ソフトウェア資産管理コンソーシアムが新たに評価基準を策定

資産管理の実施レベルや改善点を判定、広範な浸透を目指す

 2003.11.20−ソフトウェア資産管理コンソーシアムは19日、企業などが持つソフトウエアの資産管理が適切に行われているかどうかを判断し、管理レベルや改善点を明確にするための評価基準を策定したと発表した。ウェブサイト(http://www.samconsortium.org)を通して無償で公開し、広く浸透を図っていく。一年前に定めた管理基準に続き、今回の評価基準が提供されたことで、企業などでの実際の採用が進むと期待される。

 ソフトは資産としての性質が特殊であるため、ハードに比べて資産管理に対する認識が低く、同コンソーシアム以外にはまとまった基準は世界をみても存在しないという。今回の評価基準は自己評価のためのガイドラインともなるが、コンソーシアムでは第三者機関による厳正な審査を経て認証が与えられるような将来的な規格づくりを視野に入れ、今後も活動を続けていく考え。

 同コンソーシアムは昨年5月に設立され、、監査法人やコンサルティングファーム、管理ツールベンダー、アプリケーションソフトベンダーなど国内の34団体が加盟している。昨年10月に公開した管理基準は、ソフトウエア資産の管理対象を組織・体制、資産管理、コスト、環境整備、セキュリティに関する11項目に区分し、それぞれに達成されるべき目標と管理要件を明確に定めたもの。

 これに対し、その管理基準の実行プロセスを分析し、達成レベルや改善点を浮き彫りにするのが今回の評価基準ということになる。11項目の管理基準が個々にどこまで実施されており、どのようにステップアップすべきかを判断することができる。

 具体的には、管理目標に対する6段階の成熟度モデルを適用し、レベル0(管理が存在しない段階)からレベル1(初期/場当たり的な段階)、レベル2(反復可能な段階)、レベル3(定義されている段階)、レベル4(管理されている段階)、レベル5(最適化されている段階)までのどこにあるかを判定することが可能。例えば、「セキュリティ上の配慮がなされていること」という管理目標に対しては、レベル4は「組織のセキュリティ方針にのっとって定められたソフトウエア資産管理の対策・規定・手続きが実現されていることを管理責任者がモニタリングしている。定められた対策・規定・手続きが適切に実施されていない場合、直ちに是正される」と定義されている。

 コンソーシアム側の説明によると、企業は毎年多くのソフトウエアを購入しているが、目に見えないために経営レベルでそれを把握できている企業は一握りだという。例えば、パソコンは資産管理されていても、その中に入っているソフトにまでは手が回らないのが現状。このため、不正コピーが知らないうちに横行したり、ムダなライセンスを購入してしまったりするなど、さまざまなリスク要因を抱えることにつながりかねないとしている。

 同コンソーシアムでは、ソフトウエア資産管理の必要性・重要性をさらに啓蒙しつつ、ドキュメントを英語化するなど、同基準を広く浸透させるための活動を活発化させていく。なお、これらの基準に基づく評価業務は、ソフトウエア資産管理の実務知識があり、システム監査などの経験・ノウハウがあれば、だれが行ってもかまわないという。ただ、将来的には、ISO9000などのように第三者機関が審査承認できるような標準化・規格化が必要だという論議もあり、引き続きの検討課題に位置づけていくということだ。