前回はライセンスの調査についてお話をしました。少し時間が空いてしまいましたが、ソフトウェアとライセンスの紐づけ、ソフトウェアリストの作成について解説します。
ソフトウェアとライセンスの紐づけ
前回の解説でお話しましたが、ハードウェア、ソフトウェア、ライセンスについて網羅的に調査をした結果をそれぞれ台帳に登録します。現段階ではすべての台帳は暫定となります。また、ライセンス調査対象は全て行うことは現実的ではないので、調査基準を設けて、絞り込まれたライセンスを調査する事をお勧めしました。
- ハードウェア台帳
- ソフトウェア台帳
- ライセンス台帳
- ライセンス関連部材台帳
上記暫定台帳が作成されている事を前提に、今回はソフトウェアとライセンスの紐づけについて解説します。
ソフトウェアはライセンスの許諾条件に合意した事を前提に利用が出来る物です。従って、インストールされているソフトウェアは、パブリッシャーから許諾されて利用しているという事になります。それを合理的に管理する為には各台帳を紐づけて管理する事が必要となります。
何故、台帳を分けて管理するのか?という質問を受ける事が多いので、簡単に説明をします。ハードウェアやソフトウェア、ライセンス、ライセンス関連部材はそれぞれライフサイクルが異なります。例えばハードウェアはリースで4年、ソフトウェアは毎年アップグレード、ライセンスは永年またはサブスクリプションという具合です。
最近ではクラウドサービスや仮想化サーバーなどもありますので、ライフサイクルが異なりますので、別々の台帳として作成し、関連台帳と紐づける事が重要になります。
話はずれましたが、それぞれの台帳を図にしてみましたのでご参考ください
今回は利用ソフトウェアに適切なライセンスを紐づける作業について説明します。ソフトウェアやライセンスは倫理資産であり、手に取って確認する事が出来ません。ソフトウェアの情報であればソフトウェアインベントリ、ライセンスの情報であれば、調査した結果保有を確認出来たリストという事になります。面倒なのは、ソフトウェアインベントリだけでは、紐づけるライセンスが把握出来ないという事です。
例えば、ソフトウェアのインベントリとして
Microsoft Visio Professional 2010
とあった場合。これは何のライセンスで利用しているか?という事を調査する事になります。
例えばこの場合のライセンス候補
- パッケージライセンス
- ボリュームライセンス
- 包括ライセンス
- アカデミックライセンス
それ以外にライセンス区分として
- ユーザーライセンス
- デバイスライセンス
等が存在します。社内調査の結果、保有が確認され、有効ライセンスとして確認出来たライセンスをソフトウェア台帳に紐づけて行きます。この時注意が必要な事は、アップグレードライセンスやライセンスのダウングレード利用です。アップグレードライセンスに引き当てる場合、アップグレードの元となるライセンスが有効である必要があります(有効フルライセンス)また、ダウングレードして利用している場合はそのライセンスがダウングレードを認めているか?認めている場合はどのバージョンまで使えるのか?など許諾条件を確認する必要があります。
過不足リストの作成
上記の作業で、ソフトウェアとライセンスを紐づけた結果、ライセンスの過不足が出る可能性があります。
- ライセンス過剰→無駄なコスト
- ライセンス不足→ライセンスコンプライアンス違反
この段階でライセンスの過剰保有については特に問題はありませんが、将来期にはコスト適性化の観点から、ライセンスの調達や遊休資産の有効活用と言った策を講じる事で、投資効果は向上すると思います。
問題はライセンス不足です。ライセンスが無いのに利用している場合は、不正利用となり、損害賠償の対象になりえます。ここで慌てて、ライセンスを調達したり、アンインストールの指示をする事は、場合によっては証拠隠滅を問われてしまうようですので、まずは調査結果を当該パブリッシャーに相談するようにしてください。一般的に自らの調査結果をパブリッシャーに報告すると、各パブリッシャーはいきなり問題視する事は無いようです。不足分のライセンスを購入するか、新たなライセンシーを提案させてほしいという営業的な対応になると思われます。その為にもまずはきちんと過不足を把握して各パブリッシャーと交渉する事が肝要です。
このように、ソフトウェアとライセンスの紐づけを行い、過不足調整を行った結果をそれぞれソフトウェア台帳、ライセンス台帳に反映し台帳を完成させてください。
ソフトウェアリスト
もう一つ、ソフトウェアリストについて説明します。ソフトウェアリストとは、組織内で利用を許可されたソフトウェアを掲載したリストです。別名ホワイトリストと言います。最近ではサイバー犯罪も多く、単純のソフトウェア名だけではなく、バージョンやエディションの管理も重要になっています。ソフトウェアリストの分類は下記の通りです
- 標準ソフトウェア→全社で利用可能なソフトウェエア(ホワイトリスト)
- 個別利用ソフトウェア→個別部門の都合で、部門だけに利用が承認された物(ホワイトリスト)
- 禁止ソフトウェア→全社で利用が禁止の物(ブラックリスト)
コントロール方法としては標準ソフトウェア+個別利用ソフトウェアは組織内での利用が許可された物で、ここに記載のないソフトウェアは利用禁止というオペレーションになります。
また、禁止ソフトウェアはブラックリストで、ここに記載のあるものは利用禁止にします。掲載がなく、ホワイトリストにも掲載されていない物を業務で利用する場合は、利用希望者からホワイトリストへの掲載申請を行い、管理者が業務での利用要否について判断します。応用としては、禁止リストに有っても、部門で業務上利用が必要なソフトウェアについては、申請の結果として個別利用ソフトウェアとして、利用者や利用部門を制限して利用するケースもあります。それぞれのリストについての検討方法は、利用ソフトウェア分析をすると良いと思います。
実際の基準は自社に合った基準で分別ますが、例として基準を示します
- 全社で10%以上の人が利用している物→(標準)
- 標準には含まれないが、業務上必須なソフトウェア(個別利用)
- 上記以外→使用許諾条件に基づきアンインストール(※)
※使用許諾条件が確認出来ない物の対処は管理者と相談して決定
台帳関連図
今までの調査、作業を以て、IT資産管理台帳が完成します。少し乱暴な説明になりましたが、個別に検討する場合は組織ごとに都合があり、それを全て書き出す事は出来ません。また、場合によっては例外措置を講じる事もありますので、ここまでの情報を基に、自社の改善を考える為の資料になれば幸いです。もしもIT資産管理の改善に行き詰っている場合は、お問合せページより遠慮なくご相談ください。