企業が行うIT資産管理の目的と必要性、選び方のポイントを紹介
デジタル化が進んでいる現在、多くの企業では、デジタルデバイスで様々なソフトウェアサービスやアプリケーションを利用して業務を行っています。これらのPCやスマートフォン、ソフトウェアなどは不動産や有価証券と同じく企業にとって、立派な「資産」のひとつです。デジタルリスク対策の第一歩でもある企業のIT資産管理を行う目的とメリット、また管理を始める際のポイントについて紹介します。
目次[非表示]
- 1.IT資産管理とは
- 2.IT資産管理の重要性
- 2.1.コンプライアンス遵守
- 2.2.セキュリティ対策
- 2.3.IT資産費用の最適化
- 3.IT資産の管理方法
- 4.各管理方法の紹介
- 4.1.手動で管理を行う場合
- 4.2.専門ツールで管理を行う場合
- 5.専門ツールを選ぶときのポイント
- 6.まとめ
- 7.【関連情報】
▼セキュリティ担当者必見!情報漏えいの実態をまとめた資料はこちら
IT資産管理とは
IT資産管理とは企業活動で利用している機器やソフトウェアを管理することです。IT資産にあたるものは次の表の通りです。
資産名 |
対象資産 |
ハードウェア資産 |
PC、サーバー、スマートフォン、複合機、周辺機器など |
ソフトウェア資産 |
OS、ソフトウェアおよびそのライセンス証明書、アプリケーション(Word、Excel、チャットツール、名刺管理など)など |
ネットワーク資産 |
LAN、WANなど |
データ資産 |
上記で保存されている会社保有データ |
具体的には、会社が保有するハードウェアの個数やどの社員がどのPCを利用しているか。ソフトウェアに関してはライセンスの期限がまだ切れていないかなどを把握するために管理します。これらの管理を怠ることは企業にとって非常にリスクとなります。
IT資産管理の重要性
IT資産管理の目的は主に3つ点です。
- コンプライアンス遵守
- セキュリティ対策
- IT資産費用の最適化
これらの目的は企業活動を継続するうえで必要不可欠な内容です。それぞれの目的が達成されていない場合、どのようなリスクがあるのかを確認していきましょう。
コンプライアンス遵守
管理すべき重要なIT資産の一つとして、ソフトウェアのライセンスがあります。この管理が杜撰になると、ライセンスの期限切れや不正な利用につながり、コンプライアンス違反の問題となります。近年はソフトウェアメーカーが企業監査を行い、多額な違約金や賠償金などを課すようになりました。
悪意によるものではなく、不注意でライセンス違反を犯しているケースもありますが、意図的ではなくても企業に金銭的にもイメージ的にも大きなダメージを与えます。コンプライアンス遵守の観点から、IT資産管理は非常に重要です。
セキュリティ対策
IT資産管理を行うことで、各社員のPCや端末の利用を監視、制御することが可能です。これによって情報漏洩を防ぐことができます。
情報を外部に持ち出す方法にUSBなどの外部メモリが使用することが挙げられますが、このような情報持ち出しリスクを低減するために、一部のIT資産管理ツールでは未許可の外部接続を制御することも可能です。他にもファイル交換ソフトウェアなど許可されていないソフトウェアのインストールも制御することができます。
また常に外部からの攻撃に備えて、ウィルス対策ソフトを最新版にアップデートしておくこともIT資産管理の一環となります。
IT資産費用の最適化
所有しているPCの台数や状態を把握しておくことで、無駄な購入費用や保守費用、ライセンス費用を支払う可能性があります。コストの最適化のために機器状態や期限を管理することが必要です。
IT資産の管理方法
管理することの重要性を書いてきましたが、いざIT資産管理を始める場合はどのようにすればよいのか紹介していきます。管理の方法としては次の3つの手段があります。
- 手動で行う
- 専用ツールを使う(無料)
- 専用ツールを使う(有料)
企業によって管理方法は様々です。管理する機器が少ない場合はExcelなどを用いて手動管理している企業もあります。一方で管理対象機器が多い場合は専用ツールを使う企業も存在します。
現在は人員不足や取り扱う情報の増加によって、手作業では十分な管理が行き届かないことから専用ツールを導入する傾向が増えています。企業のフェーズや社内情シスのリソースを勘案して、決めることが必要です。
各管理方法の紹介
手動で管理を行う場合
効果的に管理するために、管理したい対象ごとにExcel台帳を分けて作成するケースが多く見られます。
例)台帳の分け方
台帳名 |
管理目的 |
記入情報 |
資産台帳 |
台数管理、所在管理等 |
機器管理番号、設置場所、導入日など |
ソフトウェア台帳 |
ソフトウェア管理 |
保有ソフトウェア、ライセンス期限など |
リース・レンタル台帳 |
リース契約管理 |
リース期間、リース会社など |
専門ツールで管理を行う場合
専門ツールは一台の端末から一元的に各機器の稼働状況などを管理したり自動バックアップしたりすることができます。価格は無料のものと、有料のものがあります。多機能であるほど価格が高くなります。
専門ツールには各基本システムによって支えられています。
例えば「イベントリ管理システム」はPC名、アプリケーション、OSバージョン、メモリ容量などIT資産の状態を自動に収集して管理します。これはIT資産管理の中でも一番基本的な機能で、特に定期的に行われるIT資産の棚卸作業の負担軽減に役立ちます。
システムの分類
システム名 |
機能 |
用途 |
イベントリ管理 |
端末、機器状態の把握 |
保有資産の状態把握 |
ライセンス管理、ソフトウェア管理 |
ソフトウェアのライセンス把握 |
ライセンス違反対策 |
操作ログ管理 |
端末利用者の操作の監視と記録 |
情報漏洩対策 |
デバイス制御管理 |
外部機器接続の制御と記録 |
情報漏洩対策 |
検疫システム管理 |
ネットワーク接続許可 |
セキュリティ対策 |
セキュリティパッチ管理 |
脆弱性の修正 |
セキュリティ対策 |
手動と専門ツールに共通して大切なことは、実際に機器の実物と設置場所を目で見て登録情報にズレがないかを定期的に確認し、正しい情報を管理することです。
専門ツールを選ぶときのポイント
①システム構築環境(オンプレミスか、クラウド)
自社のサーバー能力や実装したい機能に合わせて選択が必要です。
②機能の確認
機器管理、ライセンス管理、外部機器の接続管理、セキュリティ管理など。どの機能が必要なのか。また不正行為を発見したら記録するだけ、もしくはアラートで警告通知するのかなどの求める仕様も確認が必要です。
③情報収取範囲と精度の確認
管理するためにどんな情報をどんな精度で取得できるのか確認が必要です。
④OSやソフトウェアのパッチ適応の効率性
最新版にアップデートする際に、管理サーバーでパッチファイルを集約して一括で自動適応できるかどうか確認しましょう。
⑤費用
管理対象数、機器の利用者数とツール機能が価格と見合うか確認が必要です。
複数あるツールの判断に迷った際には、IT資産のベーシックな機能を活用し、オプションとして機能追加を検討してみる方法もあります。
まとめ
デジタルトランスフォーメーションが進む中で、企業のIT資産の活用は今後も拡大することが想定されます。より一層企業の活用するIT資産は増えることが想定されます。
しかしながら、デジタル上のアプリケーションやソフトウェアは物理的に確認することが出来ず、管理に抜け漏れが生じる可能性があります。そのような抜け漏れから、コンプライアンス違反が発生すること、セキュリティリスクが生じること、コストの発生などが生じる可能性があります。
以前は、物理的に棚卸しが出来、会社の資産を把握できたことも、デジタル化によって、把握が困難になった一例といえ、まさにデジタル化によって生じた新たなリスクの一つと言えます。
また、IT資産管理だけでは、デジタルリスクは不十分でなく、デジタル上での従業員の動きを把握し、リスクの予兆を検知することまで管理することが理想とも言えます。
情報漏えい対策の相談は、エルテスへ
【関連情報】
〇関連資料
〇エルテスのサービス
・Internal Risk Intelligence(内部脅威検知)
〇関連コラム
・内部不正による情報漏洩はなぜ発生する?事例と不正防止の基本を紹介
