ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2014/09/12 掲載

ソフトウェア資産管理のよくある誤解とは?セキュリティ・TCO削減・仮想化を考える

デロイト トーマツ サイバーセキュリティ先端研究所連載

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
「IT環境の高度化・複雑化」「サイバー攻撃の巧妙化」「ソフトウェアライセンサーによる知財保護活動活発化」などを背景に、ソフトウェア資産管理の重要性が日に日に高まっている。一方で、ソフトウェア資産管理は非常に誤解が多く、多くの組織において適切な取り組みが行われていない分野でもある。本稿ではソフトウェア資産管理について「よくある誤解」を解くとともに、その重要性、実現に向けたアプローチについて概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。

デロイト トーマツ サイバーセキュリティ先端研究所 野見山 雅史

デロイト トーマツ サイバーセキュリティ先端研究所 野見山 雅史

デロイトトーマツ サイバーセキュリティ先端研究所 主席研究員 大手システムインテグレータ、監査法人系コンサルティング会社を経て2002年に監査法人トーマツに入所。2010年7月よりデロイトトーマツリスクサービス株式会社のパートナーに就任。中央省庁、金融機関、ソフトウェア会社をはじめとする多様な業種・業界に対して主にITリスクに関するコンサルティング及び監査サービス(ソフトウェア資産管理、サイバーセキュリティ、個人情報保護、PCIDSS、IT内部統制等)を多数提供。CISSP(公認情報システムセキュリティ専門家)、CISA(公認情報システム監査人)、システム監査技術者の資格を有する。

ソフトウェア資産管理に関する誤解

 筆者はIT部門の担当役員や部門長とお話する機会が多くあるが、そのような見識ある方々でもソフトウェア資産管理については誤解をされている場合が多い。具体的によくある誤解としては次のものが挙げられる。

  1. ソフトウェア資産管理とは、ライセンスコンプライアンス(ソフトウェア使用許諾契約の遵守)のことである
  2. ソフトウェア資産管理は、ソフトウェア資産管理ツールを導入することで実現できる

 まずは1つめの誤解(ソフトウェア資産管理とは、ライセンスコンプライアンスのことである)を解くために、ソフトウェア資産管理の目的について確認しよう。

 一般社団法人ソフトウェア資産管理評価認定協会が定める「ソフトウェア資産管理基準」(Ver.4.1 2014年6月18日)ではソフトウェア資産管理の目的を次のように定義している。

リスク管理目的
・説明責任
・資産保全
・法的リスクの回避
・セキュリティ上の問題へ対処
・可用性の確保 等

コスト管理目的
・TCOの削減 等

競争上の優位性目的
・ソフトウェアの有効活用 等

 ライセンスコンプライアンスは上記目的のうち「説明責任」「法的リスクの回避」に該当し、ソフトウェア資産管理の重要な目的である。しかし、その他にも「セキュリティ上の問題へ対処」や「TCOの削減」といった目的も有している。

ソフトウェア資産管理とセキュリティ

連載一覧

▲ 閉じる ▼ すべて表示

 ソフトウェア資産管理と「セキュリティ上の問題へ対処」については、脆弱性管理との関連が深い。

 脆弱性管理とは、ソフトウェアが持つセキュリティ上の欠陥(脆弱性)を把握し、修正プログラム適用などの対応を行うことである。脆弱性はOSに限らず、各種アプリケーションソフトウェア(たとえばOffice、Adobe Reader、Flash、各種ブラウザなど)にも存在する。

 またソフトウェアのバージョンなどにより脆弱性の有無は異なる。そのため、脆弱性管理を行うためには、組織内のどのIT機器に、どのようなソフトウェアがインストールされているのかを、バージョンなどを含め網羅的に把握する必要がある。ソフトウェア資産管理を行うことで、脆弱性管理を行ううえでの前提条件を満たすことが可能になる。

 昨今、標的型攻撃と呼ばれるサイバー攻撃の多発により脆弱性管理の必要性が高まっている。標的型攻撃の概要は図1のとおりだが、図における「最初のエクスプロイト」においてPC等におけるソフトウェアの脆弱性が悪用される。

画像
図1 標的型攻撃の概要

 これまでサイバー攻撃といえば、Webサーバなどの公開サーバに対する攻撃が大半であった。その限りにおいては公開サーバを主な対象として脆弱性管理を行えば事足りていたが、標的型攻撃においては内部ネットワーク上のPCが攻撃対象となるため、脆弱性管理の対象範囲も内部ネットワーク上のPCまで拡大する必要がある。

 PC台数は組織によっては数千台から数万台にのぼるケースもあり、図2のとおり脆弱性も非常に多くのものが日々発見されている。そのため、脆弱性管理の前提としてソフトウェア資産管理が必要不可欠になってくるのである。

画像
図2 2014年の公表された脆弱性(1月から5月)

【次ページ】12ステップで進めるソフトウェア資産管理プロセス構築

関連タグ

関連コンテンツ

記事
IT資産管理・ソフトウェア資産管理

実は8割超がやっている、IT資産管理ツールのクラウド移行とセキュリティ対策とは?

これまでIT資産管理・セキュリティ対策には、オンプレミス型のツールが使われることが多かった。しかし、テレワークやハイブリッドワークが普及した現在では、クラウド型のIT資産管理ツールを利用する動きが加速している。移行を検討する企業はクラウド版ツールの選び方に、すでに移行を終えた企業はクラウドサービスの適切な活用法に悩まされているのではないだろうか。本稿ではその最適解を探る。

記事
IT資産管理・ソフトウェア資産管理

IT部門が「PCマネジメント」を軽視してはいけないワケ、ITR金谷氏が解説

多くの企業がデジタルトランスフォーメーション(DX)によるビジネス変革を進める中、IT部門では「いかにビジネスに貢献する社内ITを展開するか」が課題となっている。本稿では、その取り組みの中でもWindows移行やリモートワーク対応などさまざまな課題を抱えるPCマネジメントについて焦点を当てる。アイ・ティ・アール(以下ITR)取締役を務める金谷 敏尊 氏が技術トレンドや市場動向を踏まえながら、企業競争力にも貢献できる効果的なPCマネジメントの在り方について解説する。

記事
IT資産管理・ソフトウェア資産管理

情シスは答えられて当たり前? 知らなければ失敗する「ゼロトラスト」基礎のキソ

情シスは答えられて当たり前? 知らなければ失敗する「ゼロトラスト」基礎のキソ ここ数年、テレワーク移行やクラウドサービスの活用が進んだことにより、企業システムの内部と外部の境界は曖昧になってきており、これまで主流であった境界防御は通用しなくなってきている。そこで注目を浴びるようになったのが、守るべき資産に対するアクセスをすべて検証するゼロトラストだ。しかし、ゼロトラストの重要性が語られるようになったものの、ポイントを正しく理解できていない人も少なくない。本記事では、なぜゼロトラストが重要なのか、ゼロトラストを導入する上での留意点などについて解説する。

記事
IT資産管理・ソフトウェア資産管理

Active Directory(アクティブディレクトリ)をゼロから解説、関連用語もまとめて紹介

Active Directory(アクティブディレクトリ:AD)とはWindows Serverに備わっている機能で、組織のシステム管理者がユーザーを管理するのに非常に有用なシステムです。ただし、その役割を説明する上では、普段ITに馴染みのない人にはピンとこない用語がいくつか出てきます。用語の意味を1つひとつ押さえながら、Active Directoryの仕組みやメリット・デメリットについて理解を深めていきましょう。

記事
IT資産管理・ソフトウェア資産管理

9割の企業が「IT資産管理」に問題ありの衝撃データ、ヤバい現状に対処する必須項目3つ

働き方改革によってテレワークやBYOD(私的デバイスの持ち込み)が一般的になってきた。その一方で、管理対象となるIT端末や、利用する外部公開サーバなどが急増、多くの企業はIT資産を管理・把握しきれない状況に陥っている。外部公開サーバの管理状況に関する調査によると、実に9割の企業で問題点が見つかったという。こうした状況が、サイバー攻撃の格好の標的になっていることは言うまでもない。そこで注目を集めているのが、IT資産管理やエンドポイントセキュリティだ。では具体的にどう対処していくべきなのか。

記事
IT資産管理・ソフトウェア資産管理

監視エージェント「SKYSEA Client View」の脆弱性、Skyの対応に問題はあったのか

数年前から検知されていた政府機関やインフラ事業者へのサイバー攻撃の手段の一つとして、大手ITベンダーのセキュリティ関連ソフトの脆弱性が利用されていたことが、4月11日付けの朝日新聞によって報道された。利用されたのは、セキュリティソフトベンダー、Skyの「SKYSEA Client View」という監視エージェントソフトだ。すでにパッチは配布されているが、この問題によってセキュリティ対策ソフトの脆弱性についての議論が再燃した。

イベント・セミナー
オンライン
オンライン

なぜ、ライセンス管理の自動化ツールへの投資が無駄になるのか?

IT資産管理の課題は、いわゆる「IT資産管理ツール」と呼ばれる自動化ツールを導入することが解決のための一つの手段として用いられます。 しかしながら、IT資産管理、とりわけソフトウェアライセンス管理においては、要求される「ビジネス要件」を紐解いた上で、それをツールの管理メトリクスへ正確に落とし込む必要があり、ツールを導入しただけでIT資産管理が実現する魔法のツールでは決してありません。 ところが、この作業はライセンスの使用許諾条件を読み解くというケイパビリティが要求されるために、運用チームだけで取り組むには非常に困難な場合が多く、そのため、現場のツール運用者がツールの運用において求められる結果を得ることができず、事実に反して結果的に使えないと評価されてしまい、無駄な投資をしたツールが残ってしまうケースが少なくありません。 本セミナーでは、ServiceNow SAM Professional を例に、Oracle製品におけるライセンス管理の事例を元に、資産管理のためにビジネス要件をツールへ落とし込む際に注意すべきポイントを解説いたします。
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample