詳細な機能や仕様について
お気軽にお問い合わせください
ライセンス管理の重要性が増しています。ITの利用そのもの、またIT技術の多様性が急速に拡大している中、IT利用におけるリスクとコストの課題も急速に拡大しています。
2015年3月には、BSAによる通報受付キャンペーンは最大300万円の報奨金を設定し、違法コピーや違法ライセンス利用についての内部通報の奨励企画が実施されました。
2014年、ベネッセによる大規模情報流失では、中間決算で初の赤字となり通期でも赤字の見通しとの発表がされ、更にいくつもの集団訴訟となっています。
2013年米国スーパーチェーン大手のTargetでは4,000万人分のクレジットカード情報、7,000万人分の個人情報が流失し、CEOは辞任することに。
2011年のBSAの発表によると、国内最大規模のソフトウェアの著作権侵害により約4億4,000万円の和解が成立しています。
これらはここ数年の情報セキュリティやライセンス違反関連のニュースですが、そもそも情報セキュリティとライセンス管理は密接に関係しており、情報セキュリティ体制を強化するには、ライセンス管理も必須と考えられています。
情報とはデータで構成されており、データはソフトウェア上で利用され、そのソフトウェアは特定のハードウェア上で動いていますので、ハードウェアとソフトウェア、またそれらに必要なライセンスや関連部材を把握し管理するライセンス管理は、情報セキュリティの基礎部分となるものです。
ライセンス管理に必要なライセンス知識を考えるにあたって、まずは「ライセンスとは?」という基本的な理解が重要です。ライセンス=使用許諾条件(契約)となりますが、現物を購入するハードウェアとは異なり、ソフトウェアはあくまで「使用権の購入」、つまり「提供ベンダーにより指定された条件の中で使用することができる権利」=「ライセンス」を購入している、ということです。
つまり「指定された条件外での利用はできない」、という認識が基本となり、ライセンスに利用するにあたってさまざまな制約条件が付いている、という点を意識して考えることが重要です。
しかしながら、実際にはこのライセンスが利用者から見ると非常に複雑で、メーカーごとの違い、購入製品による違い、購入するプログラムによる違い、ハードウェア構成などによる違いが存在していますので、多くのケースにおいて、1ライセンス保有しているので、1台分使用できる、という単純な図式が当てはまりません。
また、新製品が出るタイミングだけでなく、毎年のように購入プログラム自体が変わっていくこともあり、正しい理解のためには膨大かつ最新の知識が必要になります。
マイクロソフト社のOfficeというアプリケーションはもっとも普及しているソフトウェアの一つかと思いますが、購入プログラムの違いによって金額も権利もさまざまに異なります。
インベントリーツールと言われる、インストールされているソフトウェアの情報(インベントリー)を端末から取得できるツールが各種ありますが、これらは既に多くの組織に導入されているかと思います。その取得されたデータについては以下の特徴があります。
まず膨大な行数の情報が取得される、という点については、ソフトウェア辞書との照合が必要になります。インベントリーツールには、このソフトウェア辞書が搭載されているものと、されていないものがありますので、選択する際には要注意です。ソフトウェア辞書が無い場合、取得されたデータの初期仕分けができなくなりますので、ユーザー自身が膨大な情報を調べていくことになります。
逆に言えば、辞書データがあれば、有償、無償、ドライバー、パッチなどの初期仕分けが可能になりますし、有償ソフトウェアの分布状態も見て取れますので、組織におけるインストール状況の概観を把握することや、ソフトウェアの管理対象を検討する際に参考になります。ただ、辞書とはいっても正確性が保証されている訳ではありませんので、疑わしいものは確認し必要に応じて修正が必要となりますし、辞書と照合されない製品は仕分けができないため辞書データの登録が必要となることを考慮に入れておく必要はあります。
ソフトウェアのライセンス形態が、ボリュームライセンスからクラウドとサブスクリプションへと移行している中、組織においてはその両方を考え、調達し、また管理していく必要があります。特にクラウドとサブスクリプション型の契約では、一時的なコストダウンに惑わされず、組織にとって本当に必要なソフトウェア、ライセンス契約を考え、調達と管理を実行していく必要があります。
ただし、このソフトウェア辞書との照合がされ、有償、無償などの判別ができたとしても、インストール数に対して、保有しているライセンス数で足りている、余っているのかの判別はまだできません。インストール数とライセンス数は必ずしも1対1ではないためでもありますし、そもそもインストールされないNUPやCALといった利用者側の権利だけのライセンスもあるためです。
この把握のためには、2つの方法しかありません。
ここまで実行できれば、取得されたインストール情報に対して、ライセンスが不足しているのか、余っているのかが見えてきます。逆に言うと、ここまでやらなければ、間違った認識による不足や、ライセンスが余っているのに更に購入してしまうというリスクの判別や管理ができない、と言えます。
現状把握の際、インストール情報とライセンス情報をひも付けるためにも、正しいライセンスと使用許諾条件についての知識が必要ですが、その後の管理のためにも、正しい知識が必要になります。
前段でも少し記載しましたが、現在販売されているライセンスの販売形態とその使用許諾条件は毎年のように変更になりますし、新しい製品が出るごとに、程度の差はあるものの使用許諾条件が変更になることが多くあります。ソフトウェアライセンスの専門家やメーカー担当者ではない、単なるユーザー組織の担当者としては、このような最新情報や知識を常にフォローし続けていくことは非常に難しいのが現実です。現実的対応としては、組織内の担当者がある程度のライセンス情報をフォローしつつ、約款辞書による効率化や外部の専門家の利用などが推奨されます。
典型的な例として、このような点を担当者や新たに担当者となった方は正しく理解し、管理しているでしょうか?
これらはかなり基本とも言えるライセンスに関する権利の話ですが、多くの組織においては正しい理解がされておらず、ライセンス監査の際に指摘される典型的なポイントともなっています。
ライセンスを調達する際にも、ライセンス知識が無い場合はメーカーや販売店の説明や見積もりに対して、適切な対応が難しいことがあります。
こちらも典型的な例としていくつかあげますと、
などがあります。
必要なITサービスを設計・調達する際や、クライアント端末の入れ替えが発生する際、まずは自組織で保有しているライセンス数と、そのライセンスでカバーされている権利が何であるのかの把握が必要ですが、ライセンス知識や契約に対する理解がされていない場合は、調達コスト増やライセンス監査の際に大きなリスクとなってしまうことがあります。
調達に関する計画性が薄く、必要な都度調達が行われている、販売店の見積もりを総額だけで判断している、自組織のライセンスとライセンス契約を正しく把握していないというケースは、多くの組織で日々発生しています。
日本においてもライセンス監査の機会は増えつつある中、多くのケースで意図しないライセンス違反が指摘され、高額な損害賠償や是正購入が発生しています。
ビジネスにスピードが求められる中、より効率的、効果的なITサービスを素早く導入する必要性も増えていますが、適切なITインフラとその利用を担保する使用許諾の権利=ライセンスの理解は重要です。正しいライセンス知識や、適切なライセンス契約への理解が無い場合、組織におけるコストとリスクを適切に管理することができなくなってしまう危険性が高まります。
ビジネスや組織運営にセキュリティとスピードが求められる中、適切かつ素早く対応していくためには、組織内にライセンスとその契約の素養をもっている人を養成し、またその人間が外部の専門家と連携しつつ、管理に役立つ適切なソリューションを導入していく必要性が高まっているかと思います。
(2015年6月)
IT資産管理・ライセンス管理・ソフトウェアぜい弱性管理に向けて
License Guardをご検討のお客さまはこちら
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。