IT資産管理（ITAM）の動向と重要性の高まり

サイバーセキュリティ、サプライチェーン管理と密接に関わりのあるIT 資産管理（ITAM）の動向と重要性の高まりについて、ライセンス監査経験を踏まえたライセンスコンプライアンスの観点を含めてITAM導入のポイントと共に解説します。

要点

• サイバーセキュリティ、サプライチェーン管理の観点からITAM の重要性が高まっている。
• ITの変化に合わせてITAMの形態も変わってきており、単にソフトウェアやハードウェアだけを管理すればよい時代ではなくなっている。
• 大手ソフトウェアベンダーのライセンス監査経験からライセンスコンプライアンスの観点を含めてITAM導入のポイントを解説。

1. ITAMの重要性　　

ITAM（IT Asset Management：IT資産管理）とは、組織が所有するIT資産のライフサイクル（調達～廃棄）全体を効果的に管理するプロセスです。IT資産には、ハードウェア、ソフトウェア、ネットワーク機器、ライセンス、および関連するサービス契約（外部委託含む）などが含まれます。ITAMの目的は、これらの資産を最大限に活用し、コストを削減し、ビジネスのリスクを管理し、IT環境の変化に対応することです。近年、さまざまなレギュレーションでITAMに関する対応が求められており、その対応はサプライチェーン全体にまで及んでいることから、ITAMがいかに重要であるかが伺えます。

2. ITAMの動向

ITAMは、技術の進化、ビジネスの変化、および規制の追加・更新によって変化しています。以下は、影響を与えているいくつかの主要な動向とITAMの変化です。

3. ITAM導入のポイント

ITAMはソフトウェア資産管理（SAM）と密接に統合され、ライセンスのコンプライアンス、最適化、およびコスト管理に重点を置いています。ITAMは、組織が所有するIT資産のライフサイクル全体を通じて、これらの資産を追跡し、管理するプロセスです。ITAM導入のポイントはハードウェア、ソフトウェア、ネットワーク機器、ライセンスなどのSAMにとどまらず、以下のようなIT関連資産を管理する必要があります。「ITAMの動向」で示したように、今は単にハードウェア、ソフトウェアを管理すればよいという時代ではなくなっています。

ITAMの導入では、成熟度評価を実施して、現状の成熟度を把握し、目標とする成熟度を定めてから、ITAMのPDCAサイクルを回し、無理なく段階的に導入を進めます。

成熟度評価

現状のITAM状況を把握するために、成熟度評価を実施します。ITAMではISO/IEC 19770-1:2017（SAMのための国際標準）が標準として利用されます。この標準は、ソフトウェア資産を効果的に管理するためのフレームワークを提供し、ソフトウェアのライフサイクル全体にわたる管理の原則と実践を概説しています。ISO/IEC 19770-1:2017の目的は、組織がソフトウェアの使用を最適化し、コストを削減し、ライセンス契約を順守することを支援することです。この標準におけるITAMプロセスは、以下の主要な要素で構成されています。

4. ライセンスコンプライアンス対応

ソフトウェアライセンスの不正使用に対する有効な対策には、以下のようなものがあります。運用による対策、物理的な対策、モニタリング・監査をそれぞれ導入・活用し、適切なソフトウェアライセンスの利用態勢を整えます。

運用対策－ポリシーの策定と教育

ソフトウェアライセンスに関する明確なポリシーを策定し、従業員に周知徹底し、ソフトウェアライセンスの重要性や不正使用のリスクについて教育を行い、意識を高めます。

物理対策－アクセス制限

MDM（Mobile Device Management）を導入し、不要なソフトウェアへのアクセスを制限し、必要なソフトウェアのみをインストールできるようにします。アクセス制限管理で重要なことは従業員PCから管理者権限を剝奪することです。管理者権限はIT部門が管理することが望まれます。IT部門は自社のITサービスをカタログ化し、ユーザーの要望に応えられるようにします。このようにITサービス管理を行うこともITAMの重要な要素となります。

物理対策－資産管理ツールの導入

マニュアル台帳での管理も可能ですが、会社の規模・用途に応じてITAM ツールを導入します。導入後は運用を行い、情報抽出、分析までツールを最大限に活用してソフトウェア管理を定着させます。ITAM ツールは用途に併せて選択します。単にIT資産情報を把握するだけにとどまらず、MDM、シャドーIT対策などITAM導入によるセキュリティ対応も可能な統合管理ツールを選択することでより多くのメリットを得ます。

物理対策－ITAMによるシャドーITの制御

ITAMの動向としてクラウドとサブスクリプションモデルの台頭があります。クラウドコンピューティングの普及に伴い、オンプレミスからクラウドベースのサービスへ移行していることにより、これらをIT資産として把握できないリスクがあります。これを放置しておくとシャドーITがまん延し、情報漏えいなどセキュリティ上のリスクにさらされることになります。

シャドーIT対策として有効とされているのがCASB（Cloud Access Security Broker）の導入です。CASBを導入することで、以下のような効果が期待できます。

モニタリング・監査－定期的な棚卸

ソフトウェアの使用状況を定期的に棚卸し、監査することで、不正使用の兆候を早期に発見します。ITAMの標準では四半期に1回のペースで棚卸を実施することが推奨されています。

5. ダイナミックなITAM

ITAMにおいてもっとも高い成熟度を達成するためには、ダイナミックにIT資産を管理する必要があります。リアルタイムにIT資産の状況を把握することで、Security、Compliance、Costに関わるリスクの発生可能性を抑えることができます。

その方法として有効な手段がCMDB（Configuration Management Database）の導入です。CMDBは、IT資産や構成アイテム（CI）を管理するためのデータベースです。これにより、IT資産にとどまらず、ITサービスの管理や運用が効率的に行えるようになります。資産管理ツールをCMDBとして導入すると管理効率が高くなります。

CMDB導入のメリット

CMDBは、ITAMの中心的な要素であり、組織のIT運用の効率化と効果的な管理を実現するために不可欠です。

6. ITAM導入サポート

サイバーセキュリティ対策としてITAMが占める重要性の割合が高いことは言うまでもありません。なぜなら、サイバーセキュリティ対策を打つためには、対策すべきIT資産の把握が必要不可欠であり、保有するIT資産の把握をせずにサイバーセキュリティ対策を実施しても意味をなさないからです。さらにはサイバーセキュリティ対策がされていないが、企業のネットワークには参加しているような脆弱（ぜいじゃく）なサプライヤーを起点にサイバー攻撃を行う手法が主流になっており、サプライチェーン全体でIT資産の把握を行っていく必要があります。企業をサイバーリスクから守るためにもITAMの導入を進めることが重要です。

ITAMの導入といっても、ITAMツールを導入して終わってしまうケースがあります。これまでライセンス監査を実施してきた経験から、資産管理ツールを導入している企業はたくさんありましたが、ダイナミックな状態で運用できている企業はほとんどありませんでした。結果、ツールを導入しているにもかかわらずライセンス監査では利用許諾違反を指摘され、違約金を支払わされてしまうケースがよく見られます。ツールを導入したからといって、すべて自動的にダイナミックな管理ができるわけではありません。ダイナミックにIT資産を管理するにはダイナミックな運用を行う必要があります。しかしながら、単に運用をすればよいというわけでもありません。昨今の日本におけるライセンス監査での違反内容は、ソフトウェアの不正利用ではなく、誤った利用によるものがほとんどです。つまり、ダイナミックな運用にまでこぎつけたとして、ツールの運用をITAMに理解のない担当者が実施しても意味がないということになります。正しくITAMのライフサイクルを回すには、ITAMのプロフェッショナルを育成し、正しくツールを運用することがITAM導入の第一歩となります。

EYでは、ITAM人材の育成も踏まえたITAM導入支援やベンダー向けのライセンス監査プログラム構築支援、ライセンス監査を受ける側（がわ）の対応支援まで、さまざまな立場の企業向けにソリューションを用意しています。

【共同執筆者】

根岸 和也
EY新日本有限責任監査法人　Technology Risk事業部　アソシエートパートナー