攻めと守りの土台となる「IT資産管理」

うちの会社にはどんなパソコンが何台あるの? 即答できないことに潜む危険と対応策

パソコンをはじめ、日々の業務に欠かせないハードウェア/ソフトウェアは増えゆく一方です。快適で生産性豊かな執務環境を整えるといった“攻め”の観点、万一のセキュリティリスクに備えるといった“守り”の観点。その双方での起点ともなるのが、「IT資産管理」の取り組みです。表計算ソフトでまかなっている企業もあるようですが、実態を正しく把握し続けるのは並大抵のことではありません。さて、どのような手立てがあるのでしょうか。(IT Leaders特約)

[2017年 6月 9日公開]

セキュリティ事故は、会社の一大事を招く

ひとたび情報漏えいなどのセキュリティ事故を起こしてしまったら、経営に与えるインパクトは甚大です。どんな事情があったにせよ、責任を問われ賠償金を支払うことになるケースが多々あるのはご存じのとおり。何よりも“情報管理の甘い会社”というレッテルを貼られ、世間からの信用が失墜してしまうことによるダメージは計りしれません。それを機に、大口の取引先からの発注がストップしようものなら、会社が傾く一大事にもつながってしまいます。

もちろん、このご時世、セキュリティ対策に何の手も講じていない企業はまずないでしょう。ウイルス対策ソフトを導入するのはもはや当然。さまざまな“べからず集”を周知徹底して従業員に注意喚起する活動も盛んですし、ISO27001/ISMS(情報セキュリティマネジメントシステム)などの認証を受けて“お墨付き”であることをアピールする企業も増えています。

確かに、こうした取り組みが有効であることは間違いありません。しかし、その前段として重要であり、一連のセキュリティ対策、もっと広くはコンプライアンス順守のための前提となる「IT資産管理」がしっかりとした仕組みや体制の下で実践されているケースは決して多くはないようです。

IT資産を可視化できていなければ、いざというときの対応が後手に回る

IT資産管理とは、「情報システムを構成するハードウェアやソフトウェアなど(=IT資産)について、どんなものがいくつあるのか、誰がどのように使っているのかといった実態を全社的に正確に把握し、健全かつ最適な状態で活用するために一元的に管理すること」を指します。例えば、従業員が日々仕事に使っているパソコン。社内に何台あって、それぞれにどんなソフトのどのバージョンがインストールされているか把握できていますか?「イエス」と即答できないようであれば、さまざまな問題につながることを知っておかなければなりません。

管理が甘いとどんな問題があるのでしょうか。最近のサイバー攻撃では、Windowsを筆頭に、広く普及しているOSやソフトウェアに潜む脆弱性を突くのが常套手段。問題が表面化するつど、開発元が修正プログラム(パッチ)を配布する“いたちごっこ”が続いています。先ごろ、「WannaCry」と呼ばれるランサムウェア(パソコンを操作不能にし復旧のために身代金を要求する悪意あるプログラム)が世界を騒がせたのは記憶に新しいところです。こうした攻撃が蔓延する状況下、危険性のある端末をいつでも速やかに洗い出し、パッチ適用を徹底できる体制が企業に求められています。ここで、そもそも「どんなハード/ソフトが社内で使われているか」が分かっていないことには、全てが後手に回ってしまうことになるのです。

従業員が毎日使っているパソコンならばまだ目が届きやすいのですが、時として問題となるのが買い換えでお払い箱となった古いパソコン。繁忙期にアルバイト職員を迎え、オフィスの片隅に積み上がっていた旧機種をあてがったところ、パッチ適用がおざなりになっていたためウイルスにやられ社内に蔓延してしまったというケースが実際に起こっています。

日ごろ、使い手がなく誰も気にとどめていない余ったパソコンならば、魔が差した人に持ち去られても気づくのが遅れるかもしれませんね。もし、その中に個人情報や機密情報が含まれていたら……大問題となるのは必至です。だからこそ、購入から廃棄まで、機器のライフサイクル全般を通して設置や利用の状況をしっかり管理することが欠かせないのです。

そのほか、IT資産を管理・把握できていないことに起因して起こる問題としてはソフトウェアの「ライセンス違反」も考えられます。ワープロや表計算ソフトなど、多くの従業員が使うソフトウェアはショップで逐一購入するのではなく、必要数のライセンスを一括契約するのが一般的。誰がどのパソコンでどのソフトを使っているのかを明確にしておかなければ、気が付かぬまま“定員オーバー”、すなわちライセンス違反を犯すことにもなりかねません。権利数以上のユーザーがいたことが発覚した場合、うっかりしていたでは済まされず、多額の違約金が発生することもあり得ます。

“ひとり情シス”の負荷は増えゆく一方、表計算ソフトでは対応しきれない

セキュリティ対策にもコンプライアンス順守にも無頓着という経営者はいないはず。IT資産管理の必要性を感じて、あるいは会計上の資産管理との兼ね合いから、システム担当のスタッフに対して、「きちんと管理するように」と既に命じている経営者の方もいることでしょう。

中堅・中小企業の場合、情報システム部門があることはまれで、コンピューターのことに明るい従業員、時に“ひとり情シス”と呼ばれるスタッフが実務を担うことになります。表計算ソフトで「台帳」を作り、パソコンの機種や搭載するOS、導入しているソフトウェアやバージョンといった情報を、使用者名や使用場所とあわせて記入。それをつどメンテナンスしていくのが一般的な方法でしょうか。

この台帳を最初に作るときに、あるいは、実態との食い違いを無くすために少なくとも年に一度は必要となるのが“棚卸し”。この作業は思いのほか、大変です。管理している項目を自己申告してくださいとメールしても、関係者全員が正確に戻してくれることは期待できません。やむなく、現場に出向いて逐一確認するなんてことも起こりがち。こうした地道な方法で対処できるのも従業員の顔と名前が一致する規模、せいぜい100人までというのが現実でしょう。そのほか、サーバーやネットワーク機器、顧客管理や販売管理といった業務用アプリケーションソフトなど、特定の個人にひも付かないIT資産も多々あるため、台帳を維持・管理するのは、企業規模の拡大と共に難しさが増してしまうのです。

管理すべき情報を自動収集! 周辺にもカバー範囲を広げる専用ツール

IT資産の管理を効率的かつ正確にこなす方法はないものか。ここにフォーカスをしたのが「IT資産管理ソフト」と呼ばれる製品。その名のとおり、IT資産管理の実務を大幅に効率化するための専用ツールです。

その中核となる一つが「インベントリ管理」と呼ばれる機能。ハードウェアに関わる情報(PCの型番やOS、プロセッサー、メモリー、ディスク容量…)やソフトウェアに関わる情報(製品名、バージョン、ファイル名、ファイルサイズ…)などを自動的に取得する機能です。人手を介することなくツールの仕組みそのもので自動収集できるため、極めて短時間のうちに現状を正確にとらえることができます。

サーバーやプリンター/複合機、ルーター/スイッチ、さらには業務アプリケーションなどにも情報の自動収集の対象が広がっているほか、使用者や使用場所、購入時期、調達形態(例:購入、リース契約など)といった付加情報も一元的に管理できるようになっているものも数多く存在します。スマートフォンやタブレットなど、多様化する端末への対応も急速に進んでいます。

また、最近の製品の多くは、ソフトウェアの実働数と契約ライセンス数との突き合わせ、パッチの配布と適用、ログ(パソコンなどを操作した記録)の保存や解析、稼働状況やパフォーマンスの監視など、どんどんと機能を拡大・強化しています。単純に管理台帳を作成・メンテナンスするにとどまらず、何か問題やトラブルがあったときに必要となる“プラスアルファ”の業務をもカバーするものとして成長しているのです。“ひとり情シス”をはじめ、実務担当者にとって、実に心強い味方となるのは間違いありません。

計画性を持ったITインフラ整備で投資の価値を最大化させる

IT資産に関わる基本情報や使用状況の可視化は、セキュリティ担保/コンプライアンス順守の礎になるのはもちろんのこと、ほかにもいくつもの効果をもたらします。まだ十分使えるのに余っているパソコンが見つかれば、新規購入を検討している部署に回すことができます。ソフトウェアのライセンスにしても、使ってもいないのにインストールされているだけといったムダを見つけ出せるかもしれません。

もっと大局的に見れば、時宜にかなったITインフラを計画性を持って整えていくことにも役立ちます。社内に散在しているパソコンの導入時期やスペックを画面で一覧すれば、買い換えるべきタイミングや台数、そこにかかるコストといった先々のことが見通しやすくなる。つまりは、IT投資の最適化を推進する材料を提供してくれるのです。

従業員が安心して、そして快適に仕事に打ち込める環境を提供するのは社の使命。セキュリティやコンプライアンス順守の面で現場の手を煩わせず、一方では、しっかりとガバナンスを効かせて怪しき芽を早期に摘む。さらには、せっかくのIT投資を最大の価値へと結び付ける。IT資産管理ソフトは、まさに「働く場改革」の土台を形成するものといってよい存在なのです。

協力メディア

IT Leaders ( http://it.impressbm.co.jp/ )

「働く場改革」が創るビジネスの未来をもっと読む

記事と関連する製品・ソリューション

  • IT資産・ログの管理

    ログの管理と合わせて不正な利用者に対するアクセスの抑止や監視を強化し、情報漏えいを防ぎます。豊富な実績を持つ大塚商会が、お客様の環境に合わせて最適な対策をご提案します。

オススメの記事をご紹介します。