ホーム > WEBコラム

第23回WEBコラム「何のためのプロシージャか?」

PCネットワークの管理・活用を考える会(大阪) WEBコラム

<著者略歴>
そのご苦労とノウハウ、笑い、叫び?を執筆された、「システム管理者の眠れない夜」連載をWindowsNTWorld誌(現在WindowsServerWorld)において1996年より開始。
現在も好評連載中であり、その人気から製本化・出版されております。
(株)クボタをご退社され、現在、大阪市立大学大学院 創造都市研究科 都市情報学専攻 博士(後期)課程にて日々研究に明け暮れる毎日。

はじめに

PCネットワークの管理活用を考える会/クライアント管理分科会、大阪座長の柳原です。前回のコラムから、少し間が空いてしまったことをお詫びします。

お詫びがもうひとつあります。 前回のコラムで、次の分科会のテーマは「グリーンITだ!」と書いていたのですが、諸般の事情(怪しく聞こえますね、、、これ)で、テーマが変わりました。 昨年度のクライアント管理分科会では「ソフトウェアライセンス管理のプロシージャ」を作り、本サイトで公開しました。(ダウンロードはこちら)※ダウンロードにはWEBメンバー登録(無料)が必要となります
これに引き続き、今年は「ソフトウェア管理に必要なハードウェア管理のプロシージャ」(舌を噛みそうです)を作って公開しよう、という目標で動き始めています。

何のためのプロシージャか?

さっそく2008年11月から東京と大阪でその分科会を開催しているわけですが、知人の一人から、厳しい突っ込みがありました。仮にA氏としておきます。

A氏 そういうプロシージャは、それぞれの会社の管理ポリシーが先にあって、そこから決まって来るものだろう。プロシージャが先にあるなんておかしいよ。

はい、ごもっともです。A氏の言いたいことは理解できます。

本来であれば、最初に経営層が認めた管理ポリシーがあって、そこからその会社の実情に合わせて業務に展開されたものがプロシージャでしょうから。 つまり管理ポリシーが変化すれば、プロシージャも変わってくるはずです。それが本来の姿でしょう。

筆者 ま、標準的なテンプレートと考えていただければと思いますが。一から考えるよりも、お手本があったら楽でしょ?
A氏 ライセンス管理というと、情報システム部門にとっては、コンプライアンスの観点からも重要な問題なんだから、簡単にテンプレートで済ませるような考え方には賛同できないな。

はい、これもごもっともです。

確かに、情報システム部門にとって、ライセンス管理は法令遵守の視点から重要です。 保有しているソフトウェアのライセンス数と、インストール数を管理しておくことは、その基本です。筆者も簡単に済ませようと思っているわけではありません。

ただ、ビジネスの観点から言えば、重要な仕事だからといって、いくらコストを掛けても良い、ということにはなりません。コストパフォーマンスは常に意識する必要があります。

実は、A氏の主張するアプローチは正攻法ですが、同時に非常にコストのかかる方法なのです。 言い方は悪いのですが、コンプライアンスを商売の種にしている皆さんにマッチした方法かもしれません。

そもそも、ライセンス管理について、コンプライアンスの観点を重視するのは何故か。

ライセンス管理の目的といえば、不要なIT資産投資を削減するといった直接的なものもありますが、 それ以上に大きなものは、著作権法違反に問われることを防ぐことにあります。著作権法違反への罰則は、最近になって引き上げられているからです。

文化庁は2007年7月1日に著作権法を改正しました。その中に『著作権侵害等の罰則強化を含む著作権等保護の実効性の確保』というものがあります。 罰則の強化内容を見ると、これまでは5年以下の懲役または500万円以下の罰金となっていたものが、改正によって10年以下の懲役または1,000万円以下の罰金と強化されています。 同時に法人に対する罰金刑も、1億5,000万円以下の罰金から3億円以下の罰金へと引き上げられました。

つまり、組織内でのソフトウェアの不正コピーなどが判明して訴えられた場合に、 裁判にもつれ込むにせよ、交渉で和解に持ち込むにせよ、いずれにしてもこの罰金が強化されていることは影響を受けるでしょう。

罰金が引き上げられたということは、組織にとってはソフトウェアの不正コピーなどによるリスクが高まったことを意味します。
  リスクの大きさ = 起こった場合の損害の大きさ × 起こる確率
ですからね。

おまけに、終身雇用という神話が生きていた頃なら、内部告発される確率は低かったはずですが、現代の雇用情勢では、何時、内部告発されても不思議ではありません。 特に昨今の金融危機で何万人ものリストラが行われている情勢では、リストラされた腹癒せに、不正コピーをマスコミや2ちゃんねるなどに通報する人も急増するでしょうね。 ということは、この式の「起こる確率」も高まっていると考えなければいけません。

すなわち現状では、ソフトウェアの不正コピーによるリスクは日増しに高くなっている、と考えざるを得ません。このために、不正コピーを防ぐための対策が急務というわけです。

では、こうしたリスクを発見し対処するための方法は?というと、ボトムアップ・アプローチとトップダウン・アプローチがあります。 この二つの手法は、リスク分析を手掛けた経験のある方なら、誰でも知っています。

ボトムアップ・アプローチは、簡単にいえば、現場をしらみつぶしに調査し、リスクをリストアップしていく方法です。 もちろん、時間も費用(主に人件費)もかかりますが、正攻法でしょう。ただし欠点もあります。 調査はどうしても、組織構成や機能構成の分類を行ったうえで、現場をツリー状に細分化し、それぞれについて調査していくことになります。 このために、ツリー上で離れたところにある複数のリスク同士が関係していても、見落とすことが多いのです。 その複数の現場に詳しい人でなければ、ほとんど見落とされてしまう、といっても良いでしょう。

これに対して、トップダウン・アプローチはベースライン法とも呼ばれています。 簡単に言えば、本来あるべき理想的な姿を想定し、現状とのギャップをチェックする、という方法です。 チェックリストや質問表を使って、現状をチェックしていくわけです。いうまでもなく、この方法はボトムアップ・アプローチよりも手軽に実行できます。 問題があるとすれば、「理想的な姿」というものを、どこからどうやって入手すればいいのか、ということです。

そこで、そうしたテーマを扱っているWebサイトを検索したり、有料セミナーに出かけてみたりするわけです。 書店に行けば、著作権法に詳しい先生方が書かれた参考書も並んでいます。 しかし、理念的な解説ばかりで、具体的な手順にまでは言及していないのが普通です。

情報リスクマネジメントの分野であれば、財団法人日本情報処理開発協会(JIPDEC)から発行されているJRMS(JIPDECリスクマネジメントシステム)解説書などがありますが、残念ながら絶版になっています。また、リスク分析を請け負うコンサルティング会社も、それぞれ独自のチェックリストを持っています。

ここまでお読みになった方は、すでにお気づきでしょう。

昨年度のクライアント管理分科会で作成した「ソフトウェアライセンス管理のプロシージャ」は、ここで言う「理想的な姿」に”近いもの”なのです。 もちろん、このプロシージャはチェックリストではありませんが、本来のソフトウェアライセンス管理は、こうあるべきでは?という具体的な問いかけなのです。

早く、世間並の管理レベルへ

コンプライアンスの観点からライセンス管理を強化していこうとすると、必ず担当者の脳裏を横切るものがあります。 それは、他社はどうしているのだろう?どこまで厳密に行えば、法令を順守していると言えるのだろう?といった疑問です。

「ソフトウェアライセンス管理のプロシージャ」は、こうした疑問に応えることもできます。

もちろん、それぞれの組織が独自の管理ポリシーの元で、独自の管理プロシージャをつくるのは自由です。 自社独自の管理方法を検討することは、悪いことではありません。 研究機関などで、時間やコストを度外視できる組織であれば、自らすべてを考え、ポリシーとプロシージャを作っても良いと思います。

しかし、その検討コスト(時間)をどう評価すればいいのかということが問題になります。 多くの組織では、時間とコストは限られており、同時に「世間並」か、もしくはそれ以上であることを求められています。 そして、先に述べたとおり、ソフトウェアライセンスの管理が不十分だった場合のリスクが高まっていることを考慮すれば、 ゆっくり独自の管理プロシージャを検討するよりも、とにかく早く動き出すことが必要です。

昨年度のクライアント管理分科会で作成した「ソフトウェアライセンス管理のプロシージャ」は、そうした皆さんのために公開されているのです。 ぜひ、ダウンロードしてご活用いただければと思います。

世間並というと、聞こえは悪いかもしれません。 しかし、ソフトウェアのライセンス管理を行うことが「当たり前」の世の中になっているのです。 そのためのツールやプロシージャに「当たり前」のものを採用することは、悪いことではありません。

「ソフトウェアライセンス管理のプロシージャ」のダウンロード
※ダウンロードにはWEBメンバー登録(無料)が必要となります

自己紹介

パーソナルコンピュータとの付き合いは1979年のNEC社製PC-8001から始まっています。
1985年から当時はオフコンと呼ばれていたIBM社のシステム36を使って、機械製造メーカでの社内用生産管理システムの構築に関わりました。言語はRPGでした。 1990年ごろから社内にパソコン通信やLANを導入してきました。この頃からネットワーク上でのコミュニケーションに関わっており、1993年以降はインターネットとWindows NTによる社内業務システムの開発、運用を行ってきました。
1996年からはインターネット上でのコミュニティであるNT-Committee2に参加し、全国各地で勉強会を開催しています。
http://www.hidebohz.com/Meeting/
1997年からはIDGジャパンのWindows NT World誌に「システム管理者の眠れない夜」というコラムの連載を始めました。連載は既に7年目に突入し、誌名は「Windows Server World」に変わっていますが、読者の皆さんに支えられて今でも毎月、締め切りに追われる日々が続いています。
連載から生まれたメーリングリストもあります。ご参加はこちら。お気軽にどうぞ。

「システム管理者の眠れない夜」イメージ「システム管理者の眠れない夜」イメージ「新・システム管理者の眠れない夜」イメージ

Copyright 2008 Hideki Yanagihara All Right Reserved