JIPDEC（一般財団法人日本情報経済社会推進協会）情報マネジメント …€¦ · 2 クラウド・コンピューティング時代のsamの考え方（2011年1月）

JIPDEC（一般財団法人日本情報経済社会推進協会）情報マネジメント推進センター

高取敏夫

2015年6月12日

http://www.isms.jipdec.or.jp

Copyright JIPDEC,2015-All rights reserved 1

JIPDEC（一般財団法人日本情報経済社会推進協会）

設立：昭和42年12月20日

事業規模：25億1,610万円（平成27年度予算）

職員数：108名（平成27年4月現在）

Copyright JIPDEC,2015-All rights reserved

2

広報室

JIPDEC

総務部電子情報利活用研究部プライバシーマーク推進センター

総務課

情報マネジメント推進センター

経理課

情報通信管理課

審査業務室

事務局

安信簡情報環境推進部マイナンバー対応プロジェクト室

電子署名・認証センター

情報技術に関連するマネジメントシステムの認定機関としての業務及び各制度に関連する普及業務

ISMS/ITSMS/BCMS/CSMS認定システム実施に伴う諸業務

ISMS/ITSMS/BCMS/CSMS認定審査の実施

ISMS/ITSMS/BCMS/CSMS関連の委員会事務局業務

国際認定機関やフォーラム（ IAF、PAC等）との相互連携の推進

ISO/IECなど（国際規格、ガイド策定等）への積極的貢献

SAM/ITAMに関する調査研究

URL：http://www.isms.jipdec.or.jp/sam/sam.html


3

本調査研究は、国際標準のISO/IEC19770-1（Information technology－Software asset management-Part 1：Processes）に基づいて組織内のIT資産（ソフトウェア資産も含む）のライフサイクルを通じた、効果的なSAM/ITAMについて調査研究するとともに、SAM/ITAMの普及促進に資することを目的としている。

SAM/ITAM導入の目的ビジネスリスク管理の促進

ITサービス及びIT資産に関するコスト管理の促進

ITを有効に活用することによる競争上の優位性を得ること


4


5

年度調査研究の概要

平成21年度（2009年）

ITサービスマネジメントの利活用によるシステム構築・運用環境の改善に向けた調査研究の一環として、ソフトウェア資産管理に関する国際動向調査研究の実施。「SAMユーザーズガイド」の発行。情報セキュリティ総合的普及啓発シンポジウムの実施。

平成22年度（2010年）

「JIS X 0164-1から見たSAMユーザーズガイド活用法」、「クラウドコンピューティング時代のSAMの考え方」発行。全国主要都市でのSAMに関する説明会の実施。

平成23年度（2011年）

「SAM成熟度評価利用ガイド」、「ISMS/ITSMSとの連携の実現性の調査研究について」、「地方公共団体におけるSAM導入ガイド」及び「経営のためのソフトウェア資産管理（ハンドブック）」の発行。全国主要都市でのSAMに関する説明会の実施。SAMポータルサイトの開設。

平成24年度（2012年）

ISO/IEC 19770-1：2012の対訳版校閲・発行。IT資産マネジメント（ITAM）に関する調査研究（ISO 55000シリーズも含む）の実施。全国主要都市でのSAM及びITAMに関する説明会の実施。Web連載記事の公開。

平成25年度（2013年）

ISOのMSSに共通的に適用されるITAMS（IT資産マネジメントシステム）に関する調査研究（ISO 55000シリーズも含む）の実施。全国主要都市でのSAM及びITAMに関する説明会の実施。ITAMSユーザーズガイドの検討。

平成26年度（2014年）

ISOのMSSに共通的に適用される「ITAMS（IT資産管理システム）ユーザーズガイド」の策定。全国主要都市でのSAM及びITAMに関する説明会の実施。ISO/IEC 19770-1：201xの提案。

-予定- 平成27年度（2015年）

ISOのMSSに共通的に適用される ITAMS（IT資産管理システム）に関する調査研究。SAM及びITAMに関する説明会の実施。

№ 参考ガイド内容

1 SAMユーザーズガイド

～導入のための基礎～（2012年2月）

国際標準のISO/IEC 19770-1（Information technology-Software Asset Management-Part1）に基づいて、組織のソフトウェア資産のライフサイクルを通じた効果的なソフトウェア資産管理及び保護を実現するためにとりまとめたガイドです。

2 クラウド・コンピューティング時代のSAMの

考え方（2011年1月）

クラウドコンピューティングという新しい形態で、何をどう管理すればよいか、どのような点に留意する必要があるのかをSAMの側面からとりまとめたガイドです。

3 ソフトウェア資産管理及びITサービス継続管理に関する国際動向調査研究報告書

（2011年3月）

国内外の企業・組織におけるSAMの取組み状況や、SAMの普及促進について考察し、今後目指すべき方向性をとりまとめた調査報告書です。

4 SAM成熟度利用ガイド

- ISO/IEC 19770-1:2012 対応 -

（2015年1月）改訂版

SAMの管理状態のレベルを把握するために、SAMの成熟度評価をどのような観点で実施していけばよいかをまとめたガイドです。

*SAM成熟度評価ツールの提供（2015年2月）

5 ISMS/ITSMSとの連携の実現性の調査

研究について（2012年3月）

SAM、ISMS、ITSMSという３つのマネジメントシステムの共通性を調査し、統合的なマネジメントシステムを構築・運用していく上での留意点からまとめたガイドです。

6 経営のためのソフトウェア資産管理～ビジネスの効率化を目指す～

（2012年8月）

経営者の方がSAMの重要性を経営の視点で捉え、SAM担当者への普及・促進に利用できるように、SAMの基本として分かりやすくまとめた冊子（A5判）。

7 地方公共団体におけるソフトウェア資産

管理（SAM）導入ガイド

（2013年4月）改訂版

都道府県や市町村など、地方公共団体におけるSAM導入のポイント・留意点をまとめたガイドです。


6


7

開催年度開催場所講演テーマ講演者

H23年度札幌、大阪、福岡、名古屋、東京

石川県におけるソフトウェア資産管理について石川県廣田雅彦氏川崎紘氏

SAMの導入と運用システム～石川県におけるSAMの取組事例とシステムデモ～

H24年度石川、大阪、東京、福岡

地方自治体におけるSAM導入ガイドの活用方法及び石川県におけるSAM導入事例 ―ステップアップで始めるSAM－

石川県川崎紘氏

株式会社リコーソフトウェアライセンス管理システム社内実践事例

リコーITソリューションズ㈱駿河剛氏

システムを用いたIT資産管理体制の構築へ～沖縄県の事例～

沖縄県宜保諒氏

H25年度京都、東京ソフトウェア資産管理の取り組みとその過程で気づいたこと

山梨県矢崎孝氏

ソフトバンク通信4社におけるソフトウェア資産管理の構築と運用管理

ソフトバンクモバイル㈱神例慶英氏

H26年度

札幌北海道におけるソフトウェア資産管理北海道佐藤文彦氏


8

出典：平成26年度説明会実施報告書より

実施している, 44%



検討中, 19%

検討中, 25%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

H26

(n=176)

H24

(n=241)

H23

(n=334)

実施している構築中検討中何もしていない分からない


9


コンプライアンス, 69%



ライセンス数の適正化, 57%



0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

H23(n=249) H24（n=161) H26（n=422)

コンプライアンスライセンス数の適正化 IT資産の運用コストの削減内部統制の確立

ITサービスの品質向上情報セキュリティの強化社会的責任（CSR)上企業価値の向上

ITサービスマネジメントの支援情報セキュリティマネジメントの支援その他


10


基本的情報不足, 20

基本的情報不足, 24 予算不足, 24 人材不足, 26

人材不足, 27

人材不足, 30

0

5

10

15

20

25

30

35

H23(n=126) H24（n=126) H26（n=128)

基本的情報不足予算不足人材不足経営陣の認識の低さ


11


ISMSを取得済、さらなる改善,

43%


42%


38%

SAM単独で導入, 40%



0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

H26

(n=113)

H24

(n=115)

H23

(n=167)

ISMSを取得済、さらなる改善 ITSMSを取得済、さらなる改善 ISMS、ITSMSを取得済、さらなる改善

ITILを導入済、さらなる運用改善 SAM単独で導入


12

出典：平成24年度 ISMS/ITSMSの連携の実現性の調査研究より

① SAMを単独で導入する。

② ISMSを導入し、資産管理プロセスを始めとするISMSのPDCA基盤を構築した上で、SAM導入に進む。

③ ITSMSを導入し、構成管理プロセスを始めとするITSMSのPDCA基盤を構築した上で、SAM導入に進む。

ITの総合的なマネジメントシステムを確立する。

組織のITマネジメント全体の

仕組みの一環としてSAMを捉える。


13

19770-1：2006 19770-1：2012 19770-1：201x

第１世代第２世代第３世代

大部分は製品仕様として

記述；適合するためには、

規定された詳細な成果を

作り出す必要がある。

ISO/IEC 19770-1：2006の

SAMプロセスを４段階に

分ける。

目的に応じた適合を可能

にする。

新しい整合化アプロー

チによる十分なマネジ

メントシステム規格。

組織の能力の実証。

力量/成熟度アセスメ

ントを含む。

プロセス規格のロードマップ

出典：ISO/IEC 19770-1：2012 対訳版より


14

SAMの組織管理プロセス 4.2 SAMの統制環境

4.3 SAMの計画立案及び導入プロセス

中核SAMプロセス

4.4 SAMの在庫プロセス

4.5 SAMの検証及び順守プロセス

4.6 SAMの運用管理プロセス及びインタフェース

SAM主プロセスインタフェース

4.7 SAMのライフサイクルプロセスインタフェース



15

第4段階

第3段階

第2段階

ISO/IEC SAMへの完全適合

組織で最適な戦略的SAMの達成

運用統合

効率及び有効性の改善

実用的管理

マネジメント管理策の改善&直接的な便益の確保

信頼できるデータ

管理できるように手持ちのものが何かを知る

第1段階


○SAMの４つの段階

ISO/IEC 19770ファミリー規格の成熟を十分なマネジメントシステム規格の枠組みへ反映する。

ISO/IEC 19770-1：201xは、関連するハードウェア資産の管理も含めて定義されているので、名称をSAMからITAM（IT資産管理）に変えている。

ISOのMSS（マネジメントシステム規格）に共通的に適用されるIT資産管理システムを開発する。

他の分野において検証がなされ、他の規格の開発に整合させる。


16

組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を規定している。

ISMSがリスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えることを意図している。


17


18

JIS Q 27001:2014 JIS Q 27001:2006


19

JIS Q 27001:2014 附属書A JIS Q 27001:2006 附属書A

A.5 情報セキュリティのための方針群 A.5 情報セキュリティ基本方針

A.6 情報セキュリティのための組織 A.6 情報セキュリティのための組織

A.7 人的資源のセキュリティ A.8 人的資源のセキュリティ

A.8 資産の管理 A.7 資産の管理

A.9 アクセス制御 A.11 アクセス制御

A.10 暗号

A.11 物理的及び環境的セキュリティ A.9 物理的及び環境的セキュリティ

A.12 運用のセキュリティ A.10 通信及び運用管理

A.13 通信のセキュリティ

A.14 システムの取得，開発及び保守 A.12 情報システムの取得，開発及び保守

A.15 供給者関係

A.16 情報セキュリティインシデント管理 A.13 情報セキュリティインシデントの管理

A.17 事業継続マネジメントにおける情報セキュリティの側面

A.14 事業継続管理

A.18 順守 A.15 順守

JIS Q 27001附属書AにJIS Q 27002の管理目的及び管理策をそのまま規定している。

JIS Q 27001附属書Aの元となったJIS Q 27002は指針（ガイドライン）であり，管理策は，「～することが望ましい。」（原文ではshouldを用いている。）という定型の表現をとる。これに対しJIS Q 27001附属書Aの管理策は、要求事項として「～しなければならない。」（原文ではshallを用いている。）という表現となる。

JIS Q 27002では、「実施の手引」及び「関連情報」という見出しのもとに、管理策ごとにその説明が記載されており、追加の情報を得ることができる。


20


21

ISMS（ISO/IEC 27001）の要求事項

マネジメント

システム

（MS）

管理策

本文附属書A（規定）

選択

手引書

ISO/IEC 27002

（管理策の実践規範）


22

ISOマネジメントシステム規格の増加を受けて、ISOによりマネジメントシステム規格（MSS: Management System Standard）間の整合化が検討された。その結果、2012年5月に「ISO/IEC専門業務用指針第1部統合版ISO補足指針」「附属書SL（規定）マネジメントシステム規格の提案」として発行され、今後全てのMSSはこれを適用することになった。

附属書SLの狙いは、「合意形成され、統一された、上位構造、共通の中核となるテキスト、並びに共通用語及び中核となる定義(MSS共通要素)を示すことによって、ISOマネジメントシステム規格の一貫性及び整合性を向上させることである。」とされている。

MSS共通要素は、この附属書SLに規定されている。詳細については、次のURLを参照されたい。http://www.jsa.or.jp/itn/pdf/shiryo/isohosoku_taiyaku1405.pdf


23

（注記共通テキストのXXXには、分野固有の修飾語が入ります。

ISO/IEC 27001の場合には、情報セキュリティが入ります。）

1 適用範囲

2 引用規格

3 用語及び定義

4 組織の状況 4.1 組織及びその状況の理解 4.2 利害関係者のニーズ及び期待の理解 4.3 XXXマネジメントシステムの適用範囲の決定 4.4 XXXマネジメントシステム

5 リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割、責任及び権限

6 計画 6.1 リスク及び機会への取組み 6.2 XXX目的及びそれを達成するための計画策定

7 支援 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報

8 運用 8.1 運用の計画及び管理

9章パフォーマンス評価 9.1 監視、測定、分析及び評価 9.2 内部監査 9.3 マネジメントレビュー

10 改善 10.1 不適合及び是正処置 10.2 継続的改善

ISO/IEC 27001:2013（JIS Q 27001:2014）概略

0 序文 ISMSは、リスクマネジメントを適用することで、情報セキュリティを確保し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える。 ISMSを、組織のプロセス及びマネジメント構造全体の一部として、組み込む。この規格で示す要求事項の順序は、その重要性を反映するものでもなく、またそれを実施する順序を示すものでもない。

1 適用範囲箇条4から箇条10に規定する要求事項の例外はみとめられない。

2 引用規格 ISO/IEC 27000を適用する。

3 用語及び定義 ISO/IEC 27000で規定されている用語及び定義を適用する。

4 組織の状況

4.1 組織及びその状況の理解

組織における状況を理解することが重要である。外部・内部の課題の決定については、ISO 31000:2009の5.3の外部・内部の状況を参照する。

4.2 利害関係者のニーズ及び期待の理解

関連する利害関係者の特定とその要求事項を決定する。利害関係者の要求事項には、法的及び規制の要求事項並びに契約上の義務を含めることが考慮される。

4.3 情報セキュリティマネジメントシステムの適用範囲の決定

組織は、ISMSの適用範囲を決めるために、その境界及び適用可能性を決定する。このとき、組織は、4.1に規定する外部及び内部の課題、4.2に規定する要求事項を考慮する。

4.4 情報セキュリティマネジメントシステム組織は、ISMSを確立、実施、維持及び継続的に改善する。

5 リーダーシップ

5.1 リーダーシップ及びコミットメントトップマネジメントは、ISMSに関するリーダーシップとコミットメントを実証する。

5.2 方針トップマネジメントは、情報セキュリティ方針を確立する。

5.3 組織の役割、責任及び権限トップマネジメントは、情報セキュリティに関連する役割に対して、責任及び権限を割り当て、伝達することを確実にする。


24

6 計画

6.1 リスク及び機会に対処する活動

6.1.1 一般

ISMSの計画を策定するとき、組織は、4.1の課題及び4.2の要求事項を考慮し、リスク及び機会を決定する（ISMSがその意図した成果を達成できることを確実にするため、望ましくない影響を防止又は低減するため、継続的改善を達成するため）。

6.1.2 情報セキュリティリスクアセスメント情報セキュリティのリスク基準を確立し、リスクを特定・分析・評価する。

6.1.3 情報セキュリティリスク対応情報セキュリティリスク対応のプロセスを定め、リスク対応の選択肢を選定し、管理策を決定、適用宣言書及び情報セキュリティリスク対応計画を策定する。

6.2 情報セキュリティ目的及びそれを達成するための計画策定

組織は、関連する部門・階層において、情報セキュリティ目的を確立し、それらを達成するための計画を策定する。

7 支援

7.1 資源

組織は、ISMSの確立、実施、維持及び継続的改善に必要な資源を決定、提供する。

7.2 力量

情報セキュリティパフォーマンスに影響を与える業務を組織の管理下で行う人々に必要な力量を決定、力量を備えることを確実にする。

7.3 認識

組織の管理下で働く人々は、情報セキュリティ方針、ISMSの有効性に対する自らの貢献、及びISMS要求事項に適合しないことの意味に関して認識をもつ必要がある。

7.4 コミュニケーション

組織は、ISMSに関する内部及び外部のコミュニケーションを実施する必要性を決定する。

7.5 文書化した情報組織は、規格が要求する文書化した情報、及びISMSの有効性のために必要であると組織が決定した文書化した情報をISMSに含む。

ISO/IEC 27001:2013（JIS Q 27001:2014）


25

概略


26

8 運用

8.1 運用の計画及び管理

組織は、情報セキュリティ要求事項を満たすため、及び6.1で決定した活動を実施するために、必要なプロセスを計画、実施、管理する。また、組織は、6.2で決定した情報セキュリティ目的を達成するための計画を実施する。

8.2 情報セキュリティリスクアセスメント

組織は、あらかじめ定めた間隔で、又は重大な変更の提案・重大な変化の発生のとき、情報セキュリティリスクアセスメントを実施する。

8.3 情報セキュリティリスク対応組織は、8.2に対するリスク対応を実施する。

9 パフォーマンス評価

9.1 監視、測定、分析及び評価

組織は情報セキュリティパフォーマンス及びISMSの有効性を評価する。

9.2 内部監査組織は、あらかじめ定めた間隔で内部監査を実施する。

9.3 マネジメントレビュートップマネジメントは、あらかじめ定めた間隔で、ISMSをレビューする。

10 改善

10.1 不適合及び是正処置

組織は、不適合が発生した場合、その不適合に対処し、その原因を除去するための必要な処置を実施し、是正処置の有効性をレビューする。

10.2 継続的改善組織は、ISMSの適切性、妥当性及び有効性を継続的に改善する。

ISO/IEC 27001:2013（JIS Q 27001:2014）概略


27

5. リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割、責任及び権限

6. 計画 6.1 リスク及び機会に対処する活動 6.1.1 一般・リスク及び機会の決定 6.1.2 情報セキュリティリスクアセスメント 6.1.3 情報セキュリティリスク対応 6.2 情報セキュリティ目的及びそれを達成するための計画策定

8. 運用 8.1 運用の計画及び管理・6.1、6.2 を実施 8.2 情報セキュリティリスクアセスメント・6.1.2 を実施 8.3 情報セキュリティリスク対応・6.1.3 を実施

4. 組織の状況

4.1 組織及びその状況の理解・組織をとりまく内外の課題

4.2 利害関係者のニーズ及び期待の理解・ISMSに関連する利害関係者の要求事項

4.3 適用範囲の決定・適用範囲の境界及び適用可能性

9. パフォーマンス評価 9.1 監視、測定、分析及び評価情報セキュリティパフォーマンス及びISMSの有効性を評価 9.2 内部監査有効に実施され、継続的に維持されているかを評価 9.3 マネジメント・レビュー継続的改善の機会、及びISMSの変更の必要性を決定

7. 支援 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報

10. 改善 10.1 不適合及び是正処置 10.2 継続的改善


28

組織の

経営戦略

他のマネジメントシステム規格及び関連規格

ISOマネジメント

システム規格の

共通要素

4. 組織の状況

5. リーダーシップ

6. 計画

7. 支援

8. 運用

9. パフォーマンス評価

10. 改善

ISO 22301

事業継続

マネジメント

システム

ISO/IEC 27001

情報セキュリティ

マネジメント

システム

ISO 9001

品質

マネジメント

システム

ISO 14001

環境

マネジメント

システム

ISO 55001

アセット

マネジメント

システム


29

A.8.1.1「資産目録」

情報、情報に関連するその他資産及び情報処理施設を特定しなければならない。また、これらの資産の目録を、作成し、維持しなければならない。

A.8.1.2「資産の管理責任」

目録の中で維持される資産は，管理されなければならない。

A.8.1.3「資産利用の許容範囲」

情報の利用の許容範囲，並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は，明確にし，文書化し，実施しなければならない。

A.8.1.4「資産の返却」

全ての従業員及び外部の利用者は，雇用，契約又は合意の終了時に，自らが所持する組織の資産の全てを返却しなければならない。


30

実施の手引き

組織は、資産のライフサイクルに関連した資産を特定し、その重要度を文書化することが望ましい。情報のライフサイクルには、作成、処理、保管、送信、削除及び破棄を含めることが望ましい。文書は、専用の目録又は既存の目録として維持することが望ましい。

資産目録は、正確で、最新に保たれ、一貫性があり、他の目録と整合していることが望ましい。

特定された各資産について、管理責任者を割り当て（8.1.2 参照）、分類する（8.2 参照）ことが望ましい。

関連情報

資産目録は、保護を効果的に行うことを確実にするために役立つとともに、他の目的（例えば、安全衛生、保険又は財政面での資産管理）のために必要となることもある。

資産を特定する場合に組織が考慮する必要性が生じる可能性のある資産の例は、ISO/IEC 27005に示されている。資産目録を作成するプロセスは、リスクマネジメントの重要な要素である（ISO/IEC 27000及びISO/IEC 27005も参照）。

（JIS Q 27002:2014 8.1.1資産目録より引用）


31

実施の手引き

資産のライフサイクルの管理責任を与えられた個人及び組織は、資産の管理責任者に指名されるものとして適格である。

資産の管理責任を時機を失せずに割り当てることを確実にするためのプロセスが、通常実施される。資産が生成された時点、又は資産が組織に移転された時点で、管理責任を割り当てることが望ましい。資産の管理責任者は、資産のライフサイクル全体にわたって、その資産を適切に管理することに責任を負うことが望ましい。

資産の管理責任者は、次の事項を行うことが望ましい。

a) 資産の目録が作成されることを確実にする。

b) 資産が適切に分類及び保護されることを確実にする。

c) 適用されるアクセス制御方針を考慮に入れて、重要な資産に対するアクセスの制御及び分類を定め、定期的にレビューする。

d) 資産を消去又は破壊する場合に、適切に取り扱うことを確実にする。

（JIS Q 27002:2014 8.1.2 資産の管理責任者より引用）


32

関連情報

管理責任者は、資産のライフサイクル全体を管理する責任を与えられた個人又はエンティティであり得る。その管理責任者は、必ずしもその資産の所有権をもっている必要はない。

ルーチン業務の委任（例えば、日々の資産保全を保全要員に委ねること）を行ってもよいが、その責任は管理責任者の下にとどまる。

複雑な情報システムでは、あるサービスを提供するために関係する、複数の資産グループを特定することが、有益な場合がある。この場合、サービスの管理責任者が、その資産の運用も含めたサービスの提供に対して責任を応。

（JIS Q 27002:2014 8.1.2 資産の管理責任者より引用）


33

資産の種類例示

情報

データベース及びデータファイル，契約書及び同意書，システムに関する文書，調査情報，利用者マニュアル，訓練資料，運用手順又はサポート手順，事業継続計画，代替手段の取決め，監査証跡，保存情報

ソフトウェア資産

業務用ソフトウェア，システムソフトウェア，開発用ツール，ユーティリティソフトウェア

物理的資産

コンピュータ装置，通信装置，取外し可能な媒体，その他の装置

サービス

計算処理サービス，通信サービス，一般ユーティリティ（例えば，暖房，照明，電源，空調）

人保有する資格・技能・経験

無形資産例えば，組織の評判・イメージ

JIS Q 27002:2006の「7.1.1資産目録」

（出典：平成24年度 ISMS/ITSMSの連携の実現性の調査研究）


34

資産名主な対象資産管理目的

ハードウェア・ソフトウェアが実行できる機器

例：PC・サーバー・PDA ・ライセンスがバンドルされている機器例：PC・HDD・DVDなどのドライブ

・ソフトウェアが導入できるハードウェアを明確にする・ライセンスが付属するハードウェアを明確にする

導入ソフトウェア・ハードウェアに導入された実行可能なソフトウェア例：OS・アプリケーション・ユーティリティー

・ハードウェアに導入されたソフトウェアを明確にする

ライセンス外部から購入したソフトのライセンス

例：パッケージソフトウェア

・組織で保有するライセンス数を明確にする

ライセンス関連部材

・使用許諾条件を満たすために必要な部材（導入用DVD/ライセンス証書・データが格納されたDVD・パッケージなど）

・使用許諾条件を逸脱しない、又は適正にソフトウェアが導入される環境を維持するため



35

ライセンス付属台帳ライセンス台帳導入ソフトウェア台帳ハードウェア台帳

ライセンス管理番号ライセンス管理番号ソフトウェア管理番号ハードウェア管理番号媒体管理番号ベンダーハードウェア管理番号機器種別CDキーソフトウェア名インストール名称メーカー名管理部門エディションメーカー名型番保管場所バージョンソフトウェア名シリアル備考言語エディション使用者

購入日バージョン使用部門購入元種別管理者購入部門ライセンス管理番号管理部門購入者媒体管理番号設置場所

ライセンス種別インストール元スペックライセンス形態インストール日前使用者使用許諾条件前管理者使用許諾証明証書番号数量

管理部門保管場所

元ライセンス管理番号その他付帯条件更新予定日


（１）クラウド化への対応

ソフトウェアを含むIT資産を所有せず、必要に応じて必要なだけ利用することで、ライセンスの保有という概念が変わる可能性がある。

複製物の概念が変わる可能性がある。

ライセンスの提供形態によって管理対策が変わる可能性がある。

資産管理サービスそのものも、SaaSやASP等の利用に変わる可能性がある。


36

出典：SAM Web連載記事「第8回我が国のソフトウェア資産管理の今後」より

（２）ユーザーのSAM/ITAMの取り組みの変化

国際規格ISO/IEC 19770-1：201xは、ITAMの完全適合を目指している。また、ISO MSS共通要素を適用して開発されており、組織のマネジメントシステムに組み込むことが容易である。

ソフトウェアだけ切り出して管理するのではなく、全社規模のあらゆる資産にひも付けて管理する必要がある。

IT資産管理と財務管理における資産粒度を考慮する必要がある。


37


（３）組織形態別のSAM/ITAMサービス

地方自治体では、SAM/ITAMの取り組み状況は進みつつあるが、今後官公庁での取り組みが期待される。

大企業では、統合管理ツールが導入されているが、それを全社的な戦略としての有効活用が期待される。

中堅企業では、資産管理ツールを中核とした運用管理が中心となっているが、新たなSAM/ITAMへの取り組みが期待される。

中小企業では、SAM/ITAMそのものをSaaS型サービスで利用することが期待される。


38


（４）第三者認証制度の普及

個人認証がSAMのエキスパートとして社会的に認知されることにより、第三者認証制度の導入促進につながる。

組織認証は、組織の信頼性をアピールすることが可能であり、今後公的機関による入札条件、取引条件等が期待される。

以上のことにより、SAM/ITAMの普及は今後加速するものと考える。


39


今後も、様々な活動を通じてSAM及びITAM普及促進に努めます。

皆様方のご支援、ご協力をお願いいたします。

本講演に関するお問い合わせ先

一般財団法人日本情報経済社会推進協会

情報マネジメント推進センター

URL: http://www.isms.jipdec.or.jp/sam/sam.html


40

Documents

JIPDEC（一般財団法人日本情報経済社会推進協会） 情報マネジメント …€¦ · 2 クラウド・コンピューティング時代のsamの 考え方 （2011年1月）

JIPDEC（一般財団法人日本情報経済社会推進協会）情報マネジメント …€¦ · 2 クラウド・コンピューティング時代のsamの考え方（2011年1月）