Client Voice 国内でもトップレベルの管理体制を整えた石川県庁様、その情報資産管理システムの取り組みとは?

ソフトウェア・ライセンス管理の必要性と実現の難しさ
SAM を実施するべき最大の理由は、コンプライアンスだ。
ソフトウェアは言うまでもなく著作物であり、正当な使用権(ライセンス)を得たもの以外を利用すればコンプライアンス違反となる。
それが発覚すれば企業・組織の信頼性やイメージダウンにつながるだけでなく、企業なら経営にも影響が出かねない。
だがライセンスという目には見えないものを管理することには難しさが伴う。
組織が大きくなり、そこで働く人数が多くなればなるほど、使用されるソフトウェアの数も増えていき、すべてのソフトウェアが正規なライセンスに基づいてインストールされたものなのか調べるには、多大な労力と時間が必要になる。
これを自動化できるツールはないのだろうか?
ネットワークに接続されたPCやサーバなどから、ハードウェア情報やインストールされているソフトウェア情報を吸い上げるだけであれば、インベントリツール(棚卸しツール)が利用できるが、ソフトウェアのライセンスまで自動で判別することはできない。
またインベントリツール機能を含む、いわゆるIT資産管理システムは、ITサービスマネジメントと(ITSM)、情報セキュリティ導入事例マネジメント(ISMS)、 IT 資産管理(ITAM)をバランスよく行えるように設計されているものが多く、SAMに最も必要とされるライセンス管理機能を充実させたものは少ない。
コンプライアンス違反を避けるには、ISO19770でも規定されているように「どのハードウェアに、どんな形式のライセンスを取得した、どんなソフトウェアがインストールされているか」を統合的に管理していくことが必要だ。
しかし仮に1万台のPCがあれば、1万数千種類のソフトウェアが存在すると言われており、企業や官公庁などの大規模な組織では、それを人力で管理していくことは不可能に近い。
果たしてどのような手段を用いれば、徹底したライセンス管理を実現させられるのだろうか ―― 2008年、SAMを抜本的に見直すこととなった石川県庁でも、この大きな課題に直面していた。

手作業によるSAMの困難を打開すべく独自のシステムを開発
石川県庁では当初、次のような管理方法を考えていた。
まず各所属の担当が、それぞれのPCにインストールされているソフトウェアや取得しているライセンスなどの情報を、Excelに入力して台帳を作成する。
これがコンプライアンス上問題のない「あるべき姿」を示したものとなる。
台帳が完成したらそこに記載されている情報と、インベントリツールで集めた実態情報とを各所属で照合、両者間に齟齬がないか検証し、SAMプロジェクトを管理している旧情報政策課に報告するという方法だ。
これで十分にSAMを実現できると判断していた。
しかし手作業を中心としたこの作業は現場の大きな負担となり、最初の報告書が旧情報政策課へ上がってくるまでに2~3ヶ月もかかってしまった。
さらにソフトウェア名の入力ミスやインベントリツールに対応していないデバイスの存在、専門的な知識がないとソフトウェア名とライセンスを照合させられないなど、様々な問題が持ち上がった。
そこで2010年、「運用負荷をできる限り低減すること」を目標に、SAMのシステム化へと舵を切ることになった。
同庁が必要としていたのは、台帳管理システムとインベントリツール、それぞれの情報を突合させられるよう、両者が“分離されていながらも連携する”タイプのものだった。
しかし当時、この要件を満たすツールは存在せず、最終的に株式会社ラクソルをはじめとする開発企業と協力して独自の台帳管理システムを構築し、既製のインベントリツールと連携させることにした。こうして生まれたのがIT資産台帳管理システムSARMS(Software Asset Registration Management System)だ。

SARMSとライセンス辞書で台帳の作成を効率化
SARMS構築にあたっては、ソフトウェア情報もライセンス情報も一つの台帳にまとめる従来の方法を止め、JIPDEC(※1)が発行しているSAMユーザーズガイドを参考に「ハードウェア管理台帳」「ソフトウェア管理台帳(※2)」「ライセンス管理台帳」の3つの台帳をシステムで連携管理できるようにすることで、運用の効率化を図った。
また台帳の入力効率化のために、同庁で「ライセンス辞書」を整備した。
これは一般的に流通しているソフトウェアのライセンスを網羅したもので「このソフトウェアには、どのようなライセンス形態があるのか」「契約したライセンスで、どんなソフトウェアが使えるようになるか」「1ライセンスで何台までインストールできるのか」といった詳細情報がまとめられている。
同庁ではこれを台帳と連携させ、台帳への入力欄はライセンス辞書のデータをマスターとした選択リスト式にした。
作業者は入力フォームに表示されるリストから、購入したソフトウェア名やライセンス名を選んでいくだけ入力を進められる。
これで手入力時に問題となっていたタイプミスや表記のバラツキがなくなり、作業の大幅な効率化が実現した。
ライセンス辞書には他にもメリットがある。
例えばあるライセンスを購入すると、ワープロと表計算、日本語入力など複数のソフトウェアが利用できるようになるというケースは多いが、従来の方法でこれを台帳に登録しようとすれば、ソフトウェアごとにライセンス情報を入力していく作業が必要となってしまう。
しかしライセンス辞書と台帳を連携させることで、一度でそのライセンスで利用可能なソフトウェアすべてを台帳に反映させることができる。
これにより同庁では、保有ライセンスと使用しているソフトウェアの関係性・整合性を簡単に記録・参照できるようになった。
こうして2011年3月、完成したSARMSに、新たに導入した高性能インベントリツールを連携させることで、ソフトウェア資産管理の国際規格であるISO/IEC19770-1にも準拠した、石川県庁独自の情報資産管理業務の運用を開始した。
※1 一般財団法人 日本情報経済社会推進協会
※2 後に「インストール管理台帳」と名称を変更
確実・迅速に台帳と実態の齟齬を発見・是正
情報資産管理システムによるSAM 運用の流れはこうだ。
まずネットワークに接続された約10,000台を数えるPCから、毎日インベントリツールで資産情報を収集、SARMSの台帳と自動で突合させる。
両者に相違があったり問題点が見つかったりした場合には、各部門の管理者に以下のようなメールが届き、またシステムのトップページにもアラートが表示される。
同じメールには解決方法も記載されているので、これを受信した各所属の担当者がすぐに行動を起こすことができようになっている。
またスタンドアロンで使用されているデバイス約6,000台についても、USBメモリなどを利用して定期的にインベントリ情報を集め、検証を徹底しているという。
SARMSとインベントリツールの連携により突合作業の大幅な効率化が実現しただけでなく、問題点を逐次明確化することで、コンプライアンスに反した状態が発生しても、迅速な原因究明と解決が図れるようになったのだ。
SARMS での申請作業・齟齬確認などをきっかけに職員のコンプライアンス意識向上の効果も
新たなソフトウェアのインストールや、使わないソフトウェアのアンインストールに関わる台帳更新プロセスも効率化された。
以前はインストール/アンインストールが行われる度に、管理者がExcelの台帳更新に関わる作業をすべて行うルールになっており、それが大きな負担となっていた。
しかし新システム導入以降は、職員それぞれがSARMS上で台帳更新を申請、管理者は決済が下りた申請だけを呼び出して更新処理を行う方法に変更され、処理時間の短縮と、分担作業による負荷軽減が実現した。
こうしたSARMSを利用しての申請や、毎日の齟齬情報チェックなどを通して、職員の中に「自分も情報資産に関与している」という意識が生まれ、職場全体のコンプライアンス意識を高める効果にもつながっているという。
庁内のコンプライアンス強化やSAM運用の効率化に大きなメリットをもたらしたこの情報資産管理システムは、SAMACからも高く評価され、目標としていた「成熟度レベル3相当」との認定を得ることができた。
なおSARMSは現在、オープンソースソフトウェア(OSS)として公開されており、誰でも無料でダウンロードできるようになっている。
2018年秋には、ユーザーインターフェイスを一新し、より直感的に使えるリニューアル版もリリースされた。
技術情報の提供や情報交換を行うWebサイト「SARMSユーザ会(※3)」も起ち上げられているので、関心のある方はアクセスしてみていただきたい。
※3 http://www.sarms.jp/

現場のニーズを採り入れ、ますます進化するSARMS
その後石川県庁では、使用していたハードウェアの保守期限が切れるタイミングに合わせ、SARMSをはじめとするシステムの載せ替えを実施した。
同時に一部の機能を見直し、SARMSの導入支援を手がけるARアドバンストテクノロジ株式会社の協力を得ながら、改修・改善にも取り組んでいる。
情報システム室 西村和也主任主事は、その内容とメリットを次のように説明する。
「台帳登録では同じソフトウェアでもバージョンが違うと、全く別のソフトウェアとして扱われてしまうことがあったのですが、この差を吸収して、同一ソフトとして統一できるようにしました。これによって登録ミスや作業時間の大幅削減が実現しました。また以前は、一旦インベントリツールで情報を収集してからでないと行えなかったハードウェアの型番登録を、前もって行えるように改修し、期末などの多忙な時期には登録の負荷を分散できるようにしています。」
このようにSAMの改良に積極的な石川県庁だが、今後の抱負について、情報システム室 杉本課長補佐はこう語った。
「ライセンスについての考え方はメーカーの方針や時代に合わせて変わっていくものです。我々もそうした流れを捉えつつ、運用にかかる手間の低減と、管理レベルの維持をしていきたいと考えています。」
―― PCはもとよりスマートフォンやタブレットの普及により、ビジネス現場で活用されるデバイスは年々増加している。
企業・組織は各デバイスにインストールされているソフトウェアのライセンス管理についても、これまで以上に注意を払う必要があるだろう。
インベントリツールでの情報収集だけ、台帳管理だけでは適切なSAMとは言い難く、それらを連携させた検証体制や、問題発生時には即座に解決できる対策を準備しておくことが重要だ。
適切なSAMを構築し、負荷の少ない運用を図っていくためには、その分野に深い知見を持つパートナー企業を迎え、適切なシステムやツールを選定していくべきだろう。
現場の必要性から生まれたSARMSは、OSSという特性上、今後も様々な現場のニーズに合わせて機能追加や改善を繰り返し、いっそう使いやすいものになっていくことが期待される。
SAM構築の根幹をなす台帳管理システムの有力候補として、検討してみてはいかがだろうか。