開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/09/12

ソフトウェア資産管理のよくある誤解とは?セキュリティ・TCO削減・仮想化を考える

デロイト トーマツ サイバーセキュリティ先端研究所連載

「IT環境の高度化・複雑化」「サイバー攻撃の巧妙化」「ソフトウェアライセンサーによる知財保護活動活発化」などを背景に、ソフトウェア資産管理の重要性が日に日に高まっている。一方で、ソフトウェア資産管理は非常に誤解が多く、多くの組織において適切な取り組みが行われていない分野でもある。本稿ではソフトウェア資産管理について「よくある誤解」を解くとともに、その重要性、実現に向けたアプローチについて概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。

デロイト トーマツ サイバーセキュリティ先端研究所 野見山 雅史

デロイト トーマツ サイバーセキュリティ先端研究所 野見山 雅史

デロイトトーマツ サイバーセキュリティ先端研究所 主席研究員 大手システムインテグレータ、監査法人系コンサルティング会社を経て2002年に監査法人トーマツに入所。2010年7月よりデロイトトーマツリスクサービス株式会社のパートナーに就任。中央省庁、金融機関、ソフトウェア会社をはじめとする多様な業種・業界に対して主にITリスクに関するコンサルティング及び監査サービス(ソフトウェア資産管理、サイバーセキュリティ、個人情報保護、PCIDSS、IT内部統制等)を多数提供。CISSP(公認情報システムセキュリティ専門家)、CISA(公認情報システム監査人)、システム監査技術者の資格を有する。

ソフトウェア資産管理に関する誤解

 筆者はIT部門の担当役員や部門長とお話する機会が多くあるが、そのような見識ある方々でもソフトウェア資産管理については誤解をされている場合が多い。具体的によくある誤解としては次のものが挙げられる。

  1. ソフトウェア資産管理とは、ライセンスコンプライアンス(ソフトウェア使用許諾契約の遵守)のことである
  2. ソフトウェア資産管理は、ソフトウェア資産管理ツールを導入することで実現できる

 まずは1つめの誤解(ソフトウェア資産管理とは、ライセンスコンプライアンスのことである)を解くために、ソフトウェア資産管理の目的について確認しよう。

 一般社団法人ソフトウェア資産管理評価認定協会が定める「ソフトウェア資産管理基準」(Ver.4.1 2014年6月18日)ではソフトウェア資産管理の目的を次のように定義している。

リスク管理目的
・説明責任
・資産保全
・法的リスクの回避
・セキュリティ上の問題へ対処
・可用性の確保 等

コスト管理目的
・TCOの削減 等

競争上の優位性目的
・ソフトウェアの有効活用 等

 ライセンスコンプライアンスは上記目的のうち「説明責任」「法的リスクの回避」に該当し、ソフトウェア資産管理の重要な目的である。しかし、その他にも「セキュリティ上の問題へ対処」や「TCOの削減」といった目的も有している。

ソフトウェア資産管理とセキュリティ

 ソフトウェア資産管理と「セキュリティ上の問題へ対処」については、脆弱性管理との関連が深い。

 脆弱性管理とは、ソフトウェアが持つセキュリティ上の欠陥(脆弱性)を把握し、修正プログラム適用などの対応を行うことである。脆弱性はOSに限らず、各種アプリケーションソフトウェア(たとえばOffice、Adobe Reader、Flash、各種ブラウザなど)にも存在する。

 またソフトウェアのバージョンなどにより脆弱性の有無は異なる。そのため、脆弱性管理を行うためには、組織内のどのIT機器に、どのようなソフトウェアがインストールされているのかを、バージョンなどを含め網羅的に把握する必要がある。ソフトウェア資産管理を行うことで、脆弱性管理を行ううえでの前提条件を満たすことが可能になる。

 昨今、標的型攻撃と呼ばれるサイバー攻撃の多発により脆弱性管理の必要性が高まっている。標的型攻撃の概要は図1のとおりだが、図における「最初のエクスプロイト」においてPC等におけるソフトウェアの脆弱性が悪用される。

画像
図1 標的型攻撃の概要

 これまでサイバー攻撃といえば、Webサーバなどの公開サーバに対する攻撃が大半であった。その限りにおいては公開サーバを主な対象として脆弱性管理を行えば事足りていたが、標的型攻撃においては内部ネットワーク上のPCが攻撃対象となるため、脆弱性管理の対象範囲も内部ネットワーク上のPCまで拡大する必要がある。

 PC台数は組織によっては数千台から数万台にのぼるケースもあり、図2のとおり脆弱性も非常に多くのものが日々発見されている。そのため、脆弱性管理の前提としてソフトウェア資産管理が必要不可欠になってくるのである。

画像
図2 2014年の公表された脆弱性(1月から5月)

【次ページ】12ステップで進めるソフトウェア資産管理プロセス構築

IT資産管理・ソフトウェア資産管理 ジャンルのセミナー

IT資産管理・ソフトウェア資産管理 ジャンルのトピックス

IT資産管理・ソフトウェア資産管理 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!