10.jpg

スタッフブログ

IT資産管理のライフサイクルマネジメント-2

Posted by GRCS | 2018/08/16 11:00:00

こんにちは。グローバルコンサルティング部の吉丸です。

IT資産管理のライフサイクルマネジメントの中で、運用可能にさせる必要最低限の主要7プロセスに的をしぼった解説の第二回です。

*第一回:IT資産管理のライフサイクルマネジメント-1
  • 調達管理プロセス

調達窓口を段階的に統合していき、調達情報が一元管理されることによりソフトウェア・ライセンス、ハードウェア、サポートの調達単位の大口化、リソースプールの効果的な運用に伴う在庫の再割り当てなどを実現し、大幅なコスト削減を可能とするプロセスです。

 

組織横断的、あるいはグローバルな契約統合などにより、調達単位が大口化されると購入先ベンダーとの価格交渉を有利に進めための能力や条件が高まります。購入先ベンダーにとっては複数窓口との交渉する手間が省け、営業コストや管理コストの削減などのメリットがあり、売上高が統合により減少したとしても全体としての利益率が高まることから、双方にとってメリットを享受できるためグローバル契約統合はトレンドとなっています。

 

ソフトウェア・ライセンス、ハードウェア、サポートの保有情報、利用状況が一元管理されるため、組織全体で組織横断的な再配置など在庫の最大有効活用が可能となり、過剰な調達による無駄なコストの発生を抑制することが期待できます。

 

調達要件に適合するIT資産が調達されることにより、未承認のIT資産の調達を防止することが可能となり、不測のセキュリティ事故の未然防止を高めることが期待できます。そして、セキュリティ課題が発生した場合でも、効率的、効果的な調査、対応を可能とします。調達要件(IT資産の種類、数量、導入希望日等)や納品情報は、導入管理プロセスへと引き渡されるため、ユーザーの要求に即したIT資産の導入が可能となります。

 

  • 導入管理プロセス

調達管理プロセスで承認されたIT資産の導入の優先順位を決定し、スケジュールを策定し、IT資産をリリースします。

 

定義済みの標準のハードウェア、ソフトウェア、保守(契約)の運用を効率的に実施し、変化する環境を監視、管理し、環境の変化を正確に記録、維持することが可能となります。

より広範な影響のあるIT資産をリリースするようなケースでは、ベンダーと保守契約をしている場合、導入計画を共有し、リリースした結果、既存のIT環境に問題が発生した場合、迅速にロールバックなどの対応が可能なように予め協力体制を構築し安全で円滑な環境の変更を実現します。

クライアント環境において、アプリケーションのバージョンのためのイメージを誤配布してしまった場合、リリース・展開管理プロセスは、変更管理プロセスで計画された切り戻し手順に従い元のイメージを配布し、ロールバックする保全策を講じます。

本プロセスのワークフローで記録された管理に必要な全ての情報は、IT資産のコンポーネントの適正なバージョンを適切な関係者、適正な環境へリリースすることを可能にします。

非標準のIT資産の導入は標準のIT資産の導入と比べ、リリース前の検証やリリース計画の立案、承認などに多くのリソースを費やすことになりますが、ビジネス特性・規模、業務効率などを考慮に入れ、非標準のIT資産の導入プロセスを標準化することで、効率化を図り、安全で適正な環境の維持を可能とします。

 

  • 運用(変更)管理プロセス

運用(変更)管理プロセスとは、組織内に展開されたサーバーやエンドポイント並びにソフトウェアをポリシーに基づいて使用もしくは使用停止及びその状態を監視し、ポリシーに則った変更を制御し、なんらかの変更があれば網羅的に全ての変更を記録するプロセスです。

 

ガバナンスを意識し、統制された組織においては、サーバーやエンドポイント並びにソフトウェアは標準化され(標準外であっても承認され)使用者、管理者、使用場所、用途などが規定されたものが展開されていなければなりません。

 

導入状態が維持されれば、IT資産の管理は容易ですが、実際には、常にIT資産には様々な変更が発生することになります。

この変更には物理的な変更と論理的な変更が存在しており、さらに契約が関係することがIT資産管理の変更管理の困難なところです。

物理的な変更の例としては、設置場所や利用者の変更及びメモリなどのパーツの変更、ソフトウェアの追加、バージョンアップ及び削除があります。

そして、論理的な変更としてはソフトウェア使用権(ライセンス/エンタイトルメント)の割り当ての変更があります。さらに変更を承認する為には、変更が契約に適合しているかなどの適合性検証を実施し、管理しなくてはなりません。

 

例えばソフトウェアライセンスはユーザー数、デバイス数、サーバースペックなど多種多様なメトリックスによって分類されます。例えば、ユーザーに許諾されたライセンスをデバイスの利用者変更に伴って別のユーザーが利用した場合、正しく利用者変更の手続きを取らなければ契約違反、すなわち、コンプライアンス違反の発生となるのです。

 

管理者にはこういった変更を漏れなく管理する為にポリシーに基づいた運用プロセスの処理を徹底すること、運用ルールに違反して実施された変更を直ちに認識して、できるだけ早く是正する体制整備が求められるのです。

 

組織にはアプリケーションとしてベンダーから提供を受けている製品や、社内で開発した製品など様々なソフトウェアが存在しています。無償提供されているフリーウェア、GPLOSSなども多数あり、容易にインストールすることが可能です。しかし、これらのソフトウェアの中には業務に必要のないソフトウェアや悪意を持って作成されたマルウェアなども含まれている可能性があります。

運用(変更)管理プロセスでは、エンドポイントやサーバーにインストールされたソフトウェアを監視することで不要なソフトウェア、悪意を持って作成されたソフトウェアを早期に発見することが可能となります。また、この活動ではセキュリティパッチの適用状況も管理対象として確認することが可能となり、エンドユーザーの環境に対して、組織として必要と認識したセキュリティ対応パッチの適用を確実なものとすることが可能となります。

 

本プロセスではソフトウェアの利用状況を監視します。

エンドユーザーは、基本的には、組織が承認するポリシーに則って、インターネットから業務遂行に必要とされ、承認されたソフトウェアや、フリーウェアをダウンロードしてインストールしたり、インストール用に配布された媒体を利用してインストールを行います。しかし、中には、規程やポリシーにより承認されていないソフトウェアをインストールする場合もあります。フリーウェアであっても、営利を目的とする組織内、企業内で利用する場合は有料のシェアウェアとなるものも存在し、認められたもの以外へのインストールは当然にライセンス違反となる可能性があります。ソフトウェアの利用状況を、ソフトウェアの契約書や利用規約と紐付けて監視することで、こういった契約違反、コンプライアンス違反を早期に検出し、是正することによって、コンプライアンスの維持を可能とします

 

ハードウェア、ソフトウェアの両方を含む組織横断的なリソースプールの構築は、IT資産の再利用の最大化を可能とします。従業員の入社、退職、異動などの変更ポイントにおいて無駄や、過剰な購入を回避することができるのです。但し、これらを可能とするためには、ソフトウェアはボリュームライセンスや包括契約と呼ばれる契約形態で調達され、組織横断的に利用可能な状態が構築されている必要があります。この契約形態の場合は、利用しなくなったソフトウェアを別のハードウェアにインストールして利用したり、新たなユーザーに割り当てたりすることが可能となります。しかし、あらかじめハードウェアにインストールされて販売されているOEMPIPC(Pre-installed PC)と呼ばれる形態のソフトウェアライセンスは別のハードウェアで利用することはできません。つまり、過剰ライセンスの購入を防止した上でライセンス違反を防止するには、調達から計画されていなければならないのです。

また、定期的に棚卸を行い、不要物を選別することでIT資産と管理コストを削減することが可能となります。本プロセスではこういった活動を通じてコストの最適化を実現します。

 

  • 廃棄管理プロセス

廃棄管理プロセスは不要となったハードウェア、ソフトウェアを組織から安全に取り除く一連の業務を提供します。

この処理方法には、廃棄処理、リサイクル、売却、寄贈といった手段が考えられます。これらの処理を行う前にはデータを保全し、個人情報の流出などセキュリティ事故を未然に防ぐためのセキュリティを確保する為にディスク上のデータを「完全消去」しなければなりません。

廃棄処理が適切に行われなかった場合、例えば山林への不法投棄によって環境破壊の原因となるなど、これらを統制するために様々な法規制が布かれています。廃棄管理プロセスには物理的・論理的にIT資産を取り除くだけではなく、法令に則った手続きを実施し、コンプライアンスを維持し、将来のコンプライアンス違反による多大な損害リスクを削減し、情報漏えいなどセキュリティリスクを低減することなどが含まれます。

 

廃棄処理は遵守すべき法令が多いので、決まりごとが多いことから定型処理にできる部分が多い業務でもあります。これは手順を標準化し、効率化、自動化へ繋げていける可能性があるということです。社内ルールを定め、明確な手順書を作成することで、定型処理を実施することによって法令が遵守されている状態を維持します。

 

廃棄手続きにおける重要なポイントは廃棄対象物の選定です。ここで、将来の再利用可能性と運用コストや長期間利用することによるリスクを比較して、廃棄基準を参照し、不要物を選定することが保管コストやメンテナンス維持コストなどの削減につながります。

 

廃棄管理プロセスでは、最終的にハードウェアを廃棄業者や中古業者といった第三者へ引き渡すことになります。復元可能な状態でデータが残っていれば、情報漏えい事故に繋がる可能性があります。

従って、第三者の手に渡る前に、適切な方法でデータの完全消去を行うプロセスにより処理することで、情報漏えい事故が起こる可能性を低減させ、制御します。

 

廃棄管理プロセスが集中管理されていないと、それぞれにローカルルールが作られて統制が効きません。但し、最終の廃棄処理まで集中化し、様々なロケーションに配置されている資産の廃棄を一か所で実施するなどとすると、廃棄処分対象の資産の移動に長距離運搬コストが掛かることになるので、集中管理されたプロセスに則って、コストメリットの高いローカルで処理を行うことで集中管理と分散処理のメリットを享受することを可能とします。

 

どのように処分するか、どのようにデータの完全消去を行うか、資産分類ごとにセキュリティ・ポリシーが定められ、ポリシーに則った処理が実施される必要があります。その中で、各業務が扱う秘密情報に重要度が定められ、その重要度に合わせて、ディスクの物理的な破壊やDoDDepartment of Defense:米国防総省)基準によるデータの複数回の上書き処理によるデータの完全消去などの手法が選択され、実施されます。

 

その資産は廃棄しても良いのか、どのような方法で廃棄する必要があるのか、といったことを判断するには対象が正しく識別されていなければなりません。すべてのIT資産を一意に識別子が割り振られ、その情報がIT資産管理台帳に記録されていなければならないのです。

 

次回は、IT資産管理のイネーブラープロセスである「ベースライン」、「ポリシー策定」、「標準化」について説明し、全体を整理したいと思います。

 

Topics: SAM, ITAM, セキュリティ

Written by GRCS