わたしがはじめて携わった情報セキュリティ関連の仕事は、クライアントPCのネットワーク設定の情報や、インストールしているソフトウェア情報を管理することでした。
このときは、化学系メーカーの社内SEとして働いていました。事業規模が大きいので管理するべきクライアントPCの数は膨大でした。そのため、IT資産情報を自動収集するソフトを購入して管理していました。
取得対象となるクライアントPCの主だった管理情報は以下の通りです。自動収集ソフトは下記以外にもたくさんの情報を収集していますが、そのすべてを管理するには負担が大きすぎました。
- コンピュータ名
- IPアドレス
- MACアドレス
- OSバージョン
- ユーザー名
- インストールしているアプリケーション
- アプリケーションのライセンスキー
- アプリケーションのバージョン
情報セキュリティの観点で見た際、いちばん意識していたのは、PCにインストールしているアプリケーションのライセンス情報でした。
アプリケーションはインストールが許可されているものと、されていないものが分かるように管理していました。許可されてないアプリケーションをインストールしている場合は、クライアントにメッセージを送付してアンインストールを促していました。
インストールしているアプリケーションに対しては、ライセンス数が適正かを管理することが主な目的でした。ライセンス管理は自動収集ソフトからの情報だけでは足りないので、ツールとは別に「ソフトウェアライセンス管理台帳」をExcelで作っていました。
アプリケーションを提供しているソフトウェアメーカーは著作権者です。メーカーは著作権者として、何台のPCにアプリケーションのインストールをしていいかを決める権利があります。その為、利用者がアプリケーションをインストールする場合は、ソフトウェアメーカーのライセンスが必要となります。ライセンス数を超えてインストールした場合は、不正コピーとして著作権の侵害となります。
ですので、購入したライセンス数とインストールしたPCの台数を突き合わせて、それが適正かを管理することは、とても重要な仕事のはずですが、その重要性を認識している社員は少ない印象でした。ライセンス料を減らしたいと考える管理職もいて、あちこちの部署で不正コピーが行われているのを黙認したり、そもそも不正コピーが著作権侵害にあたるという知見が乏しい社員もいました。
強者になるとー
俺は〇〇(←ソフトウェアメーカー)が嫌いなんだよ。なんであそこをそんなに儲けさせなきゃいけないんだ。
と言い放つ中間管理職もいました。その反面、ライセンスは多く購入しているのに、そのアプリケーションをインストールしているPCの台数が少ない部門もありました。当時、勤めていた会社は部門毎に情報システムを管理するチームがあり、ライセンスの購入は部門内のシステム管理チームが行っていました。ですので、部門によってライセンスの適正度合いがまちまちでした。
わたしは会社全体のシステムを統括する部門の社内SEでしたので、ライセンス管理の主な仕事は、部門間のばらつきを解消するべく、ライセンスの融通を促し、会社全体として購買の適正化をはかることでした。
なお、上に書いたライセンス契約は「ユーザライセンス」を想定した記載です。ユーザライセンスは、1本のソフトウェアについて1人のユーザーを登録することが可能な契約で、インストールしたソフトウェアには個別のライセンスキーがつけられています。
ライセンス契約はユーザライセンス以外にも、コンピュータの登録台数を固定する契約(マシンライセンス)、場所(部署など)単位で無制限に使える契約(サイトライセンス)があります。また、ボリュームライセンスという同時使用に対する制限を設けた契約形態もあります。これはユーザーが何人まで同時に使えるとか、コンピュータの接続台数とか、アプリケーションの稼働によるリソースの消費などの制限を決める形態です。
ア | PC10台を他部署へ移動させたが,ディスク内のソフトウェアXは消去せず,移動先でそのまま使用した。 |
イ | 新規にPC10台を購入し,ソフトウェアXをインストールしたが,ライセンスの追加購入はしなかった。 |
ウ | ソフトウェアXが販売停止となったので,ライセンス使用状況の管理を中止し,自由にインストールできるようにした。 | エ | ソフトウェアXを,PC100台を超えてインストールしたが,同時に利用しているPCを100台以下にした。 |