IT資産管理とは?その重要性や早期導入が肝心な理由を解説!「IT資産管理」をICT SOLUTION!
情報化社会である今、企業において「IT資産管理」はなくてはならないガバナンスのひとつだ。
「IT資産管理」と一口に言っても、保有しているPCの台数はもちろん、セキュリティポリシーに沿った操作監視、ソフトウェアライセンスやアップデートの管理など、統制しておかなければならない要素は多い。
その上、これまでIT資産がまったく管理されていなかったり、管理履歴が中途半端になっているという企業も少なくないだろう。
そのため、どこから手を付けて良いのかわからないと途方に暮れてしまう情報システム担当も少なくない。そんな「IT資産管理」の闇の深さに負けそうな情シスがここにもひとり──
IT資産管理とは?
IT資産管理とは、会社が保有するIT資産を管理することである。
IT資産には「ハードウェア」や「ソフトウェア」、「周辺機器」、「記憶媒体」、「インフラ」があり、所有するデバイスのみならず、社内ネットワークにつながっているデバイスなども管理の対象だ。
ハードウェア | PC、スマホ、サーバー、周辺機器(プリンタなど)、記録媒体(USB、CDなど) 他 |
|---|---|
ソフトウェア | アプリケーションソフト、OS、ライセンス など |
インフラ | ルーター、LANケーブル など |
IT資産を正確に管理できていないと、「システムアップデートができていないPCがそのまま使われている」「知らない端末(社員の私用スマホ)が社内ネットワークにアクセスしていることに気づけない」と言ったようなセキュリティリスクが生まれたり、「余っているPCがあるのに、新しいPCを買ってしまった...」「ソフトウェアのライセンスが残っているのにライセンスを追加契約してしまった...」といったような無駄コスト・無駄工数につながることも。
IT資産管理の基本は「IT資産をすべて管理」することにある。
テレワークで社員が利用しているデバイスの状態、そこからのアクセス状況を把握できないことも増え、さらにスマホの台頭により一人が所有するデバイス数も増えた現代。
IT資産管理はかなり大変になったと言っても過言ではないのだ。
さて、にのまえの会社では、社員のノートPCを Google「Chromebook」にし、管理を簡易にすることに成功したようだ。
(Google「Chromebook」で煩雑なノートPC管理をスマートにICT SOLUTION!にて)
しかし、管理しないといけないものはたくさん…
にのまえはどう対処するのだろうか?
部長のおかげで、営業部などノートPCを使う部署へ Chromebook 導入が決まりました!
これで棚卸しがだいぶラクになります!
※Chromebook…前回のエピソードで召喚された、Google が手掛ける Chrome OS 搭載の運用管理機能がある次世代型ノートPC。
がっはっはっは!ちょうど予算がとれたからなぁ!
でも、内勤の従業員が使っているデスクトップPCは、今までどおりで運用することになっちゃったから、ヨロシク!
えっ!?ちょっと待ってください!げげぇぇぇぇ!!
せっかくPCの管理がラクになると思ったのに…
こんな危機的状況こそ、私の出番だナ!もっともっと状況をカオスにしてやろう!
情報システムの闇に飲まれて負のオーラをよこせェ!
久しぶりに悪役っぽいセリフ吐いてきたぁぁぁぁぁ!
って何やってるんですか!
自分の扱っているデータが重要と知らず、オンラインストレージにアップロードしてみちゃったり、フリーソフトウェアをダウンロードしてみちゃったり♪
はぁぁぁぁぁぁ!?
何やってるんですかぁぁぁぁぁ!?
いや~ごめんって!
でもネ、これっていつもはじめくんの会社の社員もやってる可能性のあることなんだよ?
だから、私がやっちゃってもなぁ~んも悪くないよネ!
光ファイバーテイル!(ドゴォォォォォン!)
ちょ、ちょっ…!?い、いきなり殴るなんてヒドイ!
いつもの参上セリフを言わないなんて卑怯だ!ヒーローとしてどうなんだ!?
ふん、ヒーローも人間なんだ…すまないな…!
自社のIT資産倉庫の掃除を手伝わされてオレは今、機嫌が悪い
(ホントにこの人、ヒーローなんだろうか…?)
ってそんなことより、困ったことになったんですよ!
困ったことになったにのまえ。人間は常に何かあってからその重要性に気づくものだ。
ここでIT資産管理の重要性について考えてみよう。
IT資産管理の重要性
主にIT資産管理はセキュリティとコンプライアンスの強化を目的として実施される。前述した通り、管理の対象は幅広い。
人数が少ないうちはまだいいが、社員が増えるにつれ、管理の負荷は増大してくる。
セキュリティ対策の観点
まずは例をひとつ。
私用スマホはセキュリティ対策されていないことも多く、何かしらのウイルスに感染していることも考えられる。もしそのことに気づかず、社員の私用スマホが社内ネットワークにつながってしまっていたら…社内のネットワークにウイルスが紛れ込んでしまうことは容易に想像できるはずだ。
「社内LANに私用デバイスはつなげてはいけません」といったような社員教育をおこなうだけでなく、それが完璧に実施されるかどうかは把握し管理する必要がある。社員が業務に使用している、または、社内ネットワークにつないでいる・つながってしまっている機器を把握しておくことで、上記のようなリスクを回避することができる。
PCの利用状況を把握し、適切なアプリやブラウザ・オンラインストレージ利用がされているかを確認したり、情報持ち出し状況や許可されたUSBのみが利用できるようにしたりすることで、セキュリティを担保することも必要だ。
コンプライアンス・内部統制の観点
会社でインストールしているソフトウェアを社員がライセンス契約で定められた利用用途の範囲を超えて利用していた場合、ソフトウェア提供会社からライセンス違反として多額の賠償を求められるケースに発展することもある。
社員の利用しているPCでインストールされているソフトウェアのライセンスやその利用状況を把握することは、コンプライアンス・内部統制の観点から必要なことだ。
また自社の保有するハードウェア、ソフトウェア、インフラを把握することは、税務の面でもメリットがある。必要な分だけIT資産を調達することができ無駄なコストを削減できたり、固定資産の会計処理に役立てることも可能だ。
上記のように、IT資産管理は会社の運営上必要なものだ。Dr. プロトコルのいたずらにより、IT資産管理ができていないことに気づいたにのまえ。
今回のMISSIONは以下の通り。
調査
- 会社保有のPC管理ができていない、または管理負担が大きいため作業を軽減したい
- ソフトウェアのライセンスやバージョンを管理し、統制をとりたい
- 操作や機能を制御し、マルウェア感染や情報漏えいを防ぎたい
ふむ、IT資産管理は闇が深いからな…
それ以上にDr. プロトコルの言うとおり、社員の普段のPC操作は危うい。いくらルールを決めたからと言って守らないヤツは守らないからな。
混沌と化しているものだからこそ、管理者側でコントロールする必要がある。しかもIT資産毎に管理の仕方も変わるからな。
IT資産の管理対象とその内容とは
前述したIT資産それぞれに対してどのような管理を行っていけばよいのか。まずはその内容について概要を把握してみよう。
IT資産と管理の内容
ハードウェアの管理 |
|
|---|---|
ソフトウェアの管理 | アプリケーションソフト、OS、ライセンス など |
インフラの管理 |
|
上記はたくさんある中でも一部の重要なものを抜粋している。
つまるところ、社として保有する資産の名前から利用状況まで、漏れなくすべて把握し管理するということだ。
そ、そんな…!
管理者といっても、僕ひとりしかいないし…
できるだけ管理負担は抑えたいんですけど!
安心しろ!だからこそ私がいるんだ!!
こういう時はツールに頼るのが一番。
よかった、エクセルに手打ちで入れていけ!なんて言われたら泣いちゃうところでした…
IT資産管理もツールでできるんですね。
IT資産管理ツールのメリット
小数名の会社ならともかく、管理対象や管理内容が多岐にわたるIT資産管理を人的におこなうのは非現実的だ。クラウド型やオンプレ型など、様々なIT資産管理ツールがでているが、ここではそれらに共通するメリットをおさらいしておこう。
情シス担当者の管理作業の効率化
IT資産管理ツールには、端末管理の機能がある。
ツールをインストールしたデバイスの状態(正常なのか、再起動が必要なのか、エラーがでているのかなど)や Windows Update の状況、インストールソフトウェア状況を把握することができる。
一つの管理画面にデータが集約されていくため、いちいち社員のPCを除いてOSやバージョンをメモしたり、不要なソフトウェアがないかチェックしたりする必要がない。
また、ソフトウェアを最新版に更新したい場合、管理ツールからの操作で一斉アップデートを行うことも可能だ。
いちいちアップデート方法を作成して社員それぞれに操作してもらい、できたかどうかをチェックする…なんてことはしなくてもよいのだ。
脆弱性への素早い対応が可能
脆弱性とは、OSや他のソフトウェアにおけるプログラム設計上の不具合やミスを起因とした、情報セキュリティ上の欠陥(バグ)のことだ。脆弱性については「ゼロデイ攻撃とは?そのリスクと企業がとるべき対策を解説!」で解説
セキュリティを担保するためには、いち早くセキュリティパッチ(修正プログラム)を反映させる必要があるが、人的におこなうと時間がかかる&漏れがでる可能性が高まる。
管理ツールを利用することで、デバイスやインストールされているソフトウェアのOS・バージョンを一括で把握できるため、反映しなければならないものを瞬時に確認できる。
また、ツールによっては管理側からパッチを反映させたり、反映指示をツールから出したりすることも可能だ。
セキュリティポリシーの徹底を後押し
私用スマホをネットワークつないでしまったり、許可されていないUSBで情報のやり取りをしたり...
本来はセキュリティポリシー上、禁止されている行為がうっかり・誤って起こってしまうことはある。
管理ツールでは、管理下にないデバイスがネットワークにつながったことを検知してその通信を遮断することも可能だ。
他にも許可していないUSBを社用PCにつないでもブロックして利用できないようにしたり、利用許可のないソフトウェアのインストールを防いだりすることもできる。
また、個人情報などの機密情報や重要情報を含むファイルの取り扱い、利用状況なども把握できる。退職者がシステムの設計に関わる情報を無断で持ち出し、競合企業に流出させた事件などがあるが、社内情報(ファイル)がどのように利用されているかが把握できていないと情報流出の原因すら特定できない。
PC上の操作ログを管理・監視することで、有事の際に原因究明をする事が出来る他、日頃から管理・監視しているという事実が、小さな出来心に対しての抑止にも繋がるし、そもそも抜き取った情報を保存する為の記憶媒体(USB等)へのコピーが許可されなければ上記のような事は起こらなかったかもしれない。
あらゆる方面からセキュリティポリシーの遵守徹底を後押ししてくれるのだ。
適切なIT資産への投資が可能
会社で保有しているデバイスやソフトウェアとそれを利用しているユーザを把握しておくことで、無駄なソフトウェアライセンスを発見したり、無駄にデバイスを再購入することを防いだりすることも可能だ。
また、経営計画において、利用者が増えていく場合、どのタイミングでデバイスやソフトウェアライセンスを追加したらよいかなども把握できる。
無駄コストの削減はもちろん、適切な投資計画にも役立つのがIT資産管理ツールだ。
なるほど。
確かにこれだけできれば、かなり管理負担は減りそうですね。
でもどのツールを選べばいいんですか?
オンプレとかクラウドとかいろいろあるんですよね…?
そうだな。まずは選定のポイントを紹介しよう。
IT資産管理ツールを選ぶポイントとは
ポイントは3つ。自社の状況と照らし合わせながら選定するのがポイントだ。
どこまで管理するべきか
IT資産におけるデバイス部分だけを管理して過剰投資を防ぎたいのか、セキュリティを高めるためにデバイスの持ち出しやファイルの利用状況、PC端末でのWeb利用状況まで細かく把握したいのかによって変わってくる。
テレワークなど働き方が多様な企業であれば、目が行き届かない部分も増えるためそれにも対応した機能が必要だ。
業務上どこにセキュリティリスクがあるのか、管理者側の負担がどこにあるのかを把握することで、適切なものを選ぶことができる。
自社セキュリティポリシーと照らし合わせる
自社のセキュリティポリシーに準拠しているかどうかも重要だ。
セキュリティ上、持込PCの社内ネットワーク接続を禁止している場合は、その発見をするための機能が必要になる。
セキュリティポリシー内に人的には対策できない(もしくは、ツールに任せたほうが安心な)項目があれば、それに対応した機能を持つツールを選ぼう。
対応しているOSやデバイスが何か
自社で使用しているPCに Mac があるのに、macOS に対応していないツールを使っても意味がない。
また、管理したいデバイスがスマホや周辺機器まで含まれるということであれば、それも考慮されたツールを選定すべきだ。
そうですよね。自社の状況に合わせて何がいいかを検討しないといけないのは十分わかったんですが…
とにかく時間がないので、うちの会社にあったツールを教えてください!!
そうだな、早くしないと私の残りのタスク(掃除)も片付かないからな!
マルチセキュリティツールを光ファイバーにコネクト!いくぞ!「InfoTrace 360」召喚!
マルチセキュリティツール
情シスマンのベルト部分についているセキュリティツール。カードについているボタンを押して共通鍵や秘密鍵の生成はもちろん、カードをかざすことでポートやプロトコルの制御や操作もできる。また、カードを変形ルーターウォールや光ファイバーテイルに差し込むことでウイルス駆除やレジストリの復元を行なうことができる。
光ファイバーテイル
通常は光ファイバーを束ねたようなウィップ型ソード。ひと振りでネットワークにまつわるアレコレを解決できる。柄の先端にLANコネクタのような装飾がついており、スイッチのように押し込むとデータセンターとのコネクト、引き出すとLAN構築、天に向けるとクラウドを呼び出すことが可能。
いま掃除がうんぬんかんぬんって聞こえましたけど…まぁいいや
InfoTrace 360を入れるとどんなことができるんですか!?
簡単に言えば、PC管理ツールだが、勤務実態をも見える化することができるものだ。
クラウドだから、オフィスだけでなく、テレワーク環境でも操作ログやインベントリ情報を収集し、監視・統制することができる
InfoTrace 360でできること
クライアント管理 |
|
|---|---|
ソフトウェアライセンス管理 |
|
アップデート管理 |
|
USB制御 |
|
PC利用状況レポート |
|
ファイル操作管理 |
|
※一部の機能はオプションです。
情報漏洩は悪意の有無に関わらず、内部の人間の操作から起こってしまうことも多い。
例えば、重要な情報だと知らずにWeb上へ公開してしまったり、退職予定者が退職前に顧客リストや機密情報を持ち出したりする...などだ。また、脆弱性の見つかったソフトウェアを最新版に更新せず、そのまま使い続けることで外部からの攻撃リスクにもなる。
うわぁ...そんなの起こったあとじゃないと気づかないですよ!
たまにすっごい古いバージョンのソフトウェア使ってる社員を見かけます...。
それに退職した社員が競合他社に転職して大事な顧客データや機密情報が渡ってしまった…なんてことになったらオソロシイ...!でも、事前に把握するのは難しい...
だからこそ何がどこにあって、誰が利用し、どんな操作がされているのか?を「InfoTrace 360」のような管理ツールを導入することで、端末の情報収集をして状態を把握し、操作を制御して適切に管理することが大切だ。さらに言えば、適切なIT資産管理が、組織の運用マネジメントを構築し、内部統制強化にも繋がるだろう
なるほど!社員ごとにITリテラシーレベルは違いますからね…不正操作、危ない操作と理解せずに好き勝手してしまう状況はひとりでは手に負えません…
ソフトウェアを装ったマルウェアのインストール感染や情報の持ち出し防止にもなりますね!
これひとつあれば、必要な機能が揃って管理も簡単そうだし、負担も抑えられる!
無事解決したようだな!私もIT資産倉庫の掃除を解決してくるとしよう!
強い情シスが企業を伸ばす!また会おう!さらばだ!
えぇ~!?一発殴ったっきり置いてけぼりかよ…
解決
ゼロから管理する方法のフレームワークを設計しようとすると意外と難しい「IT資産管理」。
結果として、さまざまなシステムやツールを導入したり、専用設備を用意したりとコストがかさんでしまうことも少なくない。そのため、経営からコスト削減を指示されたり、新しいセキュリティ導入の提案をなかなか承認してもらえない実情もあるようだ。
しかし、IT資産管理は情報セキュリティの一環であり、会社の規模が大きくなればなるほど、ないがしろにできないガバナンスだ。
情報漏洩が人の手によって起こされる確率が高いことを考えれば、その重要性も高まるだろう。情報セキュリティ事故は起こってからでは遅い。起こる前の抑止が重要なキーであり、サービスひとつでそのキーがつくれるとなれば、導入しない手はないだろう。
本記事の著者
情シスマン
本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。様々な武器を駆使して情シスにまつわる問題や悩みを解決している。ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。
