Audit Analytics

サービス

内部監査として取り組むべきIT資産管理(ITAM)/ ソフトウェア資産管理(SAM)

IT資産管理による必要情報の網羅性・正確性、管理の一元化の実現

サイバー攻撃の複雑化や組織が管理するIT資産の増大により、ウイルス感染や情報漏洩等のセキュリティインシデントリスクやソフトウェアライセンスのコンプライアンス違反リスクへの対応の重要性が増しています。これらのリスクに対応するためには、網羅的なIT資産管理を実現できる体制を整備することが必要です。

IT資産が増大する現代において、IT資産管理の体制整備が求められています

サイバー攻撃の複雑化や組織が管理するIT資産の増大により、ウイルス感染や情報漏洩等のセキュリティインシデントリスクやソフトウェアライセンスのコンプライアンス違反リスクへの対応の重要性が増しています。これらのリスクに対応するためには、網羅的なIT資産管理を実現できる体制を整備することが必要です。

デロイト トーマツでは、IT資産の棚卸による現状把握からIT資産管理・ソフトウェア資産管理の評価・高度化を支援します。

 

企業のセキュリティ対策は全社的に取り組むべき課題となっており、内部監査部門は第三のディフェンスラインとしての役割が求められています

サイバー攻撃は近年複雑かつ高度になっており、甚大な社会的被害をもたらしています。企業のセキュリティ対策は、IT部門だけの問題ではなく、全社的に取り組むべき課題となっており、内部監査部門は第三のディフェンスラインとしての役割が求められています。また、取締役会や監査委員会は、サイバーセキュリティリスクに備えるうえで組織のサイバーレディネス(サイバー攻撃に対する準備の度合)の状態に関して内部監査部門が独立的で客観的な視点を持つことを求めています。

 

多くの組織ではIT資産管理における必要情報の網羅性・正確性、管理の一元化等に問題があり、脆弱性対応やインシデント対応等が迅速かつ全社的にできない原因の1つとなっています

セキュリティ管理観点でのIT資産管理の課題として、重大な脆弱性が公開された際やマルウェア感染等のインシデントが発生した際に、影響範囲が特定できず、適切なセキュリティ対策を迅速に講じることができない可能性があります。例えば、この原因として、組織が保有するIT資産の全量を把握しておらず、導入されている管理ツールの管理範囲が一部の資産に限定されていることなどが考えられます。

また、セキュリティ管理に必要なソフトウェア情報やパッチ情報等が網羅的に把握されておらず、情報に誤りや記載漏れ等が発生し、正確な情報が把握できないケースも見受けられます。さらに、IT資産やソフト情報が最新の状態に更新されておらず、管理においても部門や拠点ごとに独自管理を行っているため、一元的にIT資産を把握できないなどの問題が散見されます。

 

【セキュリティ管理観点でのIT資産管理の課題】

セキュリティ管理観点でのIT資産管理の課題
※画像をクリックすると拡大表示します

 

IT資産管理が十分でない場合、ソフトウェアのライセンス違反リスクを未然に防ぐことができず、膨大な是正費用が発生する場合があります

ライセンス保有管理において、ライセンスの調達や契約が一本化されておらず、組織が保有するライセンスの全量が把握できていないケースや、ライセンス保有証明が適切に保管されていない等の課題が見受けられます。例えば、ライセンス購入が各拠点のネットワークごとにバラバラで行われている場合、組織全体で購入しているライセンスを把握できず、どのデバイスにどのソフトウェアがインストールされ、どんなライセンスを割り当てているのかを把握することが困難になります。IT資産管理を十分に行うためには、セキュリティ管理観点と共通して、ライセンスの使用状況を網羅的かつ正確に把握することが求められます。

また、これらの取り組みが十分でない状況下において、ライセンス監査でライセンス違反が見つかると、ライセンサーに是正交渉の主導権を握られ、実態に即さない是正や膨大な是正費用が発生するなど、自社に有利な是正交渉ができない可能性が考えられます。

 

【ライセンス管理観点でのIT資産管理の課題】

ライセンス管理観点でのIT資産管理の課題
※画像をクリックすると拡大表示します

 

デロイト トーマツでは、独自のインベントリ収集ツールなどを用いた現在のIT資産管理の実態調査(網羅性・正確性や管理項目の妥当性、適時性等)や、あるべき姿の段階的な実現を、豊富な経験に基づいて支援します

セキュリティ管理観点でのIT資産管理アプローチとして、ツールを使った分析やヒアリングをもとに、組織が現状で管理しているIT資産情報(IT資産管理台帳やIT資産管理システム)の調査を支援します。IT資産管理の取り組みを全社的に向上させることにより、迅速な脆弱性対応やインシデント対応等を講じることができます。

ライセンス管理観点でのIT資産管理アプローチとして、組織が現状で利用しているソフトウェア製品のライセンスコンプライアンス遵守状況の調査を支援します。ライセンス管理観点でのIT資産管理を向上させることにより、ソフトウェアライセンスのコンプライアンスリスクやコストリスクを未然に防ぐことができます。

 

【デロイト トーマツが提供するライセンス管理の最適化イメージ】

デロイト トーマツが提供するライセンス管理の最適化イメージ
※画像をクリックすると拡大表示します
デロイト トーマツの提供価値
※画像をクリックすると拡大表示します

 

※ 貴社および貴社の関係会社とデロイト トーマツ グループの関係において監査人としての独立性が要求される場合、 本サービス内容がご提供できない可能性があります。 詳細はお問合せください。

プロフェッショナル

仁木 一彦/Kazuhiko Niki

仁木 一彦/Kazuhiko Niki

有限責任監査法人トーマツ パートナー

オペレーショナルリスク・プラクティスの日本責任者、IR(統合型リゾート)ビジネス・プラクティスの責任者を務める。 公認会計士、公認内部監査人、公認不正検査士。 2000年公認会計士登録。 【オペレーショナルリスク・プラクティス】 15年以上にわたり、リスクアドバイザリー業務に従事し、オペレーショナル・リスク領域のプロジェクト責任者を多数務める。 専門分野は、コーポレートガバナンス、内部統制、内部監... さらに見る

野見山 雅史/Masafumi Nomiyama

野見山 雅史/Masafumi Nomiyama

デロイト トーマツ グループ

デロイト トーマツ サイバー合同会社 COO 大手システムインテグレータ、監査法人系コンサルティング会社を経て2002年に有限責任監査法人トーマツに入社。2010年7月よりデロイト トーマツ リスクサービス株式会社のパートナーに就任。 中央省庁、金融、テクノロジー、コンシューマビジネス等の多様な業種・業界に対してITリスクに関するコンサルティング及び監査サービス(サイバーセキュリティ、プライバシ、... さらに見る