内部監査として取り組むべきIT資産管理(ITAM)/ ソフトウェア資産管理(SAM) ブックマークが追加されました
サービス
内部監査として取り組むべきIT資産管理(ITAM)/ ソフトウェア資産管理(SAM)
IT資産管理による必要情報の網羅性・正確性、管理の一元化の実現
サイバー攻撃の複雑化や組織が管理するIT資産の増大により、ウイルス感染や情報漏洩等のセキュリティインシデントリスクやソフトウェアライセンスのコンプライアンス違反リスクへの対応の重要性が増しています。これらのリスクに対応するためには、網羅的なIT資産管理を実現できる体制を整備することが必要です。
目次
- IT資産が増大する現代において、IT資産管理の体制整備が求められています
- 企業のセキュリティ対策は全社的に取り組むべき課題となっており、内部監査部門は第三のディフェンスラインとしての役割が求められています
- 多くの組織ではIT資産管理における必要情報の網羅性・正確性、管理の一元化等に問題があり、脆弱性対応やインシデント対応等が迅速かつ全社的にできない原因の1つとなっています
- IT資産管理が十分でない場合、ソフトウェアのライセンス違反リスクを未然に防ぐことができず、膨大な是正費用が発生する場合があります
- デロイト トーマツでは、独自のインベントリ収集ツールなどを用いた現在のIT資産管理の実態調査(網羅性・正確性や管理項目の妥当性、適時性等)や、あるべき姿の段階的な実現を、豊富な経験に基づいて支援します
IT資産が増大する現代において、IT資産管理の体制整備が求められています
サイバー攻撃の複雑化や組織が管理するIT資産の増大により、ウイルス感染や情報漏洩等のセキュリティインシデントリスクやソフトウェアライセンスのコンプライアンス違反リスクへの対応の重要性が増しています。これらのリスクに対応するためには、網羅的なIT資産管理を実現できる体制を整備することが必要です。
デロイト トーマツでは、IT資産の棚卸による現状把握からIT資産管理・ソフトウェア資産管理の評価・高度化を支援します。
企業のセキュリティ対策は全社的に取り組むべき課題となっており、内部監査部門は第三のディフェンスラインとしての役割が求められています
サイバー攻撃は近年複雑かつ高度になっており、甚大な社会的被害をもたらしています。企業のセキュリティ対策は、IT部門だけの問題ではなく、全社的に取り組むべき課題となっており、内部監査部門は第三のディフェンスラインとしての役割が求められています。また、取締役会や監査委員会は、サイバーセキュリティリスクに備えるうえで組織のサイバーレディネス(サイバー攻撃に対する準備の度合)の状態に関して内部監査部門が独立的で客観的な視点を持つことを求めています。
多くの組織ではIT資産管理における必要情報の網羅性・正確性、管理の一元化等に問題があり、脆弱性対応やインシデント対応等が迅速かつ全社的にできない原因の1つとなっています
セキュリティ管理観点でのIT資産管理の課題として、重大な脆弱性が公開された際やマルウェア感染等のインシデントが発生した際に、影響範囲が特定できず、適切なセキュリティ対策を迅速に講じることができない可能性があります。例えば、この原因として、組織が保有するIT資産の全量を把握しておらず、導入されている管理ツールの管理範囲が一部の資産に限定されていることなどが考えられます。
また、セキュリティ管理に必要なソフトウェア情報やパッチ情報等が網羅的に把握されておらず、情報に誤りや記載漏れ等が発生し、正確な情報が把握できないケースも見受けられます。さらに、IT資産やソフト情報が最新の状態に更新されておらず、管理においても部門や拠点ごとに独自管理を行っているため、一元的にIT資産を把握できないなどの問題が散見されます。
【セキュリティ管理観点でのIT資産管理の課題】
IT資産管理が十分でない場合、ソフトウェアのライセンス違反リスクを未然に防ぐことができず、膨大な是正費用が発生する場合があります
ライセンス保有管理において、ライセンスの調達や契約が一本化されておらず、組織が保有するライセンスの全量が把握できていないケースや、ライセンス保有証明が適切に保管されていない等の課題が見受けられます。例えば、ライセンス購入が各拠点のネットワークごとにバラバラで行われている場合、組織全体で購入しているライセンスを把握できず、どのデバイスにどのソフトウェアがインストールされ、どんなライセンスを割り当てているのかを把握することが困難になります。IT資産管理を十分に行うためには、セキュリティ管理観点と共通して、ライセンスの使用状況を網羅的かつ正確に把握することが求められます。
また、これらの取り組みが十分でない状況下において、ライセンス監査でライセンス違反が見つかると、ライセンサーに是正交渉の主導権を握られ、実態に即さない是正や膨大な是正費用が発生するなど、自社に有利な是正交渉ができない可能性が考えられます。
【ライセンス管理観点でのIT資産管理の課題】
デロイト トーマツでは、独自のインベントリ収集ツールなどを用いた現在のIT資産管理の実態調査(網羅性・正確性や管理項目の妥当性、適時性等)や、あるべき姿の段階的な実現を、豊富な経験に基づいて支援します
セキュリティ管理観点でのIT資産管理アプローチとして、ツールを使った分析やヒアリングをもとに、組織が現状で管理しているIT資産情報(IT資産管理台帳やIT資産管理システム)の調査を支援します。IT資産管理の取り組みを全社的に向上させることにより、迅速な脆弱性対応やインシデント対応等を講じることができます。
ライセンス管理観点でのIT資産管理アプローチとして、組織が現状で利用しているソフトウェア製品のライセンスコンプライアンス遵守状況の調査を支援します。ライセンス管理観点でのIT資産管理を向上させることにより、ソフトウェアライセンスのコンプライアンスリスクやコストリスクを未然に防ぐことができます。
【デロイト トーマツが提供するライセンス管理の最適化イメージ】
※ 貴社および貴社の関係会社とデロイト トーマツ グループの関係において監査人としての独立性が要求される場合、 本サービス内容がご提供できない可能性があります。 詳細はお問合せください。
プロフェッショナル
仁木 一彦/Kazuhiko Niki
デロイト トーマツ リスクアドバイザリー パートナー
野見山 雅史/Masafumi Nomiyama
デロイト トーマツ サイバー合同会社 パートナー
目次
- IT資産が増大する現代において、IT資産管理の体制整備が求められています
- 企業のセキュリティ対策は全社的に取り組むべき課題となっており、内部監査部門は第三のディフェンスラインとしての役割が求められています
- 多くの組織ではIT資産管理における必要情報の網羅性・正確性、管理の一元化等に問題があり、脆弱性対応やインシデント対応等が迅速かつ全社的にできない原因の1つとなっています
- IT資産管理が十分でない場合、ソフトウェアのライセンス違反リスクを未然に防ぐことができず、膨大な是正費用が発生する場合があります
- デロイト トーマツでは、独自のインベントリ収集ツールなどを用いた現在のIT資産管理の実態調査(網羅性・正確性や管理項目の妥当性、適時性等)や、あるべき姿の段階的な実現を、豊富な経験に基づいて支援します
