いま抑えておくべきAsia Pacificにおけるソフトウェア資産管理(SAM)のポイント ブックマークが追加されました
ナレッジ
いま抑えておくべきAsia Pacificにおけるソフトウェア資産管理(SAM)のポイント
APリスクアドバイザリー ニュースレター(2022年1月24日)
世界中で猛威を振るうCOVID-19をきっかけに、リモートワークを始めた企業は多く、在タイの日系企業も例外ではない。この過程で十分な準備期間を確保することができずに見切り発車で運用を始めたケースも散見されるのが実態だろう。
急遽リモートワーク用にノートPCを新規購入し、業務に必要なソフトウェアをインストールし、セキュリティの設定を大急ぎで行い、リモートワークを開始したケースも筆者の周りでも複数の企業から聞いている。
当時の混乱を考えれば、日常業務への影響を最小化することが最優先であり、BCPの観点からも当時の対応としての合理性はあるが、この裏側で、あるリスクの急増に注視できた企業は少なかったのではないだろうか。また、現時点でもそのリスクに気づかず、あるいは、顕在化したリスクにも引き続き手が回らずに打ち手を実行できていないケースもあるのではないだろうか。
そのリスクとは、ソフトウェア管理に関するリスクである。日系企業においては、海外拠点におけるガバナンスの高度化のための手段を様々講じているかと思われるが、ソフトウェア資産管理におけるリスクは後回しになりやすい。本稿では、そのリスクを概観しつつ、対応策としてのソフトウェア資産管理(Software Asset Management、以下「SAM」)のポイントを説明する。経費節約のために、現地ではインターネット上で配布されているフリーソフトを気軽にダウンロードしている場合もあり「当社のソフトウェア管理は必要十分だろうか」と振り返る契機としていただければ幸いである。
ソフトウェア管理に関するリスクとその対応策
ソフトウェア管理に関するリスクとは、「所有しているソフトウェア(SW)」と「使用しているソフトウェア(SW)」の乖離から生じるものであり、その発生パターンとリスク種類を以下の図表にまとめる。
【図:リスクの発生パターン】
SWを |
所有 |
非所有 |
---|---|---|
使用 |
(正常) |
コンプライアンス |
未使用 |
コスト |
(該当なし) |
【図:リスク種類と具体例】
リスク種類 |
リスクの具体例 |
---|---|
コンプライアンス |
|
セキュリティ |
|
コスト |
|
ガバナンス |
|
上述したリモートワーク用のノートPCの追加購入では、大量のPCへのソフトウェアインストールに伴う契約ライセンス数の超過が「コンプライアンスのリスク」であったが、リモートワークが続けば適切なセキュリティ対策が維持されていないソフトウェアの発生が「セキュリティに関するリスク」となる。将来的にオフィスワークに戻れば、使われないライセンスが「コストに係るリスク」となり、また使われなくなり所有者が不明確なノートPCが「ガバナンス上のリスク」として顕在化するだろう。
これに対して、企業としては何かしらの対応策を講じる必要があり、そのための方法論としてSAM(ソフトウェア資産管理)がある。SAMとはハードウェア・利用ソフトウェア・保有ライセンスを対象とした「ライセンスコンプライアンス」「情報セキュリティの維持・向上」「IT投資の最適化」を目的とした活動と述べられている(一般財団法人日本情報経済社会推進協会 作成 ユーザーガイドより抜粋・引用。以下「同ガイド」と呼ぶ)
同ガイドでは「SAM ができている状態」として以下の4つを要件としている
- SAM に関する方針及び体制が定められている。
- SAM に関する規程類が策定されている。
- SAM に関する規程類の定めたとおりに運用されている。
- SAM の状況を内外に示すことができる。
4要件のそれぞれのポイントを以下の図表にまとめる。
【図:SAMの目的達成の4要件】
つまり、組織の方針を推進する体制があり、その方針が明文化され、文章のとおりに運用されており、さらにそれらを全公表できなければ、目的が達成しているとは言えないのである。
SAMを始める第一歩
ここまで読んで頂き、SAMの考え方や、あるべき姿は分かったが、実際に自社で何から手をつけたらよいか分からない、また取り組みの為のリソース(人・時間・対応予算)確保の理解が得にくいという声があると思われる。
確かにゼロベースで上記の4要件の達成を目指すよりも、現組織内にある仕組みをベースとし、不足を補った方が効率的なケースも多いだろう。何よりも現状に関する正しい理解と、これまでの取り組みを活かした合理的な取り組み案が無ければ、自社内でSAMに取組むことの理解を得ることは難しいかもしれない。
従って、SAMの第一歩として所有・使用するソフトウェアの棚卸を推奨したい。もしそこで自社の仕組みにネガティブな発見事項があれば、その急所、高リスクな場所から手を打ち、その効果を将来にわたって担保する仕組みを作るのが現実的なアプローチであろう。その流れを以下の図表にまとめる。
【図:SAM達成に向けた効果的なアプローチ】
具体的には、上図でいうPurchase & Entitlement Recordsが所有ソフトウェア、Discover Software Deploymentsが使用ソフトウェアにあたり、その情報収集が棚卸である。
この棚卸を本格的に行う場合、所有ソフトウェアについては過去の購買履歴の精査、また使用ソフトウェアについてはログから情報を収集するツールの使用が必要であり、相応にハードルが高い作業となる。本格的な調査の深度を決めるための予備調査の目的では、過去のソフトウェア台帳(少なくとも経理は保有していると認識している)などの代用が考えられる。また使用するソフトウェアについては、自部門のメンバーのPCのデスクトップ上に見慣れないアイコンがあれば質問してみるのも、有効なアプローチである。上記でも申し上げたが筆者の経験上、インターネット上で配布されているフリーソフトをダウンロードし、業務上使用しているケースはかなり多い。これは会社の方針として認められておらず、当然所有もしていないが、頻繁に使用されているソフトウェアの典型例である。
その話の派生として、インストール時に外部との通信を行う悪意あるソフトウェアが同時にインストールされ、情報漏洩などの問題につながってしまったケースも残念ながら聞いている。これは泥棒を自社に招き入れているに等しい行為であり、外部からの不正アクセス等へのセキュリティ対策をしていたとしても無駄になってしまうだろう。このように、想定していなかったリスクにいつの間にか直面していないか、一定期間ごとに実態を把握して問題を未然に防ぐための手段としても棚卸を実施する意義があると言える。
上述の通り、この「第一歩」の結果を踏まえて貴社内での取り組み方針を決めて頂くことを推奨する。
「うちのソフトウェア管理は必要かつ十分だろうか」という問いを立て、貴社としての回答をあらためて考えて頂きたい。
本稿に関連するデロイト トーマツ グループのサービスのご紹介
- SAM現状評価サービス
- ライセンス遵守状況評価/最適化サービス
- SAMマネージドサービス
著者:伊藤 寛明
※本ニュースレターは、2022年1月24日に投稿された内容です。
アジアパシフィック領域でのリスクアドバイザリーに関するお問い合わせは、以下のメールアドレスまでご連絡ください。
その他の記事
アジアパシフィック地域のリスクアドバイザリー
アジアパシフィック地域の最新情報|日系企業支援チームのご紹介
レギュレーション対応:サービス・ナレッジ紹介
アジアパシフィック地域におけるリスクアドバイザリー