IT資産管理

IT資産管理ツールの虎の巻【連載第二回】~IT資産管理ツール5つのポイント~

Written by 丸山 悠介

事業開発本部 ビジネス戦略課所属 MOTEX-CSIRT
パートナーセールス、ダイレクトセールスを経て、製品導入前から導入後のユーザーアフター対応まで一通り経験。
最近はユーザー企業とのワークショップ、CSIRTメンバーとしての活動、外部講演、情報収集活動等々・・マルチに活動中。

IT資産管理ツールの虎の巻【連載第二回】~IT資産管理ツール5つのポイント~

連載一回目は、「そもそもIT資産管理ツールって?」と題し、IT資産管理ツールが登場する前のお話しをしました。今回は、IT資産管理とは何かを明らかにするための5つのポイントを、時代の変遷と共に追っていきます。まだ記憶に新しい事件や事例もあるかと思います。

ポイント①:PC大量導入

2000年代初期、業務スタイルの変化の中でPCを使用した業務が当たり前になり、共有PCでの業務から「PC1人1台環境」に変遷していきました。その中で高価なPC自体の正確な資産管理の為にハードウェア情報収集、ソフトウェア情報収集といったIT資産管理のベースとなる機能が普及していきました。

LanScope Catはこの時期に「PC操作ログ収集機能」を実装しています。今でこそ「内部統制・内部不正対策」という意味合いでメジャーな機能として認知されていますが、当時は珍しい機能でした。MOTEXとしても実はセキュリティを意識して実装したわけでなく、「PC操作を記録しておくことで、IT管理者のトラブルシューティング時の原因究明を効率化する為」を目的として開発した機能でした。

PCトラブル発生時に社員に「何をしたんですか?」と問いかけても「何もしてません」というありがちなやり取りに終始し、原因が分からない。原因さえ分かれば対処は早かったというありがちなシーンに対して直前の操作が把握できれば対応が効率化できるという意図で実装した機能でした。

「~2000年初期」と書きましたが、ネットワークに繋がる新しいデバイスは日々増加しており、IT資産管理に対するニーズは継続して発生するものとなっています。

ポイント②:個人情報保護法

2005年に施行された「個人情報保護法」の影響でIT資産管理ツールに求められる機能が大きく変わりました。ハードウェア・ソフトウェアといった「モノの資産」からその中で動く「データが資産」という考え方に変化していきます。

ハード、ソフトの情報だけでなくそれを使った「人のデータ操作」の把握が必要となり、機能としては「PC操作ログ」が求められるようになりました。セキュリティ認証の取得も個人情報保護法の施行と共に流行を見せPマークやISMS取得の為にもPC操作ログ機能が必要というニーズもこの時期から増加したように感じます。

もう一つ、内部不正での情報漏洩対策としてマスト機能となる「外部媒体制御」機能もこのタイミングで実装されました。IT資産管理ツール市場がセキュリティ市場と混ざりあい商業的にも大きなブレイクポイントとなります。LanScope Catは前述したようにIT管理者の運用支援の意図でいち早くPC操作ログの機能を実装していました。

その為、引き合いが一気に増える中、この時期はまだPC操作ログが取得できるIT資産管理ツールは少数だった事もあり、とても忙しく働いていたことを今でも良く覚えています。昨今ブラック企業が話題になっていますが、当事を振り返ると週4で会社に泊まりこんで日々提案活動に勤しんでいた時期でした。この頃から市場が一気に拡がり、IT資産管理ツール市場に続々と新規メーカー・製品が参入します。

ポイント③:リーマンショック

 

2005年の個人情報保護法の施行以降、順調に成長してきたIT資産管理ツール市場でしたが、2009年のリーマンショックによる不景気の影響をもろに受けました。IT業界全般で大変な逆風が吹き荒れ、IT資産管理ツール市場も同様の状況でした。どこの企業でもIT部門に対してコスト削減の大号令が掛かっていました。その中でLanScope Catの保守打ち切りの打ち合わせも珍しくない状況となりました。

自分が入社して今までを振り返る中でMOTEXとして一番辛い時期の一つだったなと思います。IT資産管理ツールを無くてはならないものと捉えて運用されているお客様は、ありがたいことに継続利用を約束してくれました。「様々なシステムの保守を打ち切ったけどもLanScope Catは残すよ」とありがたいお言葉を頂いたのを今でも覚えています。

ただ、一部ではツールが「セキュリティ認証等の取得の為に導入が目的。活用は特にしていなかった。」という現実も浮き彫りになりました。こういったケースでは自社が生きるか死ぬかの瀬戸際になると、「IT資産管理ツール・セキュリティツールは贅沢品」扱いとなってしまい真っ先にシステム保守の打ち切り対象になってしまったのも事実です。

そんな状況の中でとても勇気付けられたのは、LanScope Catを使ってこの危機を乗り切ろうと新しい活用方法が生まれてきたことです。主に「労務管理での活用」と「アプリケーション稼働率集計によるライセンスコストの最適化」の二つになります。

当事PC操作ログの機能は、「データセキュリティ、内部不正対策の為」が導入目的の主流でしたが、一部のお客様が「PCを操作して社員が何をしているか分かる」という本質的な価値に着目されたのです。「PC操作ログによる労務状況の確認⇒無駄な残業削減」や「高価な有償アプリケーションの稼働率集計⇒未稼働ライセンスを必要なところに割り振る運用」を行い、コスト削減としても大きな効果を上げられました。

ピンチになると人は知恵を絞って新しいアプローチを作り出すんだなと実感させてもらったエピソードです。辛い時期でしたがこの状況があってはじめてIT資産管理ツールの様々な可能性に気づくことが出来たのも事実で、MOTEXにとっても重要なターニングポイントの一つだったと思います。

ポイント④:ライセンス監査の活発化、ソフトウェア資産管理(SAM)

2009年になると大手ソフトウェアメーカーによる本格的なライセンス監査が始まりました。ライセンス違反による多額な賠償事例が頻発したことからユーザー企業の危機意識は高まり、各社対応に追われることになります。IT資産管理ツールに求められる機能もこの流れで高度化しました。

ここまではExcelの台帳管理でなんとか対応してきた組織も、SAM対応では「インストールされたソフトは有償ライセンスなのか?無償ライセンスなのか?」「監査に対応できる4つの台帳が作成できるのか?」など、高度な要件への対応が必要となりました。LanScope Catも「SAMACのソフトウェア辞書連携によるライセンス有償・無償棚卸し機能」、「各種台帳作成機能」、「高度な運用実現のためにSARMS連携」等々、この時期はソフトウェア資産管理に対する機能強化を意識して開発していた時期です。

IT資産管理ツールの機能実装はリーマンショック後の様に「新しい活用法が増える」パターンもあれば、この時期の様に「元々あった機能の更なる深掘り」が行われる流れもあります。この時期はSAM対策によるビジネスチャンスを意識したメーカーが多数参入し、ソフトウェア資産管理に特化した製品が増えたように感じます。

ポイント⑤:某大手教育サービス業の大規模情報漏洩事件

2014年の内部不正要因による大規模情報漏洩事件をきっかけに、ポイント②で記載した内部セキュリティリスクに対してのニーズが再燃しました。この事件はIT資産管理ツール市場に対して大きなインパクトがあったと感じています。個人的にも考え方をがらっと変えられたターニングポイントになった事件で、どこかで詳細を書きたいと考えています。ざっくり言うと「セキュリティできてる体の脆さ」と「本当にセキュリティ強化することの難しさ」を痛感させられたという事です。この時もIT資産管理ツールは機能の深掘りを求められました。

1つ目は「スマートデバイスの制御」になります。外部媒体制御機能は各社製品で実装していましたが、LanScope Catも含めてスマートデバイス含むWPD機器の制御には穴があることが判明した為です。この事件が騒がれる前にWPD機器の抜け道について気づいて報告してくださったお客様は、自分が担当している中では2社のみでした。

お客様の指摘に対応する為、WPD制御可能なカスタムモジュールを開発中の時期に事件が発生したこともあり、市場の中ではかなり早いタイミングで対応機能をリリースできたと思います。ユーザー様との「共創」の価値を実感できたエピソードになります。

2つ目として「PC操作ログ」に求められるものが変化しました。これまでPC操作ログ取得の目的は「何かあったときの証跡としてログを残すため」というお客様がほとんどでした。しかしこの事件の教訓として、「何かあった後にログを追って犯人が分かったところで大損害になってしまう」ことが明確になりました。

当事、ニュースであるセキュリティ有識者の方が「今回の事件で痛恨だったのは、捕まった犯人が『ばれると思わなかった』と言っている事。トレースできる環境を構築していたがそれが伝わっていなかった為に牽制効果が発揮できていないかった。」と話されていたのがとても印象に残っています。昨今「ビッグデータの活用」について盛んに取り上げられていますが、内部不正対策分野でも「ログの収集」から「ログの活用」の必要性を実感させられる事件だったと感じています。

今回は事件や事例と共に、IT資産管理の市場とニーズがどのように変わっていったかをお送りしました。

連載三回目は、最近のトレンドを踏まえ、IT資産管理ツールに求められる新たな課題についてお伝えします。