導入ソフトウェア調査

＜導入ソフトウェア調査の流れ＞

（上記番号は本ガイドブックの項番号を表す）

◆組織全体で共通に導入するソフトウェア（標準ソフトウェア）

及び、組織として導入を許可するソフトウェア（個別導入ソ フトウェア）を抽出する

◆ソフトウェア管理ツールで取得された導入ソフト ウェア情報を分析する

◆標準ソフトウェア・個別導入ソフトウェアに該当しない ソフトウェア（未許可ソフトウェア）を抽出する

◆導入ソフトウェア台帳で管理すべき項目を設定する 6.4.2

導入ソフトウェア調査

6.4.2.3 標準・個別導入 ソフトウェアの

抽出 6.4.2.2 導入ソフトウェア

情報の分析 6.4.2.1 導入ソフトウェア 台帳管理項目の設定

6.4.2.4 未許可 ソフトウェアの抽出

表6-8 導入ソフトウェア調査

項目 詳細

成果物 ・導入ソフトウェア台帳

・標準・個別導入ソフトウェア一覧

6.4.2.1. 導入ソフトウェア台帳管理項目の設定

管理項目は、下記導入ソフトウェア台帳の管理項目を参照してほしい。これら項目はあく まで、コンプライアンスと情報セキュリティの維持・向上を目的とした場合に、最低限取得 すべき項目である。

実際に項目を設定する場合は、SAMの導入目的や、SAM 以外の IT資産管理の目的を考 慮し、設定した目標を達成するために必要な項目が網羅されていることを確認することが必 要である。

また、SAMツールで取得された情報のみでは、下記項目を満たすことができないため、必 要に応じて個別に情報を追加することが求められる。

表6-9 ＜導入ソフトウェア台帳の管理項目＞

管理項目 項目内容

ソフトウェア管理番号 当該ソフトウェアをデータ上一意に認識するための番号 ハードウェア管理番号 同左

導入名称 プログラムの追加と削除に表示されているソフトウェアの名称 ベンダー名 当該ソフトウェアのベンダー名（ライセンス台帳と同じ）

ソフトウェア名 当該ソフトウェアの名称（ライセンス台帳と同じ）

エディション たとえばマイクロソフトOfficeで言えば、StandardとかProfessionalを いう（ライセンス台帳と同じ）

バージョン たとえばマイクロソフトOfficeで言えば、2003とか2007をいう（ライセン ス台帳と同じ）

種別 製品版・フリーウェア・シェアウェア・ドライバなどソフトウェアを利用するた めに必要になるライセンスの種類を判別するもの

ライセンス管理番号 ライセンスを一意に認識するための番号（ライセンス台帳と同じ）

媒体管理番号 導入するための媒体を一意に認識するための番号 導入元 導入をした際に利用した媒体やイメージの情報 導入日 当該ＰＣに導入された日

※主な使用許諾条件と使用数の集計方法は以下のとおり

使用許諾条件 説明

クライアントライセンス PCなどのハードウェア1台に対して１ライセンスが消費され る

サーバーライセンス サーバ1台に対して1ライセンスが消費される クライアントライセンスと考え方は同じ

ユーザライセンス ソフトウェアを利用する利用者 1人に対して 1本ライセンス が消費される

CPUライセンス ソフトウェアが導入されたハードウェアに搭載された物理的 なCPU数1個に対して1ライセンスが消費される

クライアントアクセスライ センス（デバイス）

サーバにアクセスする 1 台のデバイスに対して 1ライセンス が消費される

クライアントアクセスライ センス（ユーザ）

サーバにアクセスする利用者 1 人に対して1 ライセンスが消 費される

包括ライセンス 契約対象の組織全体で保有する PC 台数や従業員数の把握が 必要

※ベンダーとの契約条件により、把握すべき要件が変わる

6.4.2.2. 導入ソフトウェア情報の分析

ハードウェアに導入されているソフトウェアの調査を行う場合、通常、SAM ツールを利用す る。SAMツールの選定については、7.SAM運用上のポイントで紹介されているため、ここでは SAMツールで情報が取得された状態を想定して説明を行いたい。

SAMツールで情報を取得した後、導入ソフトウェア情報の分析を行う。ここでいう分析とは、

導入ソフトウェア情報に「ソフトウェアベンダー」、「ソフトウェア種別」情報を追加する作業を 指す。

ソフトウェアベンダーの特定とは、SAM ツールで検出されたソフトウェアごとにライセンス を許諾するベンダーを特定することである。ベンダーを特定することで、この次のステップで行 うライセンス調査の手がかりを得ることができる。

ソフトウェア種別の特定とは、ソフトウェアを例えば、下表のようなカテゴリに分類すること である。この分類はこの後説明する「標準ソフトウェア」、「個別導入ソフトウェア」、「未許可ソ フトウェア」を選別するために利用する（もちろんこの分類は、組織によって別に定められても 構わない）。

表6-10 ＜主なソフトウェア種別＞

分類名 説明

製品版 有償のライセンスを必要とするソフトウェア

※有償のライセンスであれば、その購入形態（パッケージ・ボリュームラ イセンス・ネット上からダウンロード）は問わない

フリーウェア 無償のライセンスを必要とするソフトウェア

HOTFIX OS やブラウザ・アプリケーションソフトウェアの修正のためにベンダー

から配布されるソフトウェア

その他 下記のいずれかに該当するソフトウェア

・Exeの説明 ・β版 ・インストーラ ・サービス提供ソフト

・サブスクリプション ・ドライバ ・マニュアルなど ・会員配布

・更新版 ・製品の機能 ・体験版/評価版/試用版

・周辺機器に付属するソフト

アドウェア ・Symantecなど、ワクチンソフトベンダーのHPに登録がされている ソフトウェア

・オプトメディア（導入後に外部サイトにWeb閲覧履歴などを 流すソフトウェア）

不明 種別が特定できなかったソフトウェア

6.4.2.3. 標準・個別導入ソフトウェアの選定

導入ソフトウェア情報の精査完了後、組織として優先的に管理すべきソフトウェアを選定する。

ここで重要になるのは、「優先的に管理すべき」というワードである。すべてのソフトウェアを同 じ優先順位で管理しようとすると、管理が始まるまで膨大な時間を要する。

そのため、表6-11のように標準ソフトウェア・個別導入ソフトウェアなど、優先的に管理すべ きソフトウェアを設定し、それらソフトウェアの把握・管理が完了した後、管理対象を未許可ソ フトウェアに順次拡大することを推奨する。

表6-11 標準、個別導入ソフトウェアの選定

ソフトウェアの種類 内容

標準ソフトウェア 組織で標準的に利用するソフトウェア。一般的に、SAMの統括 管理部門で一括管理されるもの。

例：MS Office, Adobe Reader, 圧縮解凍ソフトウェアなど 個別導入ソフトウェア 組織で標準的に利用しないが、利用者が個別に申請をし、導入

が許可されるソフトウェア。一般的に、部門ごとに設定され、

管理されるもの。

例：グラフィックソフトなど

未許可ソフトウェア 管理者の導入許可を受けていないソフトウェア 例：スクリーンセーバーなど

禁止ソフトウェア 組織として導入を禁止するソフトウェア 例：P2Pソフトウェア、ゲームソフトなど パッチ・HOTFIX類 OSやブラウザなどの修正ソフトウェア

6.4.2.4. 未許可ソフトウェアの抽出

初めて未許可ソフトウェアを設定する場合、導入許可に指定すべきソフトウェアが含まれる可 能性もある。そのため、未許可ソフトウェアを、個別導入ソフトウェアに変更する為のプロセス を構築しておくことを推奨する。

その際に重要なことは、「ソフトウェアの導入目的を明確にする」「申請者にライセンスの保有 証明条件を確認させる」ことである。

ソフトウェアの導入目的を明確にするのは、組織としてソフトウェアの要否を判断するためで ある。また、申請者にライセンスの保有証明条件を確認させるのは、ライセンスに対する意識付 けをするため、及び管理者の業務負荷を下げるためである。