SAM ベースライン作成の4つのステップ

ソフトウェア資産管理を効率的、効果的にソフトウェアライセンス最適化ツール用いてベースラインを作成するための4つのステップ

 

メーカー監査への対応

・メーカー監査のために各ソフトウェアメーカー毎に対応するのはコスト高になる。

ソフトウェアのメーカーとの契約条件により測定項目(管理が必要となる情報)が異なるため、メーカー監査の対応を行うと結果として当該メーカーのためだけにソフトウェア資産の棚卸作業となる。その結果、メーカー監査が来るたびに同じような作業を繰り返し行うこととなりコスト高な作業となる。

 

 

1)保有情報の収集と管理

・購入ライセンス(責任:財務部門、購買、部門購買)

 まず一番最初にすべきは、組織で既に購入済のソフトウェアライセンス資産の棚卸だ。購入が会社として行われているか、部門で行われているかに関わらず、すべての購入済みのソフトウェアライセンスの情報を収集しリスト化する。

 メーカー毎、製品毎、そしてバージョンアップ版であれば、そのオリジナルに辿れるすべてのバージョンアップの支払履歴情報を収集する。(現時点での使用ライセンスがバージョンアップ版の場合、オリジナルの購入証明まで遡って情報を要求される。オリジナルの正規版からバージョンアップ規程に則って現在使用中のバージョンアップ版までの履歴が辿れない場合、オリジナルの正規版を新たに購入させられる場合がある)競合(コンペティティブ)アップグレードキャンペーンなどを利用した場合は、対象となる競合製品のライセンスまで辿る必要がある場合もあるので注意が必要。

 EA(包括契約)やボリュームライセンス、パッケージ、OEM版などの種別毎に分別し、過去に購入、支払済みのソフトウェアライセンスの全ての情報を網羅するリストを作成する。

 

・ライセンス契約書

 購入済のライセンスの契約書の棚卸。購入ライセンスのライセンス契約書をすべて集め、保管庫で管理する。デジタル版の場合はデジタル版を保存、またはオンラインであればオンラインのアクセス情報を保存。

 

・EULA(使用許諾契約書)

 それぞれのソフトウェアにはEULA(End User License Agreement: 使用許諾契約書)が付属する。ライセンス契約書またはEULA に定められたライセンスの使用条件を洗い出し、それぞれのライセンスの運用状況を監視するための測定項目を策定するための情報として管理する。

 例:デバイスライセンス、ユーザーライセンス、キャパシティライセンス。具体的な条件をリスト化し、測定項目の策定情報とする。

 

・購入証明

 支払った請求書の情報または支払の日付や口座情報などから、それぞれのメーカー毎に必要とされる購入証明に必要な情報。(組織の規模、成熟度およびメーカーとの関係により必要性の度合いが異なる。2012年現在で厳しく追及されるケースは少ない。多くの場合、メーカー監査ではユーザーの購入情報を基に監査活動を行っているため。)

 

・デバイスライセンス管理に必要なデバイス資産管理

 デバイスライセンスはデバイスに割り当てられるために、割り当てられるデバイスを管理する必要がある。(デスクトップパソコン、ノートパソコンなど)

 

・ユーザーライセンス管理に必要なデバイスのユーザー管理、ユーザーのアクセス権管理

 ユーザーライセンスはユーザーに割り当てられるために、割り当てられるユーザーとユーザーが使用するデバイスを管理する必要がある。

 

2)インストール(配置・デプロイ)の現状の把握(インベントリ情報の収集)

・オン ネットワーク

 ネットワークに接続されたデバイスにインストールされているソフトウェアであれば、インベントリ収集ツールを使用してインストール情報を収集する。

 

・オフ ネットワーク

 ネットワークに接続されていないデバイスにインストールされているソフトウェアであれば、手動でインベントリ収集ツールをローカルで使用し、インストール情報を収集する。

 

・デバイスライセンス

 デバイスライセンスであれば、割り当てられたデバイスおよびデバイスの使用者(ユーザー)とロケーション(使用場所)を特定する情報が必要となる。(但し、EULA などで特定の条件の指定があれば EULAに則る)

 

・ユーザーライセンス

 ユーザーライセンスであれば、割り当てられたユーザーおよびユーザーが使用するデバイスとロケーション(使用場所)を特定する情報が必要となる。(但し、EULA などで特定の条件の指定があれば EULAに則る)

 

・データー クレンジング(スクラビング)

 インベントリ情報をインベントリツールを使用して収集した場合で、インベントリ情報が集約されていない場合は、データークレンジングが必要となる。

 インベントリ情報を特定するためのデバイスの特定には、資産管理番号(論理的一意識別子)や個体を識別するための個体の物理的一意識別子(MACアドレスやシリアル番号)などで個体を特定し、デバイス個体ごとのソフトウェアインベントリ情報を集約し、最新のソフトウェアインストール状況を把握する。この場合、ソフトウェアによっては、「ソフトウェアの追加と削除」で取得できる情報で十分な場合もあるが、特定のレジストリキーにあるシリアル番号が必要となる場合もあるため、EULA やメーカーに確認し、ベースラインの策定や内部ライセンス監査報告書に必要な項目を確認する必要がある。

 

 

3)保有情報(資産“正”台帳)と、インベントリ(現状)の突合および整合化

 ベースラインを確定する前の作業として、保有情報とインベントリ情報の突合がある。保有情報として把握しているライセンスと、実際に現場にインストールされ使用されているソフトウェアの情報を突合し、そこに齟齬がないかどうかを確認する。保有情報には存在しないが、インストールされているソフトウェアや、保有情報に存在するが、実際にインストールされていないソフトウェアなどの存在を確認する。

 ・保有情報に存在しないが、インストールされている

なぜ、保有情報に存在しないが、インベントリ収集で情報があがってきたのか?本当にインストールされていて、使用されているのかを確認する。

インストールされて使用されているのが確認された場合、本当に購入していないのに使用しているのかどうかを確認する。

インストールされ、使用されているが、購入されていない場合、本当に必要かどうかを確認し、必要であれば購入する。誤ってインストールされたのであれば、アンインストールする。

 ・保有情報に存在するが、実際にインストールされていない

なぜ、購入したのにインストールされていないのか?本当にインストールされず、使用されていないのかを確認する。

購入した経緯を確認し、現時点で使用を希望している人や部門がないかを確認する。

本当に現時点での使用者がいない場合は、使用を希望している人や部門へ割り当てて問題ないかを確認の上、割り当てし配置する。

 

4)ベースラインの確定

保有情報とインベントリの整合性が取れた情報を最初のベースラインとしたいところだが、必ずしも最初から100% の整合性を確保できるわけではない。できる限り100% の整合性を目指し、維持・改善を継続的に活動に盛り込み、高い整合性を確保できるように継続的改善計画の活動を実施する。

 最初のベースラインとして、ある程度満足できるレベルまで突合・整合化が進めば、その情報をベースラインとして管理の自動化ツールへインポートする。

 

管理の自動化テクノロジー

・エンタイトルメント:ライセンスの紐付

 

IT資産管理レポジトリ

 資産台帳としてデバイス資産およびソフトウェア資産の情報を管理する。

 デバイス管理項目として論理的一意識別子や物理的一意識別子、スペックなど、ソフトウェアの管理項目としては、ライセンス数、ライセンス契約の内容(使用条件)、EULA(使用許諾契約書に定められた使用条件)、ライセンスキー、ライセンス証書、メディア、ビルドなどデジタルファイルの保存場所などがあげられる。

属性情報として、デバイスに関わる様々な契約(レンタル・リース契約、保守契約など)、マニュアルなど関係文書など、どこまでの範囲を管理対象とするかを定義しIT資産管理レポジトリで管理する。

組織によっては、目標としてサービスモデル実現のためのサービスマネジメントシステムとの連携・統合を念頭に置いている場合は、構成管理データベース(CMDB)や 構成管理システム(CMS)とのインターフェースを考慮する。

 

インベントリツール

 インベントリツールで注意すべきは、使用条件に基づいた運用状態を確認するに十分な情報をデバイスを特定し、あるいはユーザーを特定した情報として収集し、IT資産管理レポジトリにある保有情報との突合を自動化することが可能な機能を提供しているか否かだ。

 多くのツールは「できる」と謳っているが、デフォルトの設定では不可能で、測定項目を理解した上で対象となる情報を指定し、収集する設定が必要となることに十分に注意する。

タグ: , ,

コメントは受け付けていません。