• 会員限定
  • 2014/09/12 掲載

ソフトウェア資産管理のよくある誤解とは?セキュリティ・TCO削減・仮想化を考える

デロイト トーマツ サイバーセキュリティ先端研究所連載

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
「IT環境の高度化・複雑化」「サイバー攻撃の巧妙化」「ソフトウェアライセンサーによる知財保護活動活発化」などを背景に、ソフトウェア資産管理の重要性が日に日に高まっている。一方で、ソフトウェア資産管理は非常に誤解が多く、多くの組織において適切な取り組みが行われていない分野でもある。本稿ではソフトウェア資産管理について「よくある誤解」を解くとともに、その重要性、実現に向けたアプローチについて概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。

ソフトウェア資産管理に関する誤解

 筆者はIT部門の担当役員や部門長とお話する機会が多くあるが、そのような見識ある方々でもソフトウェア資産管理については誤解をされている場合が多い。具体的によくある誤解としては次のものが挙げられる。

  1. ソフトウェア資産管理とは、ライセンスコンプライアンス(ソフトウェア使用許諾契約の遵守)のことである
  2. ソフトウェア資産管理は、ソフトウェア資産管理ツールを導入することで実現できる

 まずは1つめの誤解(ソフトウェア資産管理とは、ライセンスコンプライアンスのことである)を解くために、ソフトウェア資産管理の目的について確認しよう。

 一般社団法人ソフトウェア資産管理評価認定協会が定める「ソフトウェア資産管理基準」(Ver.4.1 2014年6月18日)ではソフトウェア資産管理の目的を次のように定義している。

リスク管理目的
・説明責任
・資産保全
・法的リスクの回避
・セキュリティ上の問題へ対処
・可用性の確保 等

コスト管理目的
・TCOの削減 等

競争上の優位性目的
・ソフトウェアの有効活用 等

 ライセンスコンプライアンスは上記目的のうち「説明責任」「法的リスクの回避」に該当し、ソフトウェア資産管理の重要な目的である。しかし、その他にも「セキュリティ上の問題へ対処」や「TCOの削減」といった目的も有している。

ソフトウェア資産管理とセキュリティ

 ソフトウェア資産管理と「セキュリティ上の問題へ対処」については、脆弱性管理との関連が深い。

 脆弱性管理とは、ソフトウェアが持つセキュリティ上の欠陥(脆弱性)を把握し、修正プログラム適用などの対応を行うことである。脆弱性はOSに限らず、各種アプリケーションソフトウェア(たとえばOffice、Adobe Reader、Flash、各種ブラウザなど)にも存在する。

 またソフトウェアのバージョンなどにより脆弱性の有無は異なる。そのため、脆弱性管理を行うためには、組織内のどのIT機器に、どのようなソフトウェアがインストールされているのかを、バージョンなどを含め網羅的に把握する必要がある。ソフトウェア資産管理を行うことで、脆弱性管理を行ううえでの前提条件を満たすことが可能になる。

 昨今、標的型攻撃と呼ばれるサイバー攻撃の多発により脆弱性管理の必要性が高まっている。標的型攻撃の概要は図1のとおりだが、図における「最初のエクスプロイト」においてPC等におけるソフトウェアの脆弱性が悪用される。

画像
図1 標的型攻撃の概要

 これまでサイバー攻撃といえば、Webサーバなどの公開サーバに対する攻撃が大半であった。その限りにおいては公開サーバを主な対象として脆弱性管理を行えば事足りていたが、標的型攻撃においては内部ネットワーク上のPCが攻撃対象となるため、脆弱性管理の対象範囲も内部ネットワーク上のPCまで拡大する必要がある。

 PC台数は組織によっては数千台から数万台にのぼるケースもあり、図2のとおり脆弱性も非常に多くのものが日々発見されている。そのため、脆弱性管理の前提としてソフトウェア資産管理が必要不可欠になってくるのである。

画像
図2 2014年の公表された脆弱性(1月から5月)

【次ページ】12ステップで進めるソフトウェア資産管理プロセス構築

関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます