【後編】複雑化したデジタル時代の到来。IT資産管理のあるべき姿とは

インタビュー
DX

 今回は、IT資産管理のプロフェッショナル、リアムス株式会社 代表取締役社長の片貝和人様(以下、片貝氏)にお話を伺い、IT資産管理についてお話を伺いました。
 前編では、IT資産管理とは何かをまず説明していただき、そのIT資産管理を怠ることで生じる潜在リスクについて確認。そして、現状のIT資産管理の問題点について伺いました。後編では、実際にIT管理対策としてどのようなことを行うのか、そして今後のIT資産管理の動向について述べていただきます。

前編のつづき)

5.お客様が抱える課題とIT資産管理対策

藤田:では次に、IT資産管理対策についてお聞きしたいと思います。まず、お客様はどういった業界の方が多いのでしょうか。

片貝氏:IT資産はどの業界でも利用されているので、業界による偏りはありませんが、お客様としては、つまり対策を進めようとしているのは、製造業、建設業、ITサービス業が目立ちます。
 ちなみに中小企業は全く進んでないです。なぜなら、IT資産管理を怠ることによるリスクが存在するということを認識していないからです。仮に対策しようとすると、やはりそこそこのお金がかかるので二の足を踏んでしまいます。
 また、たとえ認識していたとしてもあくまでリスクなので。リスクが顕在化していない現状としては、経営者としてはそこにお金を出したくはありませんよね。起きてしまうかもですが、起きなければいいという考え方もあるので。
 ただ、そのようなリスクは起きてしまうと大きな損害になってしまいます。なのでそのリスクを受容するかどうかですね。

藤田:難しいところですね。お客さまが抱える課題としては、何が多いでしょうか。

片貝氏:大きく分けると次の3つです。
 ①ライセンスコンプライアンス対策をどのように進めればよいのか?
 ②経営からのコスト削減要求に対して、どのような策があるのか?
 ③セキュリティ対策として、シャドーITや部門で契約するクラウドサービスを減らすためには何を
 すれば良いのか?

藤田:お客様からそのような相談をされて対応していくうちに、実は違う問題が露呈してくることはありますか。つまり、お客さまが当初認識されていた問題と気づいていなかった問題に違いは出てきたりするのですか。

片貝氏:そうですね。先ほどもお話しましたが、そもそもリスクがあることにお客さまが気づいていないことが多いので、そういうことは多々あります。たとえば、コンプライアンス問題が顕在化して、私のところに相談にきたとします。コンプライアンスの対応をするためには、規定類や体制を整えることが大事なので、こういうものは全てみていきます。そうなると結局は、社内の体制も整っていなかったり、適切なツールを使っていなかったり、そもそも会社のルールもなかったりするんですね。そのようにどんどん悪いところが発見されます。でもそれは当たり前なことです。だから、現状把握がとても大事になってきます。

藤田:なるほど。現状把握が重要ということですが、IT資産管理の対策は具体的にどのようなことをされるのでしょうか。

片貝氏:IT資産管理対策は、①現状把握、②是正、③運用改善の大きく3つのSTEPで対応します。

図2.IT資産管理の対策

①の現状把握に関しては、
 ・方針,体制,規定類の把握、IT資産(ハードウェア、ソフトウェア、ライセンス)の利用と保有の
  把握
 ・把握した内容を整理してリスクアセスメントを実施。対策の要否、対策の優先度を決定しマネジ
  メントの承認を取る
 以上のようなことに取り組みます。

②是正に関しては、
 ・改善方針に従った対策の実施をします。
 流れとしては、
 「方針、体制、規定類の見直しと是正」→「利用と保有の是正(不足ライセンスの処理方法をパブリッシャーと協議するなど)」→「管理システムの導入(物理資産の一意識別、各種管理台帳の作成→保有管理)」→「インベントリ収集システムの導入(利用状況の把握)」
 です。
 ・要員に対する新業務周知教育(研修の開催)
 ここでは、全従業員向けの研修と管理者向けの研修、監査人向けの研修等を実施します。

③運用改善に関しては、
 ・新業務実施効果の測定
  ここでは、スタート後一定期間経過した段階で、想定した問題は解決されたのか?新たにどんな
  問題が発生したのか?を測定します。方法としては、管理システムから発報されるアラート分析
  を行い、部門別の周知状況を確認します。そして、棚卸を実施し、台帳と利用状況の差分を確認
  し、齟齬がある場合は原因を追究します。

 先ほども触れましたが、この中でも特に現状把握には時間をかけますね。ここが一番時間がかかります。おそらく、対策プロジェクトができたとして、半分は現状把握に時間をかけます。一番重たい部分です。

藤田:現状把握で見えてくる一番の課題は何でしょうか。

片貝氏:やはり、いわゆる”秩序”、がないので部門が勝手に調達してしまっていること。管理者の知らないところでIT資産が爆発的に増えてしまっていることが多いです。
 たとえば部門の予算内で買っているものとか、業者さんからの持ち込み品だとか、こういったものが増えてしまいます。そうなると、シャドーITの大きな原因となります。この部門と管理者の”ズレ”が現状把握でよく露呈します。
 もう一つよくあるのは、部門の垣根の問題です。部門で問題が起きたとしても、管理部門はそれを知らないので、自分はその問題を知らないとして関わらないことがよくあります。社内的にはそうかもしれませんが、内部監査でそう言ってしまうとなんの価値もなくなります。そこを分かっていない人が多いです。自分のせいじゃないよ、としてしまう環境があるのも大きな問題だと思いますね。

藤田:なるほど。では是正の段階で苦労することは何でしょうか。

片貝氏:お客さまの社内の意見がまとまらないところです。担当者はこの方針で行こうと考えても、たとえば上司がスコープを広げてしまい、もっとやった方がいいんじゃないの、とか。
 また管理システムなど目に見えるものは、やっぱり意見が割れますね。あのメーカーの方がいい、こっちのメーカーの方がいいなど。そういったところでプロジェクトがディレイすることはよくあるケースです。
 社内の意見がまとまらない原因としては、IT部門の中のガバナンスがちゃんと効いていないことが多いから。どういった目的かも分からないまま、イメージや感覚で口出しする人も結構いるんです。

藤田:なかなか難しいところですね。ところで、新業務開始の段階で、社員への周知教育をされているとおっしゃっておりましたが、ここはとても大事なところですね。

片貝氏:そうですね。ルールを作って知らしめてあげないと、利用する側にとってはルールを守りようがないですからね。周知はとても大事です。

藤田:ただ、周知はとても難しいと思います。周知させようとしても、なかなか社員に浸透しないというところも多く聞きます。周知させるための対策としてどのようなことを行っているのでしょうか。

片貝氏:単純にいうと、しつこくやるしかない。いわゆる情報セキュリティ研修ってよくあるじゃないですか。あれって1回やっておしまいではなくて、何度も何度もやって、同じことを何回も言う。それしかないんです。そしてもう一つは、ルールに合っていない利用をしている人が出てきたときに、社内の啓蒙として、このような問題が起きています、と何らかの通知をしていく。このような努力も周知の一環です。たとえば、今月あなたの部門ではこれだけ違反がありました。この違反からみると、こういう問題が起きるのでちゃんとルールを守ってください。といったふうに部門長に対して報告する。一見すると嫌われるようなやり方なのですが、そういうことをしていかないと周知は進まないですね。
 一番効くのは、あなたがこういう事件を起こしましたと通知するのが一番なのですが、それはやり過ぎてしまうので、定期レポ―トで、例えば四半期や半期に一度、部門ごとの傾向を分析したものを部門に送り、部門長の方から指導してくださいということをやると、だんだん周知されてきます。
 弊社ではこのように、業務開始後の運用ベースまでフォローしています。

6.IT資産管理の難しい点

藤田:IT資産管理において難しい点や課題はありますでしょうか?

片貝氏:難しい点は、物理資産と論理資産が混ざっていること。たとえばライセンスはソフトウェアとまた別もので、ソフトウェアはインストールソフトウェアのことを言います。たとえば、PCにオフィスが入っているとしたら、これがソフトウェア。ライセンスというのは、そのソフトウェアを使う権利のことを指しています。
 したがって、ソフトウェアはこのライセンスに紐づいている、というところまで管理しないといけません。そこが論理資産で、目に見えないのでカウントが難しくなります。ライセンスによっては、包括契約とかがあり、たとえばこのビルにいる人だったら誰でも使っていいよ、というものもあるので、これも管理を難しくしている一因です。

7.IT資産管理対策に必要なこと

藤田:IT資産管理の対策を進めいく上で必要なことは何でしょうか。

片貝氏:まずは、
 ①経営のコミットメント
  担当部門がやる気になっても経営層が理解できないと話になりません。
 ②正しい知識
  対策というと管理システムの導入を考える人が多いですが、システムを入れてもルールが無いと
  管理出来ません。したがって、その前に、そもそも自分の会社に何が起きているかを理解し、自
  社に合ったシステムを選ぶことが必要になってきます。そしてシステムを導入したとしても誰も
  入力しなかったら意味がないので、ルールや周知が重要になります。
 ③いきなり完璧を望まないこと
  段階的に精度の向上を目指しますが、最初から完璧な管理は存在しないので。最初から完璧を目
  指すと、心が折れます。

8.データ管理とIT資産管理について

藤田:データがありふれている時代、データの保存や管理をしっかりと行わないといけませんが、そのような管理の中でIT資産管理が果たす役割は何でしょうか。

片貝氏:そもそもIT資産といっても様々な分類に分かれます(前編 小見出し1の図1参照)。
 その中でも普段業務で扱うようなファイルなどのデータは、コンテンツ資産に入ってきます。
 たとえばこのファイルは何年間保存しないといけないですよ、などは文書管理規定になってきます。したがって、どのファイルをどのくらいの期間残しておき、どのファイルを削除すべきかなどの整理は、現段階ではIT資産管理には入っていません。
 ただ、文書管理規定が定めたルールに従って、ここのサーバーにいれましょう、とうことはIT資産で分かります。たとえば、そのようなルールがあって、Aサーバーに置いておくはずのものが、そのサーバー
に入っていない、たとえばクライアントに入ってしまっていますよ、とか、そのファイルが、どうも外とメールでやりとりされていますよ、というものはIT資産管理で把握できます。
 デジタル資産を管理するということは、置く場所も明確になっていないといけません。
 たとえば、九州地点はAサーバー、関西地点はBサーバーといように分けるか、本社で統合した一か所のサーバーにしか置かないのか、そういうことも考えなければいけません。しかしそもそも九州地点にサーバーなんてあったけ、という話になってしまうと、検討する前にそもそもサーバーがあったかどうかから確認しないといけなくなります。IT資産が管理されていれば、そういった面倒なことはなくなります。
 また最近はクラウドなんかもそうですね。ドロップボックスにファイルを置くのもいいですが、ではドロップボックスのセキュリティはどうなのか、金額的に妥当なのか。こういうことも、IT資産管理ができていれば、適切に使用することができます。

藤田:なるほど。文書管理とIT資産管理は繋がる部分がありますね。
 では、IT資産管理をする中で、どのようにIT資産のデータを管理しているのでしょうか。

片貝氏:主に管理台帳を作成して管理します。多くの企業で、各種台帳が部門ごとに作られたりしていますが、管理台帳は組織に一つという事で集約する事で、管理データの精度の担保が可能となり、外部から説明要求をされた際に合理的な説明が可能になります。
 また、管理台帳のデータ変更は組織で決定した体制によって維持管理されます。新規導入や変更、廃棄の台帳処理については必ず 申請→承認→記録→更新 という手続きを経ます。

藤田:現状の企業のIT資産管理についてはどうでしょうか。

片貝氏:そもそもIT資産の状況を把握できていない組織がほとんどです。したがってどこで、誰が、何を使っているのかも把握できない状況だと思います。コスト対策や働き方対策の為に、クラウド化、DXなどの方針を出している企業も多いですが、対象となる、資産(システム)が把握できていないので、もれなく移行する事ができないと思います。また、サイバー攻撃が当たり前になった現在、ソフトウェアのバージョン管理もされていない状況なので、常にサイバー攻撃におびえながら業務を実施する事になっていると思います。

9.今後のIT資産管理の動向について

藤田:AI、5Gなどのデジタル時代、やはり今後、IT資産管理の必要性は高まっていきますでしょうか。

片貝氏:間違いないですね。これからますますIT資産管理の必要性が高まってきます。
 従来のPCやサーバーといったハードウェアだけではなく、IoT機器の保守管理やセキュリティ管理が重要になると思います。
 また5Gの登場でリモートワークも発展する為、従来のように会社内での利用ではなく、BYODなどの活用が増え、クラウドサービスは一般化していくので、管理は益々複雑になり、ビジネスリスクは増大すると思います。
 特にクラウドを導入するために、セキュリティ基準を見直さないといけないということも出てきたりしますが、これを放っておくと、やたらと高いお金を払わされたり、情報漏えいの問題も起きてきます。こういったことがあるので、管理が複雑化してきます。今から対策していかないといけません。

藤田:今後、IT資産管理で何が一番重要となるでしょうか。

片貝氏:社内IT管理という考えを辞める事です。社内と限定した瞬間に自部門の責任範囲という話になり、他部門のITは無視される傾向があります。
 また社内のITでも様々な会社のナレッジを使っているので、ある日突然監査が来ても合理的に対応できるスキルを身に着ける事が重要です。

藤田:今後の事業の展望をお聞かせください。

片貝氏:今みたいな情報システム部になってしまったのは、お客さまにも原因があります。各種ベンダーの提案を鵜呑みにして、役に立たないシステムも多く導入されており、無駄な保守費用を払っている事も多いです。そうではなくて、紙と鉛筆で済むものは、紙と鉛筆で済ませる、みたいなことを情報部門の人が考えないといけません。本来情報部門というのは、企業の戦略に当たるところなので、もっともっと先進的なことをしていかないといけません。しかし今の情報部門は、社内の仕入れサービスみたいになっています。だから、労働集約的なところはこちらでやるので、やはり、お客様が今後のあるべき情報システムってどうなのか、というのをしっかりと考えられる人たちになれるように協力したいと思っています。
 また弊社では従来の経験を活かし、売る側の論理ではなく、買う側の論理でIT資産の適正利用を推進したいと思います。本当にそのシステムは必要ですか?何故必要ですか?という観点でお客様のIT環境の適正化に寄与したと思います。

藤田:本日は、インタビューにご対応頂きましてありがとうございました。

関連記事