BSA
 
6.情報資産管理システムの導入

1)情報資産管理システムの調達

情報資産管理システム

石川県では、数年前に導入していたインベントリツールと不正接続検知装置の更新のタイミングで、SAMの運用を含めシステム化することとした。

石川県における情報資産管理システムは、情報資産の運用に関する各種申請内容を管理台帳の情報更新とリンクさせ、インベントリ情報との差分を毎日確認できる仕組みとなっており、SAMにとどまらず、網羅的なIT資産管理の運用としても、非常に先進的な仕組みである。石川県のSAMを最も特徴づけているものといえるだろう。

手作業で運用した経験を踏まえ、平成22年2月から6月にかけて仕様を作成し、外部(SAMコンサルティング会社)による必要機能のチェックも受けた。

目標は規程類と同じく以下の2点とした。

・ソフトウェア資産管理の運用負荷をできる限り低減すること
 (適切なエラーチェックと入力サポート、インベントリツールとの連携による実態と台帳の齟齬チェック)

・評価規準の成熟度レベル3を充足すること

システムの調達にあたっては、様々なツールを試したり、ベンダーの話を聞いたりしたというが、SAMについての理解が浅いベンダーもおり、あいまいな仕様書により入札すると、落札した業者が用意したシステムではSAMの運用に必要な機能が足りず、使い物にならない可能性があると感じたという。このため、調達仕様書はシステム設計書に近いレベルで詳細に記述されたものとなった。なお、この仕様書は、地方公共団体業務用プログラムライブラリ(地方公共団体のLGWANに接続可能な端末のみアクセス可能)で公開されているので、参照可能な方は、そちらをぜひご覧いただきたい。また、石川県が構築したシステム(石川県情報資産管理システム)のうちのインベントリツールを除く部分は、「SARMS」(Software Asset Registration Management System:ソフトウェア資産台帳管理システム)という名称でオープンソースソフトウェアとして公開されている。これも地方公共団体業務用プログラムライブラリに掲載されているので、システム調達の際には併せて参考にされると良いだろう。

2)必要な台帳の考慮

これまで石川県では、1つの台帳でハードウェアから導入ソフトウェア、保有ライセンスまでを管理してこようとしたが、システム化にあたっては、今後の運用効率も考慮し、いくつかの管理台帳に分け、それぞれを連携させて管理していくこととした。 石川県が運用している台帳は、以下の3つである。

石川県が運用している台帳は、以下の3つである。

・ハードウェア管理台帳
・ソフトウェア管理台帳
・ライセンス管理台帳

石川県がSAM構築の際に参考にしたというSAMユーザーズガイドでは、これらの他にライセンス関連部材管理台帳の策定が推奨されているが、ライセンス関連部材管理台帳を策定した場合の運用負荷と策定しなかった場合に発生しうるリスクを鑑みた上で、石川県ではこの台帳は作成せず、ライセンス台帳の中で部材名としての管理に留めることとしたという。

また、石川県では、これらの台帳とは別に、ライセンス一覧表というものを設けている。

これは、最初の運用による失敗(ソフトウェア名をそれぞれの所属で記載していたため、記載内容にばらつきがあり集約が困難だったという経験)を繰り返さないために考案されたものだ。

表計算ソフトから情報資産管理システムに移行しても、ソフトウェア名を直接書かせているとこの問題は相変わらず発生してしまう。そのため、ソフトウェア名は、書かせるのではなく全てリストから選択させることとし、そのためのリストとしてライセンス一覧表を設けたものである。

たとえばSAMユーザーズガイドやBSA P-SAMポータル“ドキュメント・ライブラリ”のひな型などでは、これに近いものとしてソフトウェアリストという考え方を紹介しているが、石川県のライセンス一覧表は単にソフトウェアをリスト化したものではなく、ライセンスの使用許諾条件ごとにリスト化したものとなっている。「同じソフトウェアでもプレインストールとパッケージ、官公庁向けと教育機関向けのボリュームライセンス、バージョンアップ版、優待版など、使用許諾条件が異なっているものが多くある。中には地方公共団体で使用できないものもあるため、リストは使用許諾条件ごとに分ている」。(川崎氏)

基本3台帳(ハードウェア台帳、ソフトウェア台帳、ライセンス台帳)は所属ごとのものだが、ライセンス一覧表だけは組織全体で共有し、ここに載っていないライセンスを新たに調達した場合には、その者が一覧表に新しいライセンスを追記する仕組みだ。

SAMユーザーズガイドにおける各台帳の管理項目と、石川県の台帳システムにおける管理項目の対応は、下表のとおりである。

ハードウェア台帳
ハードウェア台帳
[+]拡大


ソフトウェア台帳
ソフトウェア台帳
[+]拡大


ライセンス台帳
ライセンス台帳
[+]拡大


ライセンス関連部材台帳
ライセンス関連部材台帳
[+]拡大


ライセンス一覧表
ライセンス一覧表
[+]拡大


3)システムの概略

システムの全体イメージは下図の通りである。

情報資産管理システムの概念図 システムの全体イメージ

情報資産管理システムでは、県の管理するすべてのハードウェアが登録される。登録されているハードウェアの内、ネットワークに接続されている分については、日々インベントリ情報が収集され、「齟齬情報」(後述)がチェックされる。スタンドアロン機については、定期的(四半期ごと)にUSBメモリ等によりインベントリ情報を収集することとしている。

ハードウェア情報の異動(利用者・設置場所・利用部門・スペックなどの変更、調達・廃却など)、ソフトウェアのインストール・アンインストール、ライセンスの変更(期限の更新、転用、調達・廃却など)など、日々の更新については職員が申請を行い、情報セキュリティ責任者の許可を得る仕組みとなっており、許可を得た内容を台帳管理者が確認し、システムに反映させている。

ハードウェア台帳の画面
ハードウェア台帳の画面

ソフトウェア台帳の画面
ソフトウェア台帳の画面

ライセンス台帳の画面
ライセンス台帳の画面

ライセンス一覧表の画面
ライセンス一覧表の画面


4)「齟齬情報」について

石川県のSAMの運用レベルを維持・向上させている仕組みの一つが、システムからの齟齬情報の出力だ。

石川県では、「台帳とインベントリツールから収集された情報を毎日比較し、問題点や食い違いが見つかった場合は齟齬としてシステムトップページに表示するとともに所属の管理者にメールで送信している」。(廣田氏)

齟齬情報の出力イメージ

突合の図

齟齬情報は、たとえば次のようなメッセージで表示される。


コンピュータ名○○、IPアドレス○○の機器の情報が○○日以上取得できていません。
コンピュータ名○○、IPアドレス○○、ハードウェア管理番号○○の機器にインストールされているソフトウェア(プログラムの追加と削除での表示は「○○○○○○○○」)がドライバ・ユーティリティ、セキュリティパッチでないにもかかわらずライセンス台帳に記載されていません。
ハードウェア管理番号○○が収集情報に複数あります。

廣田氏は、「これを毎日実施していくことにより、台帳と実態の乖離を最小限に抑えられており、職員の管理意識も高い状態で維持できている」という。「導入して3か月が経ち、目に見えて少なくなってきてはいるものの、齟齬情報は今でも毎日、複数の所属で発生している。このシステムがなかったら、数ヶ月毎の棚卸時でしか発見することは難しく、発見された齟齬の解決への労力もかかるばかりでなく、コンプライアンス違反があった場合に放置される可能性が高くなる上、発生した原因を究明することも難しくなる」。(川崎氏)

また石川県では、インベントリツールに加えてネットワークに接続されたPCを検知する不正接続端末検知装置と台帳システムを連携させており、ネットワーク上に検出された端末がハードウェア台帳に記載されているか、ハードウェア台帳に記載されたハードウェアにインベントリツールがインストールされているかのチェックも、毎日自動的に行っているという。

これらが、それほどの手間をかけずに運用できているところに、石川県のシステム導入のメリットがあるということだ。

また、このシステムでは「ワークフロー」についても考慮している。

5)ワークフローについて

先にも述べたように、石川県では、単純に台帳を更新するという機能を持つだけでなく、各種申請のプロセスと台帳の更新を合わせた仕組みを実装している。

川崎氏によれば、「最初の運用では、所属の管理者(台帳管理者)が表計算ソフトで台帳を更新していたが、更新がすべて管理者の業務とされていたために、管理者が台帳をメンテナンスするための負担は非常に高いものだった。そのために更新が遅れがちになっている所属もあった」という。

こういった反省を踏まえ、システム化にあたっては、ユーザーが自ら台帳の更新申請を行い、管理者はそれを承認するだけで台帳が更新される、という仕組みをとることにした。

申請自体は、その所属の決裁ルートに従い、必要に応じて複数の者を経由して、最終的に所属長が決裁する。しかし「複数名での承認ということをシステム上で実現するとなると、システムが複雑になる上、決裁ルートの設定及び更新が新たな運用負荷となる」(川崎氏)と考えた。このため、決裁行為自体は思い切ってシステムからは切り離し、回付される紙に対する承認とした。システムに登録した申請内容を一旦印刷し、それを通常のルートで捺印をもらうために回付するということだ。そうして押印され、決済された申請書を管理者が確認し、システム上で該当の申請内容を呼び出し、台帳に情報を更新するための手続(更新処理)を行う。

この仕組みを簡単に表したものが、下図となる。

台帳更新のワークフロー

更新処理の仕組み

マネジメントシステムの本質である、業務効率と管理効率のバランスを取ろうとする姿勢がうかがえる取り組みといえるのではないだろうか。

なお、石川県からは、SAMのツールに関していくつかの「誤解」についてコメントをもらっており、次項でいくつか紹介しておきたい。

続く