情報化社会である今、企業において「IT資産管理」はなくてはならないガバナンスのひとつだ。
IT資産管理」と一口に言っても、保有しているPCの台数はもちろん、セキュリティポリシーに沿った操作監視、ソフトウェアライセンスやアップデートの管理など、統制しておかなければならない要素は多い。
その上、これまでIT資産がまったく管理されていなかったり、管理履歴が中途半端になっているという企業も少なくないだろう。
そのため、どこから手を付けて良いのかわからないと途方に暮れてしまう情報システム担当も少なくない。そんな「IT資産管理」の闇の深さに負けそうな情シスがここにもひとり──

IT資産管理とは?

IT資産管理とは、会社が保有するIT資産を管理することである。
IT資産には「ハードウェア」や「ソフトウェア」、「周辺機器」、「記憶媒体」、「インフラ」があり、所有するデバイスのみならず、社内ネットワークにつながっているデバイスなども管理の対象だ。

ハードウェア PC、スマホ、サーバ、周辺機器(プリンタなど)、記録媒体(USBCDなど) 他
ソフトウェア アプリケーションソフト、OS、ライセンス など
インフラ ルータ、LANケーブル など



IT資産を正確に管理できていないと、
「システムアップデートができていないPCがそのまま使われている」「知らない端末(社員の私用スマホ)が社内ネットワークにアクセスしていることに気づけない」と言ったようなセキュリティリスクが生まれたり、
「余っているPCがあるのに、新しいPCを買ってしまった...」「ソフトウェアのライセンスが残っているのにライセンスを追加契約してしまった...」といったような無駄コスト・無駄工数につながることも。

IT資産管理の基本は「IT資産をすべて管理」することにある。
テレワークで社員が利用しているデバイスの状態、そこからのアクセス状況を把握できないことも増え、さらにスマホの台頭により一人が所有するデバイス数も増えた現代。
IT資産管理はかなり大変になったと言っても過言ではないのだ。

さて、にのまえの会社では、社員のノートPCGoogleChromebook」にし、管理を簡易にすることに成功したようだ。
Google「Chromebook」で煩雑なノートPC管理をスマートにICT SOLUTION!にて

しかし、管理しないといけないものはたくさん
にのまえはどう対処するのだろうか?

にのまえ はじめ

部長のおかげで、営業部などノートPCを使う部署へはChromebook導入が決まりました!
これで棚卸しがだいぶラクになります!

Chromebook…前回のエピソードで召喚された、Google が手掛ける Chrome OS 搭載の運用管理機能がある次世代型ノートPC。

多田野部長

がっはっはっは!ちょうど予算がとれたからなぁ!
でも、内勤の従業員が使っているデスクトップPCは、今までどおりで運用することになっちゃったから、ヨロシク!

にのまえ はじめ

えっ!?ちょっと待ってください!
げげぇぇぇぇ!!
せっかくPCの管理がラクになると思ったのに…

Dr. Protocol

こんな危機的状況こそ、私の出番だナ!
もっともっと状況をカオスにしてやろう!
情報システムの闇に飲まれて負のオーラをよこせェ!

にのまえ はじめ

久しぶりに悪役っぽいセリフ吐いてきたぁぁぁぁぁ!
って何やってるんですか!

Dr. Protocol

自分の扱っているデータが重要と知らず、オンラインストレージにアップロードしてみちゃったり、フリーソフトウェアをダウンロードしてみちゃったり♪

にのまえ はじめ

はぁぁぁぁぁぁ!?
何やってるんですかぁぁぁぁぁ!?

Dr. Protocol

いや~ごめんって!
でもネ、これっていつもはじめくんの会社の社員もやってる可能性のあることなんだよ?
だから、私がやっちゃってもなぁ~んも悪くないよネ!

Joshisu Man

光ファイバーテイル!(ドゴォォォォォン!)

Dr. Protocol

ちょ、ちょっ…!?
い、いきなり殴るなんてヒドイ!
いつもの参上セリフを言わないなんて卑怯だ!
ヒーローとしてどうなんだ!?

Joshisu Man

ふん、ヒーローも人間なんだ…すまないな…!
自社のIT資産倉庫の掃除を手伝わされてオレは今、機嫌が悪い

にのまえ はじめ

(ホントにこの人、ヒーローなんだろうか…?)
ってそんなことより、困ったことになったんですよ!

困ったことになったにのまえ。人間は常に何かあってからその重要性に気づくものだ。
ここでIT資産管理の重要性について考えてみよう。

IT資産管理の重要性

主にIT資産管理はセキュリティとコンプライアンスの強化を目的として実施される。
前述した通り、管理の対象は幅広い。
人数が少ないうちはまだいいが、社員が増えるにつれ、管理の負荷は増大してくる。

セキュリティ対策の観点

まずは例をひとつ。
私用スマホはセキュリティ対策されていないことも多く、何かしらのウイルスに感染していることも考えられる。
もしそのことに気づかず、社員の私用スマホが社内ネットワークにつながってしまっていたら社内のネットワークにウイルスが紛れ込んでしまうことは容易に想像できるはずだ。
「社内LANに私用デバイスはつなげてはいけません」といったような社員教育をおこなうだけでなく、それが完璧に実施されるかどうかは把握し管理する必要がある。
社員が業務に使用している、または、社内ネットワークにつないでいる・つながってしまっている機器を把握しておくことで、上記のようなリスクを回避することができる。

PCの利用状況を把握し、適切なアプリやブラウザ・オンラインストレージ利用がされているかを確認したり、
情報持ち出し状況や許可されたUSBのみが利用できるようにしたりすることで、セキュリティを担保することも必要だ。

コンプライアンス・内部統制の観点

会社でインストールしているソフトウェアを社員がライセンス契約で定められた利用用途の範囲を超えて利用していた場合、ソフトウェア提供会社からライセンス違反として多額の賠償を求められるケースに発展することもある。
社員の利用しているPCでインストールされているソフトウェアのライセンスやその利用状況を把握することは、コンプライアンス・内部統制の観点から必要なことだ。

また自社の保有するハードウェア、ソフトウェア、インフラを把握することは、税務の面でもメリットがある。
必要な分だけIT資産を調達することができ無駄なコストを削減できたり、固定資産の会計処理に役立てることも可能だ。

上記のように、IT資産管理は会社の運営上必要なものだ。
Dr.プロトコルのいたずらにより、IT資産管理ができていないことに気づいたにのまえ。
今回のMISSIONは以下の通り。

Joshisu Man

ふむ、IT資産管理は闇が深いからな…
それ以上にDr.プロトコルの言うとおり、社員の普段のPC操作は危うい。
いくらルールを決めたからと言って守らないヤツは守らないからな。
混沌と化しているものだからこそ、管理者側でコントロールする必要がある。
しかもIT資産毎に管理の仕方も変わるからな。

IT資産の管理対象とその内容とは

前述したIT資産それぞれに対してどのような管理を行っていけばよいのか。
まずはその内容について概要を把握してみよう。

IT資産と管理の内容

ハードウェアの管理

・デバイスのスペックや型番・商品名、メーカー名
・OSの他、どのようなソフトウェアがインストールされているのか
・セキュリティアップデートは対応されているのか
・Webの利用状況はどうなっているのか
・何のファイルを操作していたのか
など

ソフトウェアの管理 アプリケーションソフト、OS、ライセンス など
インフラの管理

・有線LANやアクセスポイントなどのデバイス保有状況
・インフラデバイスの型番や商品名、メーカー名
・各デバイスにインストールされているファームウェア状況
・デバイスが設置されている場所(箇所)
・契約しているインターネット回線やVPN等サービスの把握
など


上記はたくさんある中でも一部の重要なものを抜粋している。
つまるところ、社として保有する資産の名前から利用状況まで、漏れなくすべて把握し管理するということだ。

にのまえ はじめ

そ、そんな…!
管理者といっても、僕ひとりしかいないし…
できるだけ管理負担は抑えたいんですけど!

Joshisu Man

安心しろ!だからこそ私がいるんだ!!
こういう時はツールに頼るのが一番。

にのまえ はじめ

よかった、エクセルに手打ちで入れていけ!なんて言われたら泣いちゃうところでした…
IT資産管理もツールでできるんですね。

IT資産管理ツールのメリット

小数名の会社ならともかく、管理対象や管理内容が多岐にわたるIT資産管理を人的におこなうのは非現実的だ。クラウド型やオンプレ型など、様々なIT資産管理ツールがでているが、ここではそれらに共通するメリットをおさらいしておこう。

情シス担当者の管理作業の効率化

IT資産管理ツールには、端末管理の機能がある。
ツールをインストールしたデバイスの状態(正常なのか、再起動が必要なのか、エラーがでているのかなど)やWindows Updateの状況、インストールソフトウェア状況を把握することができる。
一つの管理画面にデータが集約されていくため、いちいち社員のPCを除いてOSやバージョンをメモしたり、不要なソフトウェアがないかチェックしたりする必要がない。

また、ソフトウェアを最新版に更新したい場合、管理ツールからの操作で一斉アップデートを行うことも可能だ。
いちいちアップデート方法を作成して社員それぞれに操作してもらい、できたかどうかをチェックするなんてことはしなくてもよいのだ。

脆弱性への素早い対応が可能

脆弱性とは、OSや他のソフトウェアにおけるプログラム設計上の不具合やミスを起因とした、情報セキュリティ上の欠陥(バグ)のことだ。
脆弱性については「ゼロデイ攻撃とは?そのリスクと企業がとるべき対策を解説!」で解説

セキュリティを担保するためには、いち早くセキュリティパッチ(修正プログラム)を反映させる必要があるが、人的におこなうと時間がかかる&漏れがでる可能性が高まる。

管理ツールを利用することで、デバイスやインストールされているソフトウェアのOS・バージョンを一括で把握できるため、反映しなければならないものを瞬時に確認できる。
また、ツールによっては管理側からパッチを反映させたり、反映指示をツールから出したりすることも可能だ。

セキュリティポリシーの徹底を後押し

私用スマホをネットワークつないでしまったり、許可されていないUSBで情報のやり取りをしたり...
本来はセキュリティポリシー上、禁止されている行為がうっかり・誤って起こってしまうことはある。

管理ツールでは、管理下にないデバイスがネットワークにつながったことを検知してその通信を遮断することも可能だ。
他にも許可していないUSBを社用PCにつないでもブロックして利用できないようにしたり、利用許可のないソフトウェアのインストールを防いだりすることもできる。

また、個人情報などの機密情報や重要情報を含むファイルの取り扱い、利用状況なども把握できる。
退職者がシステムの設計に関わる情報を無断で持ち出し、競合企業に流出させた事件などがあるが、社内情報(ファイル)がどのように利用されているかが把握できていないと情報流出の原因すら特定できない。
PC上の操作ログを管理・監視することで、有事の際に原因究明をする事が出来る他、日頃から管理・監視しているという事実が、小さな出来心に対しての抑止にも繋がるし、そもそも抜き取った情報を保存する為の記憶媒体(USB等)へのコピーが許可されなければ上記のような事は起こらなかったかもしれない。

あらゆる方面からセキュリティポリシーの遵守徹底を後押ししてくれるのだ。

適切なIT資産への投資が可能

会社で保有しているデバイスやソフトウェアとそれを利用しているユーザを把握しておくことで、無駄なソフトウェアライセンスを発見したり、無駄にデバイスを再購入することを防いだりすることも可能だ。
また、経営計画において、利用者が増えていく場合、どのタイミングでデバイスやソフトウェアライセンスを追加したらよいかなども把握できる。
無駄コストの削減はもちろん、適切な投資計画にも役立つのがIT資産管理ツールだ。

にのまえ はじめ

なるほど。
確かにこれだけできれば、かなり管理負担は減りそうですね。
でもどのツールを選べばいいんですか?
オンプレとかクラウドとかいろいろあるんですよね…?

Joshisu Man

そうだな。
まずは選定のポイントを紹介しよう。

IT資産管理ツールを選ぶポイントとは

ポイントは3つ。自社の状況と照らし合わせながら選定するのがポイントだ。

どこまで管理するべきか

IT資産におけるデバイス部分だけを管理して過剰投資を防ぎたいのか、セキュリティを高めるためにデバイスの持ち出しやファイルの利用状況、PC端末でのWeb利用状況まで細かく把握したいのかによって変わってくる。
テレワークなど働き方が多様な企業であれば、目が行き届かない部分も増えるためそれにも対応した機能が必要だ。

業務上どこにセキュリティリスクがあるのか、管理者側の負担がどこにあるのかを把握することで、適切なものを選ぶことができる。

自社セキュリティポリシーと照らし合わせる

自社のセキュリティポリシーに準拠しているかどうかも重要だ。
セキュリティ上、持込PCの社内ネットワーク接続を禁止している場合は、その発見をするための機能が必要になる。
セキュリティポリシー内に人的には対策できない(もしくは、ツールに任せたほうが安心な)項目があれば、それに対応した機能を持つツールを選ぼう。

対応しているOSやデバイスが何か

自社で使用しているPCMacがあるのに、macOSに対応していないツールを使っても意味がない。
また、管理したいデバイスがスマホや周辺機器まで含まれるということであれば、それも考慮されたツールを選定すべきだ。

にのまえ はじめ

そうですよね。自社の状況に合わせて何がいいかを検討しないといけないのは十分わかったんですが…
とにかく時間がないので、うちの会社にあったツールを教えてください!!

Joshisu Man

そうだな、早くしないと私の残りのタスク(掃除)も片付かないからな!
マルチセキュリティツールを光ファイバーにコネクト!いくぞ!「InfoTrace360」召喚!

~JoshisuMan Equipment③:マルチセキュリティツール~

JoshisuManのベルト部分についているカード型のセキュリティツール。カードについているボタンを押して、共通鍵や秘密鍵の生成はもちろん、カードそのものをかざすことでデータ通信やセキュリティの制御と操作ができる。また、カードを取り外してルーターウォール、光ファイバーテイルに差し込むことで機能をパワーアップ&拡張できる。

~JoshisuMan Equipment①:光ファイバーテイル~

光ファイバーを束ねたようなウィップ型ソード。ひと振りでネットワークにまつわるアレコレを解決できる

にのまえ はじめ

いま掃除がうんぬんかんぬんって聞こえましたけど…まぁいいや
InfoTrace360を入れるとどんなことができるんですか!?

Joshisu Man

簡単に言えば、PC管理ツールだが、勤務実態をも見える化することができるものだ。
クラウドだから、オフィスだけでなく、テレワーク環境でも操作ログやインベントリ情報を収集し、監視・統制することができる

InfoTrace360でできること

クライアント管理

・Infotrace360をインストールしたPCの状態が可視化

・各クライアントのOS,ドメイン,IPアドレス,MACアドレス,ログインユーザ等々のインベントリ情報が確認可能
ソフトウェアライセンス管理

・PC毎に何のソフトウェアがインストールされているのか、
適切にアップデートがされているか確認可能

アップデート管理 ・最新の Windows アップデートが適用されているかを確認可能
USB制御 ・USBメモリなどの外部記憶媒体の使用をシリアル番号で制御する事で利用デバイスの書き込み/読み込み権限をコントロール 
PC利用状況レポート ・PC稼働時間、アプリ業務、WEBサイト閲覧のデータから社員の勤務状況も可視化する事で社員のオーバーワークをフォローしたり、無駄なツール投資を適正化できる
ファイル操作管理 ・オンラインストレージの利用状況、メールやアプリ上でのファイルのやり取りを可視化、持ち出しファイルの管理がされている事を社員に通知することでセキュリティ意識を高め情報漏洩を未然に防ぐ

※一部の機能はオプションです。

Joshisu Man

情報漏洩は悪意の有無に関わらず、内部の人間の操作から起こってしまうことも多い。
例えば、重要な情報だと知らずにWeb上へ公開してしまったり、退職予定者が退職前に顧客リストや機密情報を持ち出したりする...などだ。また、脆弱性の見つかったソフトウェアを最新版に更新せず、そのまま使い続けることで外部からの攻撃リスクにもなる。

にのまえ はじめ

うわぁ...そんなの起こったあとじゃないと気づかないですよ!
たまにすっごい古いバージョンのソフトウェア使ってる社員を見かけます...。
それに退職した社員が競合他社に転職して大事な顧客データや機密情報が渡ってしまった…なんてことになったらオソロシイ...!でも、事前に把握するのは難しい...

Joshisu Man

だからこそ何がどこにあって、誰が利用し、どんな操作がされているのか?を「InfoTrace360」のような管理ツールを導入することで、端末の情報収集をして状態を把握し、操作を制御して適切に管理することが大切だ。さらに言えば、適切なIT資産管理が、組織の運用マネジメントを構築し、内部統制強化にも繋がるだろう

にのまえ はじめ

なるほど!
社員ごとにITリテラシーレベルは違いますからね…不正操作、危ない操作と理解せずに好き勝手してしまう状況はひとりでは手に負えません…
ソフトウェアを装ったマルウェアのインストール感染や情報の持ち出し防止にもなりますね!
これひとつあれば、必要な機能が揃って管理も簡単そうだし、負担も抑えられる!

Joshisu Man

無事解決したようだな!私もIT資産倉庫の掃除を解決してくるとしよう!
強い情シスが企業を伸ばす!また会おう!さらばだ!

Dr. Protocol

えぇ~!?一発殴ったっきり置いてけぼりかよ…

まとめ

【解決】~ICT SOLUTION!~

ゼロから管理する方法のフレームワークを設計しようとすると意外と難しい「IT資産管理」。
結果として、さまざまなシステムやツールを導入したり、専用設備を用意したりとコストがかさんでしまうことも少なくない。そのため、経営からコスト削減を指示されたり、新しいセキュリティ導入の提案をなかなか承認してもらえない実情もあるようだ。
しかし、IT資産管理は情報セキュリティの一環であり、会社の規模が大きくなればなるほど、ないがしろにできないガバナンスだ。

情報漏洩が人の手によって起こされる確率が高いことを考えれば、その重要性も高まるだろう。情報セキュリティ事故は起こってからでは遅い。起こる前の抑止が重要なキーであり、サービスひとつでそのキーがつくれるとなれば、導入しない手はないだろう。

「USEN GATE 02 ― InfoTrace360」

・クライアントにインストールするだけでクラウドでの把握・管理が可能
・テレワーク環境でもデバイスの状態管理が可能
・ファイルの持ち出しなど、情報漏洩対策の基礎を網羅
・ソフトウェアの利用状況も把握できるため、ライセンス数の見直しにも役立つ


TO BE CONTINUED…

<Joshisu Man>

本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。
様々な武器を駆使して情シスにまつわる問題や悩みを解決している。
ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。