IAITAM ACE JAPAN 2016 レポート(1)

【主催者挨拶・基調講演・特別講演】
戦略的ビジネスにおけるIT資産管理とは

今年で第三回を迎えたIAITAM ACE JAPAN 2016は、『ITAM the Art of Business』をテーマに、戦略的ビジネスにおけるIT資産管理の在り方をテーマにしたプログラムで2016年9月16日開催されました。主催者挨拶、基調講演、特別講演の模様をレポートします。

主催者挨拶:『ITAM the Art of Business』
戦略的ビジネスには、戦略的なIT資産管理を IAITAM日本支部長 武内 烈

武内 烈

IAITAM日本支部長の武内烈からは、今日の複雑化するIT資産管理環境における課題として、リスク管理の視点から見た契約条件管理の重要性についてご説明しました。

部分最適ではなく組織横断的に全体最適を実現することが、IT資産管理の一番難しいところです。ハイブリッドクラウド環境におけるハードウェア契約、ソフトウェアの契約、クラウドサービス契約まで含めて、ITサービスをユーザーに提供するための「資産」であり、これらの管理にあたっては現物よりも「どこで線引きして、誰がどんなリスクを負っているか」を管理するのが重要になります。

クラウドサービスモデルは基本的にはリスクをサービスベンダーに転嫁する「リスク転嫁モデル」でもあります。にもかかわらず、契約条件をよく読むと、結果的に利用者が責任を取らなくてはいけなくなっていることがよくあります。武内は「交渉するにしてもグローバル契約統合するにしても、内容をコントロールすることが大事」なことを指摘しました。

資産管理の第一歩は、契約書およびライセンスのレビューからとなります。
SLAまで含めどこにリスクと責任があるかを明らかにして、何から管理すべきかを決めなくてはいけません。

「そのために参照できるグローバル展開可能なモデルとして、どのように取り組みライセンスは何から測定して自動化するかといったことまで具体的に書いたのが、(IAITAMの)ベストプラクティスであるIBPLです」と武内は述べました。

また併せて、IAITAM日本支部設立から今年6年目を迎えたこと、今年からIT資産管理ソリューションアワード[http://award.iaitam.jp/wordpress/]を開始し、ITIL、IBPLを参照したすぐれたIT資産管理の取り組みを表彰していることを紹介しました。

基調講演:『全体最適化を目指すIT資産管理への挑戦』 日本たばこ産業株式会社 IT部 本川氏、鹿嶋氏

本川氏 鹿嶋氏

基調講演では、日本たばこ産業株式会社(JT)が現在進行形で取り組むIT資産管理の見直しとツール導入についてお話をいただきました。

JTのIT部門の中期計画の柱として、「ITサービスの価値を最大化」ということが挙げられており、そのためのさまざまな施策が取られています。「変化に迅速対応できるようなIT環境を作るのが我々の役割」「事業がグローバルに広がる中、IT資産管理もグローバルな最適化が大きな課題になっています」(本川氏)

また、企業活動のデジタル化により、サイバー攻撃、データ保護(海外の規制への対応)、災害や事故への備え、監査やコンプライアンスなどの法規制への対応という4つのITリスクが発生しています。これらに対応できるプラットフォームがビジネスには不可欠であり、IT部門の責任はますます大きくなっています。これらに対してJTはライセンス管理とデータ保護をセットにして取り組んでいます。

JTのライセンス管理を考えた時に大きな課題が、仮想化、モバイルを中心としたデバイスの増加、グローバル企業であるが故の複雑な契約です。
グローバルな合併や買収などにより異なるライセンス契約が存在する複雑な状態にあり、さらに仮想化が複雑さに拍車をかけます。

ソフトウェアの費用は企業のIT支出の20-30%と最も多くを占めており、多くの企業で「払い過ぎ」の状態となっています。その理由は、「把握すべきIT資産の変化」について行けていないからです。
2007年頃までは、ハードウェア資産管理を中心に、ソフトウェアはインベントリ管理ツールをベースにしたシンプルな管理で事足りましたが、今やクラウド化によりソフトウェアも「使った分だけ」の管理が求められるようになりました。
IBPLのベストプラクティスにあるように、購買要請を起点とした一気通貫でデリバリーまでの管理が必要な状況で、従来のインベントリ管理ツールによる後付管理では全体が見えない状況となっていたのです。

リーマンショックをきっかけとしたソフトウェアベンダーからのライセンス監査強化などの外部要因もあり、2013年には対象を限定した手作業によるライセンス管理の仕組みとライセンス契約の諸条件更新を行いました。
しかし実際には現場の負荷が大きすぎて機能しておらず、効率化と自動化が必須であることが社内監査で指摘されました。

IT資産、管理業務プロセスの標準化と自動化はTCOの削減と最適化につながります。また、資産の保有・利用状況の見える化は、コンプライアンス・情報セキュリティリスクの低減につながります。鹿嶋氏は実際にFlexeraのツールを使用してSAPのライセンス最適化を試みたケースを紹介しました。

従来からJTI(JTのグローバル法人)ではFlexNetを使用した管理が行われていましたが、日本のSAPライセンスの管理は手作業で行っていたのです。試験的に日本についても詳細なSAP使用量をFlexNetで把握し、グローバル契約にまとめて最適化を行ったところ、Professional、Limited Professionalなどの高額なライセンス数を減らしコストダウンできました。

とはいえ、この作業には通常業務を全て捨てて3ヶ月かかり、2年に1度程度発生する可能性があるライセンス管理のつど行えるものではありませんでした。「FlexNetのような定評あるツールを導入してリアルタイムのソフトウェア資産管理を行えていることが、本来のビジネスを遂行できることにつながると実感しました」と鹿嶋氏は述べました。

現在、JTでは、ライセンス管理最適化ツールとして、Flexera社のソリューション導入に取り組んでいます。採用の理由は、経験豊富で主要ベンダーの複雑なライセンスルールをライブラリ化しておりアップデートで最新ルールに対応すること、サーバ・仮想環境のライセンス管理に強いこと、既存システムとの柔軟な連携が可能なことなどが挙げられます。

作業着手前にFlexeraにROIを算出してもらったところ、ソフトウェアライセンス最適化とリスクの削減で3年で13億円削減の効果があるとされました。「そこまでではないにせよ、ライセンス最適化やプロセスコスト削減により金額的にはその半分ぐらいは効果があるとすれば、ツールを導入しても十分ペイできると判断しました」(本川氏)

導入目的としては手作業での管理を極力自動化することとしていますが、まずはライセンスの可視化と棚卸業務の効率化から取り組み、ソフトウェアの最適配置につなげます。8月下旬からスタートしたプロジェクトは、各ステークホルダーを巻き込んだ分科会で業務プロセスの設計なども行っています。1月には暫定運用を開始、2月から3月にはユーザー棚卸の実施を目標としています。さらに2018年までにはグローバルで統合されたライセンス管理へとつなげていくことを目指します。

「IT戦略的に考えると、セキュリティリスクの増大に対応するためには従来の手動対応やリアクティブな対策では間に合わず、プロセス自動化によるリアルタイム確認を進めていく必要がある。我々もまだ未熟ですが、皆さんと情報交換などをしながらより良いものにしていきたいと思います」と本川氏は話を締めくくりました。

特別講演:『Business Enablerとしての資産管理とセキュリティ』 日本マイクロソフト株式会社 高橋 正和氏

高橋 正和氏

特別講演に登壇した日本マイクロソフトの高橋氏は、セキュリティ対策はコストではなくビジネス促進のための投資となることを説明しました。

まず高橋氏は、「セキュリティ」=「ワーム・ウィルス対策」ととらえられがちな現状の誤りを指摘しました。過去のサイバー攻撃は愉快犯的な側面が強かったのですが、2004年頃からECやネットバンキングなどで実際にお金がインターネット上を流れるようになり、攻撃の目的がお金そのもの、経済的側面へとシフトしています。多くの企業には既に未知の脅威が長期間潜伏しており、被害が発生したときの金額は大きく、経営陣の進退にかかわることも珍しくありません。まさしく、サイバーセキュリティはCEOの問題なのです。

サイバー攻撃による侵入の防御には限界があります。98%のパソコンがアンチウィルスソフトの最新パターンファイルを適用しているというマイクロソフトでさえ、年間51件のマルウェアのハードディスクへの潜伏を許しています。「これだけの数検知できるのは、きちんと管理された環境だからで、そうでなければ攻撃されていることそのものが把握できない。セキュリティでは『便りがないのは悪い便り』」と高橋氏は説明します。

にもかかわらず、日本のサイバーセキュリティ対策は「境界防御」に重きを置きすぎているという問題点を高橋氏は指摘しました。モバイルデバイスの普及により、社内の人がイントラネットの外に出ていく一方で、侵入者はイントラネットの中に侵入し、そこからインシデントが始まることを前提とした対策が求められます。高橋氏は、日本年金機構の個人情報漏えい問題を例に、必要な対策を論じました。

まず最初に攻撃が検知できなかったのは、最新のアンチウィルスパターンファイルが利用されていなかったという問題があります。しかし、ここが最新だったとしても、完全に侵入を防ぐことは困難です。次に、侵入された時にPCやサーバーの権限が適切に設定されていませんでした。アメリカではここでマルウェアが動かないようにするための権限設定ガイドラインがありますが、日本ではそこまで踏み込めていません。

次に問題となるのが、認証情報の管理です。日本のIT資産管理では人とデバイスについてはID管理をしていますが、データをID認証で管理するという概念がなく、これからの大きな課題となります。さらに、データそのものにパスワードがかかっていなかったり、数字4桁などの脆弱なパスワードですぐに破られてしまうという状況でした。

システムとしても、アンチウィルスのパターンファイルの強制配信や問題が発生したパソコンを即座に自動シャットダウンできる仕組みがないなど、システム的な統制とモニタリングが適切にされていませんでした。また、標的型攻撃の怪しいメールを開かない、といった適切な教育や訓練もされていませんでした。

「とはいっても、日本では最後の『教育や訓練』にフォーカスしすぎで、『疑わしい添付ファイルは開かない』と言われてもカスタマーサポートで不特定多数のユーザーのトラブル対応にあたる場合など、業務上開かないわけにはいかないケースもある」(高橋氏)と、人に頼るのではなくシステムや仕組みによる防御の重要性を強調しました。

対策の方向性として高橋氏は2つの事例を紹介しました。オーストラリアのCCERTは、「ホワイトリストによるアプリ制限」「アプリに最新のパッチを適用」「OSに最新のパッチを適用」「管理者権限を持つユーザーを最小限にする」という4つの対策で、標的型攻撃の85%を防ぐことができました。またアメリカのSANS Instituteが推奨する標的型サイバー攻撃対策としては、デバイスとソフトウェアのインベントリ管理、コンピューターの設定、継続的な脆弱性検査と対策で、その次にようやくマルウェア対策が出てきます。すなわち、「日々のIT資産管理」こそが、セキュリティ対策に貢献しているのです。

マイクロソフトのセキュリティ対策は、物理(IDカードによる管理)、ネットワーク、IDとアクセス管理、ホスト、アプリケーション、データの6つのレイヤーで、ActiveDirectoryによるグループポリシーにより、システム的な統制を行うことを基本としています。

この方法の問題は「ActiveDirectoryに参加しないユーザーは管理できない」ということなのですが、この点については、「IPSECの証明書がないコンピューターはイントラネットに接続できない」「IPSECの証明書はActiveDirectoryのドメインアカウントがないと発行されない」という方法をとっています。「イントラネットに接続するためにはドメイン参加が必要、という仕組みにしたことで、それまで5割前後だったドメイン参加率が飛躍的に向上しました。これにより、セキュリティのミニマムベースラインを確保することができました」と高橋氏は説明しました。

セキュリティはネットワーク境界を守るものからIDを中心としたガバナンスへと移行しています。そのための管理基盤整備にIT資産管理は必要であり、すなわちIT資産管理はセキュリティ対策の重要な要素となっています。「経済産業省のサイバーセキュリティガイドラインには『セキュリティは投資対効果が出ない』と言われていますが、それは違うのではないでしょうか」と高橋氏は述べ、セキュリティを担保することにより新たな投資が可能になること、すなわちセキュリティはBusiness Enablerであることを強調しました。

PAGE TOP