連邦政府機関は、世界的に最もソフトウェア環境の中で業務を行っており、商用、オープンソース、オンプレミス、クラウドベースのツールを多様に組み合わせて活用し、ミッションを遂行している。このソフトウェア エコシステムを効果的に管理することは、もはやオプションではなく、業務の完全性を維持し、サイバーセキュリティを確保し、財政責任を果たすために不可欠である。
連邦政府のソフトウェア 資産管理(SAM)フレームワークには、次のような実績のあるものがある。 ISO/IEC 19770, NIST IT資産管理ガイドラインや、以下のような指令があるにもかかわらず メガバイト法などがあるが、多くの機関はまだ効果的に導入していない。このような導入の欠如は、ソフトウェア 無駄を削減し、コンプライアンスを確保し、サイバーセキュリティを強化する取り組みを阻害している。一般的な障壁としては、リソースの制約、サイロ化されたシステム、集中化されたSAMガバナンスの不在などが挙げられる。
ライセンスで迷う連邦政府の問題
監察総監室(OIG)の最近の報告書は、環境保護庁(EPA)に対し、ソフトウェア 免許目録の近代化を促した。OIGは、説明責任と可視性における重大なギャップを強調し、SAM戦略にとって不可欠な基盤である、ソフトウェア 認可データの記録システムをまだ指定していないことを指摘した。
"ソフトウェア 購入とライセンスデータの完全かつ正確なインベントリがなければ、CIAはネットワークにインストールされたソフトウェア 説明責任と可視性を欠いている。"
この課題に直面しているのはEPAだけではない。数多くの連邦機関が、一元化された権威あるライセンス目録を持たずに現在も運営されている。エンタイトルメントと使用状況を追跡する基盤がないため、これらの省庁は、コンプライアンス違反、非効率、 および不必要なコストに対して脆弱なままである。
実績のある連邦政府SAMフレームワーク、不十分な実装
ISO/IEC 19770-1 規格は、ライセンスの追跡、エンタイトルメント管理、プロセスの成熟度、継続的改善など、包括的な SAM の実践について概説している。SP 1800-5 や SP 800-53 などの NIST 出版物は、サイバーセキュリティと IT ライフサイクルガバナンスの強化における SAM の役割をさらに強調しています。
これらの連邦政府のSAMフレームワークは、成熟し、実地試験が行われ、民間部門で広く採用されている。しかし、連邦政府内での採用はまだ限られている。そのギャップは、フレームワークそのものにあるのではなく、それを効果的に導入する各省庁の能力にある。
未利用の主な理由
専用リソースの不足
2024年のGAO報告書によると、いくつかの省庁は、 ソフトウェア ライセンスを分析するための専門知識が社内にないか、正式なSAM機能がないことを認めている。多くの場合、調達、サイバーセキュリティ、法務、ITチームに責任が分散しており、所有権が分断され、実行に一貫性がない。
視界不良による過剰支出
政府機関、民間企業を問わず、45%もの組織が、ライセンス使用状況やエンタイトルメントを十分に把握できていないことが原因で、ソフトウェア 過剰な経費をかけています。正確な使用データがなければ、機関は自信を持ってニーズを評価したり、ソフトウェア ポートフォリオを合理化したりすることができません。
予算の制約と優先事項の競合
SAMイニシアチブは、サイバーセキュリティや近代化のような、より直接的な資金調達の優先順位に負けることが多い。SAMは長期的な節約にはなるが、ISO 19770のようなフレームワークを導入するために必要なツールや人材への先行投資を正当化するのに苦労している。
サイロ化したシステムと一貫性のないデータ
ソフトウェアのインベントリは、一般的に、スプレッドシート、時代遅れのCMDB、および切断されたベンダーのツールにまたがって広がっている。ISO 19770-2 は一貫したソフトウェア 識別タグに依存しており、一元化された正規化されたデータなしではほぼ不可能である。
企業レベルのSAMガバナンスの不在
追跡機能を持つ機関であっても、業務部門全体でSAMポリシーを実施するためのガバナンス構造が欠如していることが多い。一元管理できなければ、調達に一貫性がなくなり、ライセンス使用は冗長になり、省庁横断的な最適化は達成できない。
断片化されたSAMの結果
連邦政府のSAMフレームワークの運用に失敗した機関は、主に3つのリスクに直面する:
- 財務上の無駄:冗長な購入や十分に活用されていないライセンスにより、運用・保守(O&M)コストが膨らみ、ミッションクリティカルな優先事項から資金が流出する。
- 監査の脆弱性:不完全な資格記録は、ベンダーの監査や規制当局のレビューにさらされる可能性を高める。
- セキュリティギャップ:不正確なソフトウェア 管理されていないアプリケーションは、攻撃対象領域を広げ、ゼロトラスト・イニシアチブの妨げとなる。
Open iTコンプライアンスを強化
複雑なIT環境向けに構築されたソフトウェアライセンス管理ソリューション - Open iT Open iT-のような複雑な IT 環境向けに構築されたライセンス管理ソリューションは、連邦政府機関が SAM フレームワークを運用する上で重要な役割を果たします。
データの正規化と集約
Open iT 、ライセンス・マネージャー、ログ・ファイル、クラウド・システム、ユーザー・アクティビティなど、さまざまなソースから利用データを収集し、統一されたインベントリに正規化します。これにより、ISO 19770-1への準拠をサポートし、情報に基づいたガバナンスに必要な可視性を実現します。
ライセンスの照合と最適化
実際の使用量とエンタイトルメントをマッピングすることで、Open iT ライセンスの調整と最適化をサポートします。これにより、正確なソフトウェア 適正化が可能になり、データに基づく洞察によって交渉が強化されます。
ガバナンスとレポーティング
カスタマイズ可能なダッシュボードと分析機能により、Open iT ガバナンスチームにポリシーの徹底、利用傾向の追跡、連邦政府の義務に沿ったコンプライアンスレポートの作成を支援します。
専門家によるマネージドSAMサービス
Open iTのマネージド SAM サービスは、専門家主導のソフトウェア ライセンス追跡、コンプライアンス分析、データの一元管理を提供することで、ISO/IEC 19770 などの標準の運用を連邦政府機関に支援します。これにより、継続的な監査への対応、コンプライアンス違反リスクの低減、より価値の高いタスクのための社内リソースの確保が可能になります。
前進する実行のギャップを埋める
利用可能なガイダンスや指令があるにもかかわらず、ほとんどの連邦政府機関は、構造化されたソフトウェア 資産管理のメリットを実現するには程遠いままである。ツールやフレームワークは存在するが、リーダーシップのコミットメント、ガバナンス、実行支援こそがギャップを埋めるものである。
推薦する:
- 全社的な権限を持つ SAM プログラムオーナーを任命する。
- マネージドSAMサービスを活用して、フレームワークの実装とトレーニングをブートストラップする。
- マルチソースのデータ統合、ライセンス利用状況のモニタリング、エンタイトルメントの照合をサポートするOpen iT ようなツールに投資する。
- SAMを調達、サイバーセキュリティ、IT運用と統合し、統一されたガバナンス・アプローチを確保する。
連邦政府のSAMフレームワークは自前で導入しない
基準は明確だ。技術も存在する。不足しているのは、ガイダンスと実行の間の運用上の橋渡しである。効果的なSAMとは、単なるコンプライアンスではなく、インテリジェンス、敏捷性、財政規律をもってIT資産を管理する権限を機関に与えることである。
Open iT は、SAM を大規模に運用するために必要な可視性、ツール、専門知識を提供し、断片化されたライセンスデータを実用的なインテリジェンスに変換します。
あなたのソフトウェア 光を。ライセンスの混沌を明晰に変えるために、 Open iTご連絡ください。
