ソフトウェア資産管理と IT セキュリティ管理が実現するデジタル変革

IDC の Carla Arend による Web セミナー「Digital Transformation, Cloud Adoption and the Impact on SAM and Security(デジタル変革、クラウド採用、SAM およびセキュリティへの影響)」の中で触れているように、クラウド・コンピューティング、サイバーセキュリティ、ビッグ・データ、そしてモバイルは、デジタル変革を支える鍵となるテクノロジです。そのため、デジタル変革を成功に導くにはソフトウェア資産管理(SAM)と IT セキュリティ管理テクノロジが不可欠です。

デジタル変革とは何か

IDC では次のように定義しています。

デジタル変革とは、顧客や市場(外部エコシステム)の混乱を招く変更に組織が順応したり、または変更を推し進めたりする際の継続的なプロセスです。デジタル・コンピテンシを活用して新たなビジネス・モデル、製品、サービスを切り開き、デジタルと物理、ビジネスとカスタマー・エクスペリエンスをシームレスに融合しながら、運用効率と組織パフォーマンスを向上します。

また IDC は、デジタル変革を確立する基礎となる同社の第 3 のプラットフォームについて、モビリティ、ビッグ・データ/分析、クラウド、ソーシャルで構成されると定義しています。クラウドがプラットフォームとデジタル変革プロセスの両面において重要であることは明らかです。

図 1:IDC の第 3 のプラットフォーム

ところで、クラウドとは何でしょうか。実はクラウドも(ほとんどが)ソフトウェアです。クラウドのエンタープライズ・アプリケーションはSoftware as a Service(SaaS)によって提供されます。自社で保有するオン・プレミス・エンタープライズ・ソフトウェアはパブリック・クラウド、プライベート・クラウド、ハイブリッド・クラウド環境に移行しつつあります。当然ながら、Infrastructure as a Service(IaaS)にはハードウェアのようなコンポーネント(仮想サーバーのインスタンス)が含まれており、基本的なコンピューティング・キャパシティを提供します。しかしこれもまた、IT 資産管理(ITAM)チームによる管理が必要です。

クラウドの採用は、毎年 21 %という急速なペースで拡大してきました(下記のグラフを参照)。適切に管理しさえすれば非常にコスト効率が高く、拡張性に優れた IT サービスを迅速に利用できるため、クラウドの採用によりビジネスは加速します。

図 2:ソフトウェアおよびパブリック・クラウドの予測(出典:IDC の Semiannual Software Tracker、2016 年上半期)

ソフトウェア資産管理と IT セキュリティ管理テクノロジがデジタル変革の鍵となる理由

まず、SAM について説明します。ソフトウェア資産管理は、自社の・ソフトウェアの管理と最適化のみならず、クラウド・サービスも取り込みオン・プレミスながら発展してきました。クラウド・サービスにはInfrastructure as a Service(IaaS)Software as a Service(SaaS)の両方が含まれます。(次のブログを参照してください:世の中クラウドに移行しつつあるのでしょうか?はい、その通りです!)クラウドコストの管理、クラウド・インフラストラクチャ・インスタンス活用の最大化、そしてクラウドの無秩序な拡大の制御は全て、現在の SAM プログラムにとって不可欠な要素です。
クラウド・サービス(IaaS、PaaS、SaaS)にとって、コスト管理が不可欠です。Amazon Web Services(AWS)などのパブリック・クラウド・サービスを使用していると、各部署用、またはコスト・センター別に複数のアカウントが作成されるなどして、全社的なコストの可視化が困難な場合があります。SAM ツールに求められるのは可視化であり、未使用のキャパシティで過剰支出になっている部分を具体的に示します。たとえば、次のスクリーンショットに見られるように、未使用のリザーブド・インスタンスがあるために、多額のコストが余分にかかっているかもしれません(図 3)。

図 3:Amazon Web Services の全社的なコストを表示する SAM ツールの財務ダッシュボード

同様に、SaaS サブスクリプションの支出の管理も必要です。具体的には、SaaS サブスクリプションの使用状況を監視して、仕事が変更になったり退職したりしたユーザーのライセンスの回収および再割り当てを行う必要があります。また、Microsoft Office 365 のように、ユーザーに合わせて適切なサブスクリプション・プラン・レベルを選択することも含まれます。

また、上記のブログで示したように、クラウド・インフラストラクチャ・サービスへの移行は、通常、クラウドに一部のオン・プレミスのソフトウェアを移行することも意味します。この場合、引き続きそのソフトウェアのライセンス・コンプライアンスを管理する必要があります。その管理責任は、大抵の場合、クラウドのベンダーではなく、引き続き自分たちで負うことになります。それには、社内のオン・プレミス環境にあるソフトウェアを把握し、さらにそのソフトウェアをクラウドに移行するためのライセンス・モビリティ権があるかどうかを確認することも重要です。こうしたことは全てソフトウェア資産管理者の責任です。

クラウドの無秩序な拡大、別名「シャドー IT」の制御も、IT 資産管理チームのもう 1 つの重要な役割です。この職務を遂行するにはエンタープライズ・アプリケーション・ストアがエンタープライズ・アプリケーション・ストア役立ちます。このアプリケーション・ストアでは、承認済みのソフトウェアやクラウド・サービスを迅速かつ簡単に利用できます。そのため、ユーザーや各事業部門が IT 部門を介さずにこうしたツールを入手して業務に使用する可能性を低減できます。

次に、IT セキュリティについて説明します。デジタルの世界では、ビジネスはデータや知的財産を盗み、IT システムを乗っ取ろうと企てるハッカーの脅威にさらされています。これこそ、ほとんどの組織において、サイバーセキュリティが経営幹部レベルの最優先課題となっている理由です。サイバー犯罪者にとって主要な「攻撃ベクトル」は、エンタープライズ・ソフトウェアに存在する脆弱性です。2016 年には 17,000 件を超える脆弱性が公開されました。ハッカーたちは、こうしたソフトウェア脆弱性を悪用するためのキットを開発しました。

ソフトウェア脆弱性とパッチの公開状況について詳しくは脆弱性レビュー 2017 をご覧ください。Secunia Research の勧告では、2016 年の脆弱性のうち 18 % が「非常に危険」にランクされたことが分かります。セキュリティ・リスク軽減のため、こうした脆弱性は修正されなければなりません。

図 4:ソフトウェア脆弱性の致命度

致命度のランク付けは、社内のセキュリティ・チームや IT 運用チームがパッチ処理に優先順位を付ける上で重要です。毎月大量の脆弱性が公開されるため、この優先順位付けは欠かせません。「どの脆弱性がもっとも重大で最初にパッチを適用するべきか」を知る必要があるのです。

ソフトウェア脆弱性管理ツールの使用により、IT セキュリティ・チームは社内の IT 環境にある脆弱性を評価し、優先順位を付け、セキュリティに効果的なプロセスを経て、IT 運用チームと連携して脆弱性にパッチを適用し、セキュリティ・リスクを軽減します。2016 年は、全ての脆弱性の 81 %で、その開示日にパッチが公開されました。これは 2015 年の 84.5 %と比較して、わずかに低下しています。

このように、IT/ソフトウェア資産管理と IT セキュリティ管理がデジタル変革を成功に導く鍵なのです。また、IT/ソフトウェア資産管理と IT セキュリティ管理は、この戦略的な業務変革プロセスにおいても不可欠です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です