事件発覚後「某自治体IT推進本部」は、今回の事件発生の要因として「ソフトを管理する具体的な体制がなかった」ことをあげています。実質的に、ソフトウェアの違法コピーや不正利用に対する防止策が無く、また利用実態を定期的に分析する体制も整備されておらず、結果として大量の違法コピー発生につながってしまったことが考えられます。
事件の大きな特徴の一つは、組織としての対応に、明らかな遅れがあったことです。某自治体は、実は2007年2月の段階ですでにソフトウェア開発元から違法コピーの可能性を指摘されていました。しかし、この段階で某自治体の具体的な対応策はありませんでした。約1年半後の2008年7月にようやく実態調査がスタートします。さらに約1年後、2009年6月になって、やっと全職員に対する違法コピーに関する注意を行います。開発元から指摘を受けて注意まで、実に2年以上経過しています。指摘後も、実質的に放置期間が続いてしまったことで、
違法コピーがさらに増加してしまった可能性が考えられます。
発覚後、職員を対象にした調査では、職員に対するソフトウェアの不法行為に関する教育不足も明らかになりました。調査結果では、実際に職員が「職場内や庁内のソフトであれば法令違反とならないと誤解していた」また、「ライセンスに関する知識がなかった」と回答しており、こうした職員の基本的な知識不足が、違法コピー大量発生の要因となったことが考えられます。
ライセンス調査が入る前、もしくは調査票が届いた際に、一番最初に行わなければならないことは現状のソフトウェアを含むIT資産の保有状況・利用状況を把握することです。IT資産の保有状況・利用状況は日々変化し続けているため、現状把握は、どれだけ短い期間で完了させるかが重要となります。しかし、状況を把握することはそう簡単なことではありません。
Microsoft社より2012年5月に「ライセンス調査」の連絡がありましたが、Microsoft社の保有証明となる部材が正確にはわからず、また、ライセンス調査票への回答方法もよくわからなかったために困っていました。同時期に開催されていた情報セキュリティEXPOでMOTEXブースへ立ち寄った際に、「ソフトウェア資産管理(SAM)ソリューション」の紹介を受けました。既にLanScopeCatを導入済であったため、当社の課題を解決できると考え、MOTEX社の「ソフトウェア資産管理(SAM)ソリューション」を申し込むことにしました。
現在は2名体制で管理・運用を行い、「集中管理」を実施しています。
一定金額以上の物品を購入する場合には、購入申請を上げることになっています。申請ルートのなかに、PC関連の購入窓口となるPC管理部門が含まれていることと、導入作業はPC管理部門が必ず対応することになっているため、購買希望部門からPC管理部門へ連絡がくる運用ルールになっています。 また、社員には基本的に管理者権限を与えていないため、勝手にインストールができないようにしています。万が一インストールができた場合でも、LanScopeCatのアラームとして把握できるため、未申請の場合には、社員の所属部門に確認することになっています。
新入社員研修時において、LanScope Catの導入および運用について説明し、『同意書』に
サインをもらうことで、PCの利用に関して意識付けを行っています。研修では、LanScope Catは、社員監視ツールではなく、何らかの事故・事件が起こった場合に、問題がない社員を守るツールという位置づけであると説明しています。 もし、社員側のPC利用ルール誤認識によりLanScope Catでアラームが発生した場合には、PC管理部門側から各部の部門長へ報告します。部門長から社員へアラーム発生状況を確認・指導をしてもらうことで、各部の業務に応じた運用になっていると思います。
現在、ハードウェア/ソフトウェア/ライセンスの管理台帳については、LanScope Catと別に独自の管理データベースで管理をしています。インベントリ情報は「LanScope Cat」で管理していますので、独自管理DBと突き合わせを行い、齟齬情報を確認しています。
基本となる管理はできていると考えていますので、今後はライセンスの「残数管理」や「履歴管理」をしていきたいと考えています。「残数管理」は、各部門での費用負担があるため、会社全体でのライセンス総数管理ではなく、費用負担部門単位での残数管理を行っていく必要があります。(例えば、A事業部でライセンスが30本余剰、B事業部で20本不足している場合でも、A事業部からB事業部に20本を割り当てることはできません。)
また、現在の端末に入っているライセンスの把握はできていますが、端末の廃棄・交換等で、ライセンスを付け替えた場合の「履歴管理」も実施したいと考えています。
上記の内容をLanScope Catの「ソフトウェア資産管理画面」を活用し、「検討中」「導入済」「廃棄済」の購入ステータスで分けて、契約毎に管理をできるように検討していく予定です。
当金庫は21店舗で約200名の職員が在籍しています。当部の業務内容は、信用金庫業務の核となる勘定系システムの運用管理の他、業務で使用するサーバーやクライアントPCの管理を行っており、それらを5名体制で支えています。システム管理を行っていく中、平成17年4月より実施された個人情報保護法の対応として、勘定系システム以外のサーバやクライアントPCの管理を実施するために、「LanScope Cat」を導入しました。
信用金庫業界を含め様々な業種において、ライセンス調査の必要性が高まっていることを各種情報媒体から知りました。ライセンス管理の考え方はある程度把握できてはおりましたが、専門的な詳細な部分までは把握できていませんでした。
そこでライセンス遵守状況の確認を正しく行う為にも、今回「ソフトウェア資産管理(SAM)ソリューション(ライセンス過不足チェックサービスとSAM体制チェックサービス)」を実施しました。
現在、ライセンスの管理体制としてはシステム担当の2~3名が中心となり、集中管理を実施しています。システム管理者以外は、クライアントPCへのソフトウェアインストール等は出来ない環境にしている為、何らかの目的によりソフトウェア導入を行う際には当部へ連絡が来るようにしており、その正当性を確認後にソフトウェアを導入する、といった流れとなっています。
今後としては、現在のライセンス管理体制に加えて、ソフトウェアとライセンスをより管理を強化(例:購入履歴の管理)する為に、体系立てた体制(例:ワークフローのような申請体系)及び方針を強化し、またスタンドアロンPCの管理強化についても進めていきたいと考えています。
コスト削減及びコンプライアンス遵守において、LanScope Catの機能をより活用し、ソフトウェアやライセンスの一元管理、また、ソフトウェアやライセンスの使用変更があった際の変更管理のできる管理体制の強化に取り組んでいきたいと考えています。
LanScope Catは実績がありますので、安心してお付き合いができています。その中で、今回の「ソフトウェア資産管理(SAM)ソリューション」を受けて非常に良かったと感じています。実際に担当者のみでこのような調査(棚卸)を行い結果を出すためには、相当の時間が費やされることとなり、業務運営において大きな支障がでることが容易に想定できます。他業者でも同様なサービスを行っておりますが、今回エムオーテックス社は「キャンペーン対象となり無償」ということもあり、実際の費用に加えて、人件費等を含めて、実施効果は非常に高かったです。また、製品のマニュアルも非常に見やすいですので、非常に助かっています。今後としては、さらにLanScope Catを活用していきたいと思っていますので、LanScope Catの操作方法のレクチャーをご提案していただけると助かります。