今現在も、貴社がリスクにさらされている理由：特集：自社の命運を左右するIT資産管理（1）（1/2 ページ）

仮想化技術やクラウドサービスの浸透に伴い、企業のIT基盤は年々複雑化し、コンプライアンスやセキュリティ上のリスクが高まっている。これを受けて、今、多くの企業が情報セキュリティ対策に注力しているが、セキュリティを担保するための前提条件、IT資産管理に対する認識はいまだ高いとは言えない。ではなぜIT資産管理は全ての企業にとって不可欠な取り組みなのか？――本特集では、ソフトウェア資産管理評価認定協会（SAMAC）代表理事 篠田仁太郎氏へのインタビューを通じて、IT資産管理の意義とポイントを振り返る。

[内野宏信，＠IT情報マネジメント編集部]

未管理のIT資産があれば、そこがセキュリティホールになる

　コンプライアンスやCSRの観点から、企業における情報セキュリティ対策は不可欠な取り組みとなっている。顧客の個人情報をはじめ、製品の設計情報や経営情報など、社内の機密情報が漏えいすれば社会的信頼は失墜し、最悪の場合、取引停止に至るケースも珍しくない。

　これを受けて、自社独自のルール（セキュリティポリシー）に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組み、ISMS認証を取得する企業も年々増加し、JIPDEC （日本情報経済社会推進協会）情報マネジメントシステム推進センターの調べによると、2012年2月10日現在で4004社に上っている。

　だが、情報セキュリティ対策に対する認識の高さとは裏腹に、その大前提となるIT資産管理に対する意識は決して高いとは言えないようだ。IT資産管理に対する豊富な知見を持つ、非営利型一般社団法人 ソフトウェア資産管理評価認定協会（以下、SAMAC）代表理事の篠田仁太郎氏は、IT資産管理を取り巻く状況について次のように語る。

　「確かに現在、多くの企業がISMS認証を取得するなど、情報セキュリティ対策に注力している。だがセキュリティ対策は『全ての情報資産を確実に把握できていること』が大前提。ところが、意外にもこの点を見落としている企業が多く、社内に何台のPCがあるのか、何種類のソフトウェアがいくつあり、どれだけ使われているのかといった情報を正確に把握できていないケースが多い」

　当然ながら、把握していないハードウェア／ソフトウェア資産があれば、そこからいつ情報が漏えいしたり、ウイルスに侵入されたりしてもおかしくない。例えば「PCは何台あり、誰が、どのように使っているのか」「ソフトウェアは何種類あり、誰が、どのPCで、どのように使っているのか」を把握できていなければ、たとえウイルス対策ソフトを導入し、OSにセキュリティパッチを当てるよう指導を徹底していても、未管理のIT資産があれば、ウイルス対策ソフトやパッチ当ての適用漏れが起こり、そこがセキュリティホールになってしまう。

　被害が及ぶのはセキュリティだけではない。ソフトウェア資産の導入・使用状況を正確に把握できていなければ、ライセンス違反を犯す危険性も高まる。違反が発覚すれば「知らなかった」と主張したところで、賠償金、違約金の支払いを拒むことはできない。場合によってはベンダから億単位の支払いを求められるケースも少なくない。ハードウェアの把握・管理はもちろん、ソフトウェアのライセンス資産と現在の利用状況を把握し、それぞれを関連付けて管理していないことは、自社の事業基盤が損なわれるほどの甚大なリスクに日々さらされていることに他ならないのだ。

ソフトウェア資産管理評価認定協会（SAMAC）代表理事 篠田仁太郎氏

　篠田氏は、このようにIT資産の管理がなおざりなために、情報セキュリティ対策が実効性の低いものになりがちな理由の一つとして、「経営層が“現場の実態”を理解していない」ことを指摘する。

　「例えば、情報管理の社内規定や規律を作っても、そこで満足してしまい、業務の現場では情報がどのように扱われているのか、情報を扱う各種IT資産はどう管理されているのかまで把握しようとしていないケースが多い。加えてここ数年の不況を受けて、直接的に収益に結び付かない“守り”の施策に投じる予算は年々削られている。現場層は管理徹底の必要性を強く感じながらも、少ない予算・人件費の中で具体的な手を打てず、疲弊していくケースを数多く見受ける」

　だが前述のように、社会的信頼の失墜、多額の違約金といった“事故”を起こした際のダメージの大きさを考えれば、「事が起きてからでは遅い」。市場や取引先の信頼回復には多大な時間とコストが掛かる以上、体力的に余裕のない中堅・中小企業の場合、倒産に至る可能性もある。

　篠田氏はそうした現実を挙げ、「情報セキュリティ対策、またIT資産を効率的・効果的にビジネスに活用するためのITサービスマネジメントの両面において、“企業活動の基盤固め”と言えるIT資産管理の重要性を認識し、確実に実施できる体制を築くことが大切だ」と力説する。

IT資産管理は、目的設定と管理対象範囲の設定がキモ

　では、具体的にはIT資産管理をどのように進めればよいのだろうか。周知の通り、その第一歩となるのが、ハードウェア、ソフトウェア、ソフトウェアライセンスの現状把握だ。中でももっとも手間がかかるのが「今、どのソフトを、誰が、どのように使っているのか」というソフトウェアライセンスの把握だ。

　というのも、パッケージソフトなのか、他の製品に付属してきたバンドルソフトなのかといった提供形態の違いもあれば、個人やグループの判断でインターネット上からダウンロードして利用しているものもある。中にはスクリーンセーバのような素性のよく分からないソフトウェアも存在する。SAMACによると、一般的な企業ではPC台数の約2?3倍の種類のソフトウェアが社内で使われているという。篠田氏によれば、500台以下の中堅・中小企業であれば、保有台数の5倍を超えた種類が使われていることも多いという。PC500台につき、2500?3000種類ものソフトウェアが使われている計算だ。

　「社内の全IT資産を把握しようとすれば、ある程度の時間がかかる。だがIT資産はビジネスの状況に合わせて日々、導入・廃棄される。現状把握の最中に、その異動情報を把握していなければ、最初に調べた資産データはどんどん陳腐化していく。現状把握で収集した資産情報と、現状把握後の状況とでズレが生じてしまう」

　そうなると、多くの企業が犯してしまいがちなのが、スケジュールの帳尻を合わせるために、現状把握すべきIT資産を削ってしまうことだ。例えば、「アドビとMS製品のライセンスだけ調べよう」といった具合に調査対象を恣意的に絞り込んでしまう。それに沿ってリストアップはするが、往々にして対象とすべきソフトウェアがリストから漏れてしまい、結局は用をなさないものになってしまう。

　これに対し、篠田氏は「まず自社の状況を把握しリスクを洗い出すこと。その上でリスクアセスメントを行い、それに基づいてIT資産管理の対象範囲を決め、計画的に取り組むことが大切だ」と指摘する。

　具体的には、現状把握を行う対象資産・対象組織を設定し、「各IT資産の情報をどこまで調べ、どのように管理するか」という管理方針を決める。さらに「IT資産の利用者に変更があった際の報告・記録の仕方」など、“現状把握が終わるまでの暫定の規定”を定め、現状把握に時間がかかっても対象範囲内の資産については、「今の情報」を正確に把握できるよう配慮する。その上で正式なIT資産の管理台帳を作り、常に最新の資産状況を把握するための運用手順を策定して、実運用に入る。

　「IT資産管理は現状把握が第一歩とはいえ、必ずしも社内の全資産を把握する必要があるわけではない。識別さえ可能であれば、除外できる資産もある。大切なのはセキュリティの担保など、資産管理を行う自社の目的と、目的達成に最適な管理対象範囲・管理レベルを設定し、それに基づいて確実に行うことだ。注力すべき部分を明確化すれば、作業を確実・効率的に行える」