なぜ、SAMは失敗ばかりしてしまうのか？：勉強会リポート：ライフサイクル管理でコスト削減（1）（2/2 ページ）

[吉村哲樹，＠IT]

インベントリツール選択のポイント

　では、資産の現状把握を正確に、かつ効率良く行ってSAMを構築するにはどうすればいいのだろうか？

　よく聞くのが、インベントリツールを導入すれば資産情報を自動的に取得できるので、自ずとSAMも実現できるといううたい文句だ。しかし、これは根本的に認識が誤っていると篠田氏は言う。

　「SAMというのはマネジメントシステムであり、その対象は業務プロセスだ。従って、ツールを入れるだけで管理がすべてできるようになることは、あり得ない。ツールはあくまでも手段であって、目的ではない」（篠田氏）

　しかし同氏は、次のようにも述べる。

　「ただし、ツールを使わないと情報の収集と管理が極めて煩雑になることも事実だ。特にソフトウェア資産の現状把握に関しては、手作業で情報を収集して集計を行うのは現実的ではない。そのため、ツールの活用を推奨している」

　では、実際にインベントリツールを選定する際には、どのような点に留意するべきなのか？　篠田氏は、一般的なインベントリツールが備えている機能のうち、SAMに絶対必要な「第1要求レベル」の機能と、あれば望ましい「第2要求レベル」の機能に分けたうえでツールを評価することが有効だという。

　第1要求レベルには、基本台帳の作成と更新に必要な以下の機能が含まれる。

• スタンドアロンの収集が可能であること
• 指定レジストリの収集が可能であること
• 「プログラムの追加と削除」情報の収集とエクスポートができること
• 収集時に任意項目を入力できること

　また第2要求レベルは、主に導入・運用コストの削減に寄与する以下の項目を含む。

• 価格（導入費用・保守費用）
• 禁止ソフトウェアの設定
• メータリング機能
• 自動配布機能

　ここでよく行われるのが、選定候補の各ツールがこれらの機能を実装しているか、○と×を表に記入して比較検討する作業だ。篠田氏は、こうした選定方法には落とし穴があるという。

　「例えば、スタンドアロン収集機能を実装しているとうたっているツールでも、その実現方法は各ツールによってまちまち。クライアントPC上にエージェントソフトウェアを自動的に配布するものもあれば、1台1台手作業でインストールしなくてはいけないものもある。また、『スタンドアロン』とうたいつつ、PCをネットワークに接続しないと情報を収集できないものまである。そのほかの機能に関しても同様で、ツールによってその形態はまちまちだ」

　従って、必要な機能が「あるかないか」という問いの立て方でツールを選ぶべきではない。その機能はどうやったら本当に使えるようになるのか。どうやったら自分たちがそれをうまく運用できるのか。そうした点をきちんと確認したうえで、ツールの機能を評価する必要があるのだ。

資産の現状把握を行ううえでのポイント

　ツールの活用も含め、実際にハードウェア、ソフトウェア、ライセンスの現状把握を行う際、どのようなことに気を付ければいいのだろうか？　篠田氏は幾つかのポイントを挙げる。

○ハードウェアの資産把握

　まずハードウェアに関しては、大前提として組織内にある「すべての」ハードウェアを対象にする。そして、それらを識別可能にするために、管理シールを貼付する。この管理シールによる運用は、既に多くの企業で実践されているが、スムーズに回すためにはコツがあるという。

　「管理部門はなぜか、管理シールにいろんな意味を持たせたがる傾向がある。稟議番号や予算コードを記入したり、調達のときの決裁者の名前を入れたりといった具合だ。しかし、管理番号に多くの意味を持たせてしまうと、シールを貼り間違えたときに面倒なことになってしまう。従って、管理シールの番号体系をなるべく簡単にして、それを基本台帳で管理するだけシンプルな運用を推奨する」（篠田氏）

　さらに、ハードウェアの利用者や管理者の名前、設置場所など、SAMにとっては有用でもインベントリツールでは自動収集できない情報を、別途集める必要がある。その際、利用者名の代わりにログイン名を収集するケースがよくあるが、これには少し問題がある。

　「ログイン名は、たとえディレクトリサービス上で正式に登録されているものであっても、普段の利用者と常に一致しているかどうか担保できない。従って、利用者名を対象にライセンスを管理しているソフトウェアについては、把握している利用者とログインユーザーに違いがないかどうかを検証することが必要になることが多い」（篠田氏）

○ソフトウェアの資産把握

　次にソフトウェアに関してだが、ハードウェア上で利用されている「すべての」ソフトウェアを対象とする。前述した通り、有償のものだけでなく無償のソフトウェアも含めてすべてを漏れなく対象にする必要がある。またこれも前述の通り、作業効率上、インベントリツールを使用して情報を収集することが望ましい。

　さらに、収集した情報を分析して、社内で使用されているすべてのソフトウェアを「標準ソフトウェア」と「個別利用ソフトウェア」に分ける。ここでいう標準ソフトウェアとは組織全体での利用を認めるソフトウェアを指し、一方の個別利用ソフトウェアは特定の部門内でのみ利用が認められるものだ。この作業を行わないと、その後に行うライセンス資産の把握作業に大きな支障が出る。

　「企業で利用されているソフトウェアの約90％は、10台以下のPCでしか使われていないという調査結果もある。従って、何も考えずに、ハードウェア／ソフトウェアと同時にライセンス情報を収集すると、ごく少数の人しか使っていないソフトウェアのライセンスもすべて把握対象となり、混乱をきたしてしまう。そこで、利用しているすべてのソフトウェアから組織で利用を認める標準ソフトウェアと、個別利用ソフトウェアを選定し、それ以外の利用をはじめに禁止することにより、ライセンス調査作業を効率化することができる」（篠田氏）

○ライセンスの資産把握

　ライセンスの現状把握に関しては、まず当たり前のことだが使用許諾条件をしっかりと確認する。その際に見逃しやすいのが、パッケージソフトウェアやプリインストールソフトウェアだ。これらは現場でバラバラに保有していることが多いので、各部門からの報告には工夫が必要だ。

　また、ライセンスの証書やメディアなどの部材を収集・識別して管理する際には、ハードウェアと同様に管理シールを貼付する。その際、管理シールの番号体系にあまり意味を持たせず、シンプルな運用にした方がいいのもハードウェアの場合と同様だ。

　そして最後に、収集したライセンス部材の情報をソフトウェアの情報とひも付けた形で基本台帳に記録する。その際、部材の不足が発覚することが往々にしてあるが、ここでも「ライセンス違反の発生だ！」と慌てる必要はない。

　「ライセンス部材が不足している場合は、購入記録や支払い記録などで代替できる場合もある。そのソフトウェアを購入した販社やメーカーに確認して、『これで認めてもらえないか？』と相談してみることを勧める。通常は、『部材が足りないから訴えるぞ！』とは決してならない」（篠田氏）

SAMは「やらなくてはいけないからやる」

　講演の締めくくりとして篠田氏は、そもそもSAMを構築して運用する理由について以下のように述べた。

　「よく『SAMをやるとどんなメリットがあるのか？』と聞かれる。情報セキュリティの強化とか、ITコストの最適化とか、さまざまなことを言う人がいるが、既に説明したようにこれらはすべて副次的な効果だ。では、なぜSAMを構築するのかというと、これは『やらなくてはいけないからやる！』。つまり、将来発生する可能性のあるデメリットをゼロに近づけるためにやるということだ」

　まずはこの目的があって、そして次の段階として、それをどういうレベルでやるかということを考えていく。「目的を履き違えてはいけない」と篠田氏は強調する。では、目指すべきSAMのレベルはどのように設定すればいいのだろうか？　同氏は次のように説明する。

　「よく『ISOに書かれている内容そのまま』や『ソフトウェア資産管理基準に書かれていることそのまま』を無理やり要求するケースがあるが、それは現実的ではない。企業や組織がそれぞれの事情に応じて、どのレベルまでやればいいのかを決定していくことが望ましい。そして、そのレベルを判断するためにも、これまで説明してきたSAM構築プロセスにおけるリスクアセスメントへの取り組みが重要なのだ」

「勉強会リポート：ライフサイクル管理でコスト削減」バックナンバー

• IT資産管理のいまと未来
• なぜ、SAMは失敗ばかりしてしまうのか？