• 会員限定
  • 2014/09/12 掲載

ソフトウェア資産管理のよくある誤解とは?セキュリティ・TCO削減・仮想化を考える

デロイト トーマツ サイバーセキュリティ先端研究所連載

記事をお気に入りリストに登録することができます。
「IT環境の高度化・複雑化」「サイバー攻撃の巧妙化」「ソフトウェアライセンサーによる知財保護活動活発化」などを背景に、ソフトウェア資産管理の重要性が日に日に高まっている。一方で、ソフトウェア資産管理は非常に誤解が多く、多くの組織において適切な取り組みが行われていない分野でもある。本稿ではソフトウェア資産管理について「よくある誤解」を解くとともに、その重要性、実現に向けたアプローチについて概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。

デロイト トーマツ サイバーセキュリティ先端研究所 野見山 雅史

デロイト トーマツ サイバーセキュリティ先端研究所 野見山 雅史

デロイトトーマツ サイバーセキュリティ先端研究所 主席研究員 大手システムインテグレータ、監査法人系コンサルティング会社を経て2002年に監査法人トーマツに入所。2010年7月よりデロイトトーマツリスクサービス株式会社のパートナーに就任。中央省庁、金融機関、ソフトウェア会社をはじめとする多様な業種・業界に対して主にITリスクに関するコンサルティング及び監査サービス(ソフトウェア資産管理、サイバーセキュリティ、個人情報保護、PCIDSS、IT内部統制等)を多数提供。CISSP(公認情報システムセキュリティ専門家)、CISA(公認情報システム監査人)、システム監査技術者の資格を有する。

ソフトウェア資産管理に関する誤解

 筆者はIT部門の担当役員や部門長とお話する機会が多くあるが、そのような見識ある方々でもソフトウェア資産管理については誤解をされている場合が多い。具体的によくある誤解としては次のものが挙げられる。

  1. ソフトウェア資産管理とは、ライセンスコンプライアンス(ソフトウェア使用許諾契約の遵守)のことである
  2. ソフトウェア資産管理は、ソフトウェア資産管理ツールを導入することで実現できる

 まずは1つめの誤解(ソフトウェア資産管理とは、ライセンスコンプライアンスのことである)を解くために、ソフトウェア資産管理の目的について確認しよう。

 一般社団法人ソフトウェア資産管理評価認定協会が定める「ソフトウェア資産管理基準」(Ver.4.1 2014年6月18日)ではソフトウェア資産管理の目的を次のように定義している。

リスク管理目的
・説明責任
・資産保全
・法的リスクの回避
・セキュリティ上の問題へ対処
・可用性の確保 等

コスト管理目的
・TCOの削減 等

競争上の優位性目的
・ソフトウェアの有効活用 等

 ライセンスコンプライアンスは上記目的のうち「説明責任」「法的リスクの回避」に該当し、ソフトウェア資産管理の重要な目的である。しかし、その他にも「セキュリティ上の問題へ対処」や「TCOの削減」といった目的も有している。

ソフトウェア資産管理とセキュリティ

 ソフトウェア資産管理と「セキュリティ上の問題へ対処」については、脆弱性管理との関連が深い。

 脆弱性管理とは、ソフトウェアが持つセキュリティ上の欠陥(脆弱性)を把握し、修正プログラム適用などの対応を行うことである。脆弱性はOSに限らず、各種アプリケーションソフトウェア(たとえばOffice、Adobe Reader、Flash、各種ブラウザなど)にも存在する。

 またソフトウェアのバージョンなどにより脆弱性の有無は異なる。そのため、脆弱性管理を行うためには、組織内のどのIT機器に、どのようなソフトウェアがインストールされているのかを、バージョンなどを含め網羅的に把握する必要がある。ソフトウェア資産管理を行うことで、脆弱性管理を行ううえでの前提条件を満たすことが可能になる。

 昨今、標的型攻撃と呼ばれるサイバー攻撃の多発により脆弱性管理の必要性が高まっている。標的型攻撃の概要は図1のとおりだが、図における「最初のエクスプロイト」においてPC等におけるソフトウェアの脆弱性が悪用される。

画像
図1 標的型攻撃の概要

 これまでサイバー攻撃といえば、Webサーバなどの公開サーバに対する攻撃が大半であった。その限りにおいては公開サーバを主な対象として脆弱性管理を行えば事足りていたが、標的型攻撃においては内部ネットワーク上のPCが攻撃対象となるため、脆弱性管理の対象範囲も内部ネットワーク上のPCまで拡大する必要がある。

 PC台数は組織によっては数千台から数万台にのぼるケースもあり、図2のとおり脆弱性も非常に多くのものが日々発見されている。そのため、脆弱性管理の前提としてソフトウェア資産管理が必要不可欠になってくるのである。

画像
図2 2014年の公表された脆弱性(1月から5月)

【次ページ】12ステップで進めるソフトウェア資産管理プロセス構築

関連タグ

あなたの投稿

関連コンテンツ

オンライン

多拠点・多グループ企業に必要な「PC操作ログ」の管理とは?

■このウェビナーは、以下の方におすすめです 1.情報漏洩対策としてPC操作ログの収集を行いたい 2.PC操作ログを収集しているが、どのように活用すべきかがわからない 3.多数のPCから操作ログ収集を行うことでネットワークにかかる負荷が心配 4.操作ログを利用して情報漏洩の兆候検知を行いたい ■「PC操作ログ」に求められる役割と課題 クラウドサービスの利用増加に伴い、社内でのランサムウェア感染などによるセキュリティ事故は後を絶ちません。 こうしたインシデントを防ぐために、PC操作ログを管理するといった対策が取っている企業も多いのではないでしょうか? しかし、PC操作ログ管理のためにツールを導入しても課題が解決できずにいる企業が散見されています。 ■内部要因からの脅威(不正行為、人的ミス)への対策 内部の不正行為はビジネス機会の損失や社会的信用の失墜など重大な被害を引き起こすこともあり、喫緊な対策が求められますが、兆候の検知が難しく事後の対策になってしまうことが多々あります。 このようなインシデントを防ぐためにも、PC操作ログを活用することが可能です。 ■大企業で選ばれる「PC操作ログ」の管理とは! 本セミナーでは基本的な操作ログの役割、管理方法に加えて、具体的なPC操作ログの活用方法に加えて、IT資産管理/セキュリティ管理統合システム「MCore」の特長と、効率的なPC操作ログの管理方法をご紹介します。 企業のセキュリティ対策としての操作ログの管理手法を知りたい方はぜひご参加ください。

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます