保有ソフトウェア資産数の把握をすることで、経営面やセキュリティ面でのリスクを顕在化し、対策することでリスクを管理しなければなりません。

SAMが導入できている状態とは、以下の2点が維持されている状態です。

(1)ソフトウェア資産の管理体制がある

(2)ソフトウェア資産の管理が出来ていることが、対外的に証明可能な記録類が存在する

まず、「ソフトウェア資産の管理体制がある」とは以下の5つの条件を満たしている必要があります。

1. SAMの最高責任者が選任されている
2. SAMの担当者が選任されている
3. SAMの体制で、役割と責任が明確化している
4. 上記が文書化され、取締役会またはそれと同等の機関によって承認を受けている
5. 管理体制について全ての事が、管理対象範囲内の全員に周知されている

ただし、これらの管理体制の人員を必ずしもSAMの専任とする必要はありません。例えば、IT部門、情報セキュリティ（ISMS）委員会など、既に存在する組織が兼務し運営することができます。

次に、「管理が出来ていることが対外的にも証明可能な記録類が存在する」とは以下の4つの条件を満たしている必要があります。

1. 基本台帳が存在し、かつ、その更新履歴が存在する
2. 監査、棚卸などの基本台帳の更新履歴が正しいことが証明可能で、記録されている
3. 以上の記録類に対して作成や棚卸、監査の実施のために規定・規則が存在している
4. 規定・規則が取締役会またはそれと同等の機関によって承認を受けている

基本台帳とは、前述のSAMの対象資産であるソフトウェアを稼働するプラットフォーム（ハードウェア）、使用されているソフトウェア、そのライセンスの3つを管理するそれぞれの台帳を指します。 これら3つの基本台帳が全て存在し、かつ情報が変わるたび規定された方法で更新され、またそれが正確であることを常に確認できる状態が、SAMが適正に導入され、運営されている姿だと言えます。

「ソフトウェア資産管理（SAM)のあるべき姿 〜「知らなかった」では済まないSAM ISO/IEC19770-1を読み解く」〜

1. なぜ今SAMが必要なのか

2. SAMの取り組み

3. SAMの構築

4. SAMの運用にあたって

5. SAMの成功を握るシステム化

こちらから全文掲載のPDF版のダウンロードも可能です。

SAM機能概要へ戻る