第2回 ソフトウェア資産管理の国際標準化動向

Similar documents
3-2 環境マネジメント規格の制定・改訂の動き

Copyright Compita Japan ISO33k シリーズとは? これまで使用されてきたプロセスアセスメント標準 (ISO/IEC 本稿では以降 ISO15504 と略称する ) は 2006 年に基本セットが完成し 既に 8 年以上が経過しています ISO

Microsoft Word HPコンテンツ案 _履歴なし_.doc

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

ベースのソフトウェア情報と突合するかといった点が重要になるが 実際には資産管理ツールだけでは解決できず 最終的に専門的な知識を有した人の判断が必要とされる この点の解決策としては 2012 年 5 月にマイクロソフトも対応を表明した ISO/IEC のソフトウェアタグに期待が集まって

ISO/IEC27000ファミリーについて

ISO/IEC 27000ファミリーについて

ISMS認証機関認定基準及び指針

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

ISO/TC176/SC2/N1291 品質マネジメントシステム規格国内委員会参考訳 ISO 9001:2015 実施の手引 目次 1.0 序文 2.0 ISO 9001:2015 改訂プロセスの背景 3.0 ユーザグループ 4.0 実施の手引 4.1 一般的な手引 4.2 ユーザグループのための具

セキュリティ委員会活動報告

ISO/IEC 27000ファミリーについて

ISO/IEC 改版での変更点

ISO/IEC 27000ファミリーについて

ISO9001:2015内部監査チェックリスト

目次 1. 一般 目的 適用範囲 参照文書 用語及び定義 内部監査 一般 内部監査における観点 内部監査の機会 監査室

プロジェクトマネジメント知識体系ガイド (PMBOK ガイド ) 第 6 版 訂正表 - 第 3 刷り 注 : 次の正誤表は PMBOK ガイド第 6 版 の第 1 刷りと第 2 刷りに関するものです 本 ( または PDF) の印刷部数を確認するには 著作権ページ ( 通知ページおよび目次の前 )

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

使用する前に

JIS Q 27001:2014への移行に関する説明会 資料1

Microsoft PowerPoint - 第6章_要員の認証(事務局;110523;公開版) [互換モード]

ISO/IEC ファミリー規格の最新動向 ISO/IEC JTC1/SC27 WG1 小委員会主査 ( 株式会社日立製作所 ) 相羽律子 Copyright (c) Japan ISMS User Group

品質マニュアル(サンプル)|株式会社ハピネックス

JISQ 原案(本体)

Microsoft Word - 【履歴なし】27000HPコンテンツ案 doc

目次序文 適用範囲 引用文書 用語と定義 一般要求事項 法的及び契約上の事項 法的責任 認証の合意 ライセンス, 認証書及び適合マークの使用... 5

ISO 9001:2015 から ISO 9001:2008 の相関表 JIS Q 9001:2015 JIS Q 9001: 適用範囲 1 適用範囲 1.1 一般 4 組織の状況 4 品質マネジメントシステム 4.1 組織及びその状況の理解 4 品質マネジメントシステム 5.6 マネジ

Microsoft Word - RM最前線 doc

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 関連する利害関係者の特定 プロセスの計画 実施 3. ISO 14001:2015への移行 EMS 適用範囲 リーダーシップ パフォーマンス その他 (

表 3 厚生労働省新旧ガイドライン目次比較 は新ガイドラインで追加された項目 コンピュータ使用医薬品等製造所適正管理ガイドライン 第 1 目的 1. 総則 1.1 目的 第 2 適用の範囲 2. 適用の範囲 第 3 開発業務 1. 開発検討段階 (1) 開発段階の責任体制の確立 (2) 開発マニュア

情報分野のアクセシビリティ標準について

<4D F736F F D20939D8D87837D836A B B816996E BB8DEC8F8A816A F90BB8DEC E646F63>

ISO/IEC 27000ファミリーについて

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

PowerPoint プレゼンテーション

PowerPoint Presentation

JIP-IMAC a

Microsoft PowerPoint  講演資料.pptx

ライセンスの注意事項 サーババンドル版のライセンスについてサーババンドル版では 通常のサーバライセンスおよび 4 コアライセンスを ベースライセンス 追加サーバライセンスおよび追加 2 コアライセンスを 追加ライセンス と呼びます 1 台の物理サーバに対してベースライセンスは 1 つしか購入すること

27000family_

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

ISO19011の概要について

5005-toku3.indd

Client Management Solutions および Mobile Printing Solutions ユーザガイド

J-SOX 自己点検評価プロセスの構築

Veritas System Recovery 16 Management Solution Readme

PowerPoint プレゼンテーション

ISO/FDIS 9001 の概要 TC 176 国内委員会委員 中條武志 ( 中央大学 ) 1

第16部 ソフトウェア・プロセスの改善

制御システムセキュリティアセスメントサービス

国立国会図書館ダブリンコアメタデータ記述

AAプロセスアフローチについて_ テクノファーnews

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 利害関係者の特定 QMS 適用範囲 3. ISO 9001:2015への移行 リーダーシップ パフォーマンス 組織の知識 その他 ( 考慮する 必要に応

<4D F736F F F696E74202D2091E6368FCD5F95F18D908B7982D D815B >

Microsoft Word - ModelAnalys操作マニュアル_

FUJITSU Software Systemwalker Desktop Patrol V15 ご紹介資料

1 BCM BCM BCM BCM BCM BCMS

JAB の認定 ~ 最新情報 公益財団法人日本適合性認定協会認定センター

メタデータスキーマレジストリ MetaBridge の概要

FSMS ISO FSMS FSMS 18

16年度第一回JACB品質技術委員会

Microsoft PowerPoint - A3② JaSST_MISRA2004ソースコード品質診断.ppt

Transcription:

第 2 回ソフトウェア資産管理の国際標準化動向 1. 国際標準規格としてのISO/IEC 19770 ソフトウェア資産管理 (SAM:Software Asset Management) に関する国際標準規格としては 国際標準化機構 (ISO:International Organization for Standardization) と国際電気標準会議 (IEC:International Electrotechnical Commission) との合同技術委員会である JTC1(Joint Technical Committee 1 for Information Technology) 配下の分科委員会 SC7(Subcommittee) 下の作業部会である WG21(Working Group 21) において策定が進められている ISO/IEC 19770 がある 現在 国際標準の規格として出版されているのは プロセスの要求事項を規定した ISO/IEC 19770-1 とソフトウェアを識別するためのタグの仕様を規定した ISO/IEC 19770-2 である 今後この規格は 図 2.1 に示すように 19770 シリーズとして SAM に関する規格やテクニカルレポート (TR:Technical Report) を発行する予定である とかく ソフトウェア資産管理が取り上げられるとき ライセンスコンプライアンスを中心に語られることがあるが SAM は有償 / 無償のソフトウェアだけでなく そのソフトウェアが動作するハードウェア ( 関連資産 ) の管理も含んでいる SAM を進めることは セキュリティコンプライアンスだけでなく サービスの基となる重要な要素の管理を高めることであり 企業がその価値を向上させ 組織が信頼性を高める上で避けて通れないテーマと言える 図 2-1 ISO/IEC 19770 シリーズのロードマップ (2012 年 10 月 13 日現在 ) (1)ISO/IEC 19770-1 ソフトウェア資産管理のプロセスに関する国際標準規格は 2006 年にリリースされた ソフトウェア資産管理に関する議論は 2000 年問題 ( 年数を下 2 桁で表現しているコンピュータプログラムがグレゴリオ暦 2000 年を 1900 年と解釈し コンピュータが誤作動する可能性があるとされた問題 ) においてコンピュータプログラムの導入状況を適時に把握することの課題から始まったとされている 導入状況を把握するための標準化は 19770-2 に受け継がれており ソフトウェア資産管理のプロセスのベストプラクテ 1

ィスを標準化する動きが 2000 年から始まった 当初はスウェーデン標準化機関 (SIS:Swedish Standards Institute) で議論されていたが 国際標準化機構に引き継がれ 2002 年には韓国の釜山において規格原案 (WD:Working Draft) が取りまとめらた 2005 年ヘルシンキ イタリアのバリでの会議を経て最終規格原案 (FDIS:Final Draft International Standard) が取りまとめられ 2006 年にバンコク会議にて承認されている ISO/IEC 19770-1:2006 Processes は ソフトウェア資産管理を行う組織が達成すべき状態を 27 のプロセスに分け記述している この規格に対する適合は 完全適合を実現している組織のみとしたため 一般的な組織が この規格に適合するにはハードルが高かった そこで 段階的な適合を可能とするように Staged adoption of SAM processes として検討された 当初 ISO/IEC 19770-4 とナンバリングされていたが 標準化の過程で ISO/IEC 19770-1:2006 の改版とすべきとされ 2012 年 6 月に ISO/IEC 19770-1:2012 Processes and tiered assessment of conformance となって出版された 表 2-2 ISO/IEC 19770-1:2012 Information technology -- Software asset management -- Part 1: Processes and tiered assessment of conformance 概要 : ISO/IEC 19770-1:2012 は ソフトウェア資産管理 (SAM) を実施していることを階層別に評価できるようにするものとして開発された 4 つの段階は 第 1 段階 : 管理できるように正しいデータが集められている段階 第 2 段階 : 実用的な管理が行われ 直接的な効果が出始めている段階 第 3 段階 : 効率性と有効性が改善されている状態 第 4 段階 : 全ての要件に適合した組織で最適な戦略的 SAM が達成されている段階を定義している 当規格ではマネジメントシステムとして ISO ガイド 72 の規格の枠組みを考慮しており 同じ枠組みを採用しているサービスマネージメントの規格 ISO/IEC 20000-1 やセキュリティマネジメントの規格 ISO/IEC 27001 と連携し易くなっている 内容 : SAM のプロセスに対する要求事項は表 2-3 のように 27 個のプロセスで各プロセスが実現すべき状態を 成果 'Outcomes' として記載されている 各要求事項に対してその要求が先のどの Tier に属するものかが示されている SAM の組織管理プロセス では SAM が正式に経営の要請で取り組まれ 取り組む組織の範囲 PDCA が行える体制ができていて 資源 ( 要因も含めた ) 導入の方針や計画 継続的な改善が確実に行われることなどが 8 個のプロセスに記載されている SAM の中核プロセス は 11 個のプロセスに SAM としてもっとも重要な次のような要求事項が規定されている ソフトウェア資産及び関連資産の識別 在庫管理 変更管理に関する規定 及び在庫記録の正しさの検証 ライセンスの順守 セキュリティの順守のために行わなければならないことの規程 SAM を行うための内部及び外部組織との関係 契約の管理 財務 SLA の定義と記録に関する規定などが記載されている SAM の主プロセス及びインタフェース は 変更管理 開発 展開 問題管理 取得 リリース インシデント管理 廃棄といった主要な 8 個のプロセスについて SAM の要求事項が記載されている 2

表 2-3 SAM プロセスの枠組み SAM の組織管理プロセス 4.2 SAM の統制環境 SAM の企業統治プロセス SAM の役割及び責任 SAM の方針 プロセス及び手順 SAM の能力 4.3 SAM の計画立案及び導入プロセス SAM の計画立案 SAM の導入 SAM の監視及びレビュー SAM の継続的改善 中核 SAM プロセス 4.4 SAM の在庫プロセス ソフトウェア資産の識別ソフトウェア資産の在庫管理ソフトウェア資産の管理 4.5 SAM の検証及び順守プロセス ソフトウェア資産記録の検証ソフトウェアライセンスの順守ソフトウェア資産セキュリティの順守 SAM の適合性検証 4.6 SAM の運用管理プロセス及びインタフェース SAM の関係及び契約管理 SAM の財務管理 SAM のサービスレベル管理 SAM のセキュリティ管理 SAM の主プロセスインタフェース 4.7 SAM のライフサイクルプロセスインタフェース 変更管理プロセスソフトウェア開発プロセスソフトウェア展開プロセス問題管理プロセス取得プロセスソフトウェアリリース管理プロセスインシデント管理プロセス廃棄プロセス (2)ISO/IEC 19770-2 ソフトウェアの導入状況を把握するために 導入されたソフトウェアを識別するためのタグの規格が ISO/IEC 19770-2 として 2009 年 11 月に標準化されている 本規格では ソフトウェア識別タグの表現方法として XML フォーマットが用いられている 必須属性と任意属性を持っており ( 表 2-5) 拡張することも可能である ベンダーに依存しない表現方法を用いることで マイクロソフト社の Windows OS や他のオペレーティングシステム (UNIX や Linux) に導入されたソフトウェアのインベントリ情報を容易に認識することが可能である また ソフトウェア識別タグにはソフトウェアの名称やベンダー名 バージョンだけでなく 当該ソフトウェアが含まれるパッケージに関する情報なども登録することが可能であり 困難と言われるスイート製品やバンドル製品の管理を考慮している ソフトウェア識別タグを第三者が認証する機関として IEEE(The Institute of Electrical and Electronics Engineers Inc.) 配下の TagVault( 第 1 回海外におけるソフトウェア資産管理 を参照 ) が存在する 第三者が認証することにより ソフトウェアベンダーが生成したソフトウェア識別タグの改竄を検知することができるだけでなく マルウェア ( 利用者に対して有害な動作を与えることを意図した悪意のあるソフトウェアあるいはコードの総称 ) などの導入を防ぐことができるなどセキュリティ上のメリットも存在する ISO/IEC 19770-2 は 現在検討が続けられている ISO/IEC 19770-3( 導入されているソフトウェアのライセンス情報を記述するタグの標準化 ) と合わせて利用するとより省力化が図れる設計になっている 3

表 2-4 ISO/IEC 19770-2:2009 Information technology -- Software asset management -- Part 2: Software identification tag 概要 : 識別 管理の最適化用にソフトウェアにタグ付けすることを目的として定められた規格であり 本規格は次に示す実体に適用される 1プラットフォームプロバイダプラットフォームプロバイダは コンピュータやハードウェアデバイス および / または関連する OS 仮想環境に責任を負う実体である ISO/IEC 19770-2:2009 をサポートするプラットフォームプロバイダは更に プラットフォームまたは OS のレベルでタグ管理機能を提供する 2ソフトウェアプロバイダソフトウェアプロバイダには 配布 インストールするためのソフトウェア製作者や パッケージ業者 またはライセンサー ソフトウェア製造業者 独立しているソフトウェア開発者 コンサルタント 及び以前に製造されたソフトウェアの再パッケージ業者が含まれる またインハウスのソフトウェア開発者の場合もある 3タグプロバイダタグプロバイダは ソフトウェア識別タグを作成や修正する実体である タグプロバイダは ソフトウェアプロバイダ組織における一部門の場合もあるし 第三者組織やソフトウェアコンシューマの場合もある 4タグツールプロバイダタグツールプロバイダは ソフトウェア認識タグを作成 修正 使用するための無数のツールを提供すると思われる これらのツールは 自動生成されたソフトウェア認識タグを提供する開発環境 インストール手順の代わりにタグを生成 ( そして / または ) 修正するであろうインストールツール タグを保持しないソフトウェア用にタグを生成 ( そして / または ) ソフトウェアライフサイクルの詳細情報を記述したタグを修正するであろうデスクトップ管理ツールを含む 5ソフトウェアコンシューマソフトウェアコンシューマは ソフトウェアを購入 インストール ( そして / または ) 使用する実体 そしてソフトウェアコンシューマは ISO/IEC 19770-2:2009 で規定されたソフトウェア認識タグにより提供される改善情報の主な受益者の一人として意図されている 内容 : 他の規格への適用 ISO/IEC 19770-1:2006 ISO/IEC 20000-1:2005 ISO/IEC 20000-2:2005 ソフトウェア識別タグに関するプロセスの導入 ソフトウェア識別タグライフサイクル/ プラットフォーム仕様およびガイダンス 仮想環境 仮想マシン リムーバブルメディアなど/ 属性 必須属性 任意属性 拡張属性その他 適用される実体へのガイダンスなど 4

表 2-5 ISO/IEC 19770-2 XML スキーマ定義 出典 )ISO/IEC 19770-2 を基に作成 (3)ISO/IEC 19770-3 ISO/IEC 19770-2 で標準化されたソフトウェア識別タグと双対をなすものである 導入されているライセンスの情報をコンピュータにもたせるタグの標準化規格として 作業部会 (OWG:Other Working Group) において議論が進められている ISO/IEC 19770-3 を開発するための OWG は 2008 年ベルリンで行われた ISO/IEC JTC 1/SC 7/WG 21 会議において発足している ISO/IEC 19770-3 OWG のサイトにおいて その活動内容を把握することができる 標準化予定は 2010 年となっていたが 大幅に遅れており 2010 年の新潟会議で延期されることが決まった 2011 年に CD1が投票され OWG は コメントへの対応で大幅な修正を行っている 2012 年末までにメンバー内でレビューし 2013 年 1 月に CD2 の投票を判断する ソフトウェアライセンスはソフトウェアベンダーの自由意思により決められており 多様なソフトウェアライセンスの存在がソフトウェアライセンス管理を困難にしている ( 今回の修正では クラウドコンピューティングのようなサービスでのライセンスも検討されている ) ISO/IEC 19770-3 はソフトウェアライセンスの規準 ( クライテリア ) を定義しようとするものである ソフトウェアライセンスの利用に関する計量方法などを取り決めており CAL や CPU ベースなども考慮されている タグの表現には ISO/IEC 19770-2 と同様に XML フォーマットが用いられており ISO/IEC 19770-2 および本規格を実装することによって ソフトウェアライセンスの保有状態と利用状態の照合をデジタル的に行うことも可能となる (4)ISO/IEC 19770-5 ソフトウェア資産管理のコンセプトや原理を概説し ISO/IEC 19770 ファミリーで用いられる用語の定義や 各規格の関連について説明した文書として策定が進められている 2010 年 1 月 26 日に JTC1 に新規提案 (NWIP:New Work Item Proposal) として WD(Working Draft) が提出された 以前は ISO/IEC 19770-0 とされていたが リナンバリングされた 5

現在 CD に対して投票が行われ 2012 年の中間会議でコメントに対応してドラフトがレビューされ DIS の準備が行われている (6)ISO/IEC 19770-7 タグによるソフトウェア資産管理の方法について説明するテクニカルレポートを作成中である 現在 PDTR(Proposed Draft Technical Report) のためのドラフトを開発している段階である 2013 年度中には TR になるよう進めれれている (7)ISO/IEC 19770-8 2011 年の Paris 会議で 19770 標準のファミリー規格として SAM を実践する代表的なガイドラインとの Maping を記述したテクニカルレポートを作成することが正式に NWIP として了承された これからドラフトが作成されるが 日本の SAMAC の SAM 基準等が一つの事例として取り込まれる予定である (8)ISO/IEC 19770-11 2012 年の JEJU 会議で小規模組織向けの 19770-1 を作成することが正式に NWIP として了承された 2. 国際標準への対応状況 SAM の国際標準として 2006 年に ISO/IEC 19770-1 が出版されてから 各国の SAM を推進している団体が ISO/IEC 19770-1 への対応を表明している ただ 先の章で説明したように ISO/IEC 19770-1:2006 は 規格の完全適合しか認めていなかったので 各国の団体は SAM を進める組織に対して この規格に沿った成熟度評価や SAM を導入するためのガイドラインを独自の主観でもって作成していた ISO/IEC 19770-1:2012 の改版で SAM の段階的な導入に対して指針がでたことは 各国の SAM を推進する団体にとって救いとなる この改版に対応した評価モデルやガイドラインが今後出てくると思われる 最近の動きとして海外の動向は 第一回連載を参照頂きたい また 国内の動きとしては 一般社団法人ソフトウェア資産管理評価認定協会 (SAMAC:association of SAM Assessment & Certification) が ISO/IEC 19770-1 をベースとした SAM 基準と SAM 評価規準をもとに SAM コンサルタントや組織の成熟度評価 省力化のための辞書提供 SAM セミナーを通じて日本を中心とした SAM の普及活動をしている ISO/IEC 19770-1:2012 の Tiered モデルにも Annex として参照されている ISO/IEC 19770-2:2009 は 第一回連載で説明されているように TagVault が正式なソフトウェア識別タグの登録及び認証局として活動しており マイクロソフトなどの OS 提供ベンダーや有名なソフトウェアベンダー ツールベンダー及び 国防 政府 金融等の大手ユーザが参画している 19770-3 の規格化とともに今後の普及が予想される 一方 日本においてはこの標準規格の適用があまり進んでいない これは 早くからソフトウェアインストールの自動判定をもとに独自の辞書を作成し システム化を進めてきたという事情もあるが 信頼性と確実性という意味では 国際標準に分があり 今後の進展が注目される 6

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック