ソフトウェア資産管理でできるリスク管理とコスト削減、億円単位の請求を受けないために:IT導入完全ガイド(1/2 ページ)
大企業で4億円、中小企業で1億円の賠償請求。そんなリスクから逃れるために必要なソフトウェア資産管理の4つの台帳を紹介する。
監査補正料金はベンダーの計画に組み込まれていて、その売り上げが7割から8割に上るベンダーがあるといううわさもある。現在、ベンダー監査は以前ほど熱心ではないように見えるが、実際は報道されるケースが少なくなっているだけのようだ。ソフトウェア資産管理をきちんと実行して、ベンダーと正面から交渉できる企業が増えていることも影響しているかもしれない。今回は、ソフトウェア資産管理の基礎知識も含め、どのように管理を実現していくのかを考えてみる。
ソフトウェア資産管理の概念
ソフトウェア資産管理はシステム運用管理の一領域。ソフトウェアが導入されたハードウェアも管理することが前提になるため、ハードウェア資産管理とは一体となっている。どの端末が(あるいは誰の端末が)どのようなソフトウェアを導入し、実際に使っているかをデータベースで管理し、使用状況がソフトウェアのライセンス条件にかなっているかどうか、無駄に購入しているライセンスがないかどうかを、常に管理者が把握できるようにするのがソフトウェア資産管理だ。
つまり管理の対象は主にハードウェア、ソフトウェア、ライセンスの3種である。またライセンスの保有の証明となるのはライセンス証書やインストールメディアなどだが、その書類やメディアの所在を管理しておく必要がある。これには図1のような4つの台帳を、相互に関連付けて管理していくのが望ましい。
ソフトウェア資産管理でできるリスク管理とコスト削減
なぜこのような管理が必要なのかといえば、リスク管理とコスト削減に結び付くからだ。国内のベンダーを中心にした業界団体のSAMAC(ソフトウェア資産管理評価認定協会)では、同協会発行の「ソフトウェア資産管理基準」の中でソフトウェア資産に関連するリスク要因として次を挙げている。
- アカウンタビリティ(説明責任)を果たせなくなってしまう
- 資産を適切に保全していなければ、利用できなくなる可能性がある
- 著作権違反により提訴されるなどの法的問題が発生し、賠償など損害が発生する
- 内部管理体制の不備による法的問題が発生し、罰則を受けることになる
- 法的問題発生により、社会的信用を失う
- 非効率あるいは過剰なライセンスの購入による余分な費用負担が発生する
- ソフトウェア利用についての適切なサービス提供が維持できない
- 不適切なバージョンや設定のソフトウェアを利用することによりセキュリティ上の問題が発生する
- ソフトウェアを効果的に利用できないことにより競争力が不足あるいは低下する
アカウンタビリティに関しては前回記事を参照すれば納得できることだろう。法的問題の発生リスクとして懸念されるのは、損害賠償請求の訴訟につながることだ。現実にライセンス違反が明らかになってベンダーに求められた是正措置を取らなかった企業に対して、4億円超の損害賠償が求められる事案も起きている。1億円以上の賠償請求が中小企業に対して行われたこともある。企業存続にも関わる問題だ。しかしこれらは非常に悪質なケースであり、一般的には監査補正に応じて訴訟には至らないことの方が多い。また過剰ライセンス購入の問題、セキュリティ上の問題は、どんな企業でも関心のあるところだろう。
これらのリスクを避けてコストを最適化できるのがソフトウェア資産管理というわけだ。ただしソフトウェア資産だけを見ていても適正な管理は実現できない。システム環境の変化をできるだけ早期に反映して、常に適正なソフトウェア運用ができるようでなければならず、システム構成管理・変更管理などの運用管理とリンクしなければならない。
コラム:関連する標準、ベストプラクティス、団体
本格的にソフトウェア資産管理を考える時は、運用管理の在り方そのものの中にソフトウェア資産管理を位置付け、必要な方針・規定・手続きを作成し、管理可能な組織作りをし、運用管理体制を構築する必要がある。特に運用管理において国際標準として受け入れられているものにITIL(Information Technology Infrastructure Library)がある。ISO/IEC 20000、ISO/IEC 19770なども参照すべき規格だ。SAMACのソフトウェア資産管理基準はISO/IEC 19770-1:2012に準拠して作成されている。
また世界のITユーザー8000組織以上が参加する国際IT資産管理者協会(IAITAM、日本支部は2011年からサービス提供)は「IBPL:IAITAM Best Practice Library」の開発や情報提供を行っているので、こちらも参考にしたい。
なお、SAMACやIAITAMはソフトウェア資産管理に携わる人材の認定も行っている。SAMACでは公認SAMコンサルタント(CSC)、公認SAMコンサルティング事業者(CSCC)、IAITAMでは認定ソフトウェア資産管理者(CSAM)を認定している。
こうした専門性を持った人材によるコンサルティングやサポートを得ることは、自社ならではのソフトウェア資産管理体制を構築するための早道になるだろう。コストが発生することはやむを得ないが、ソフトウェア資産管理は将来もずっと継続して取り組む課題であることを考えると、社内へのノウハウの取り込みや人材育成のためにも、少なくとも管理が軌道に乗るまでの専門家サポートはあった方が良い。
Copyright © ITmedia, Inc. All Rights Reserved.