コラム

資産管理の挑戦

異なる規模、業務形態の組織で資産管理を導入する場合、全く別の課題が浮かび上がります。小規模の組織、特に創業段階では所有する資産も少ないため、資産管理と監査の必要性を感じませんが、会社の設備が一定規模まで増えたり、IT関連資産(ノートパソコンなど)が社員に持ち出されたりする場合、資産管理のプロセスを設計して追跡管理する必要が出てきます。

組織の成長に伴い社員もどんどん増えてくると使用するサーバも増え、ノートパソコンの買い換えなども起きます。このタイミングで専門の資産管理システムを導入して、資産の棚卸しと追跡やライフサイクルの管理なども実施できれば、組織運営においてスムーズに進行できます。

どのシステムを選ぶべきか?

IT資産管理システムは資産収集の方法によって、エージェントベースとエージェントレスに分類できます。まずはIT資産管理（ITAM）について定義しましょう。

IT資産管理システムとは、IT資産のライフサイクルを追跡、点検する実務システムです。IT関連情報には在庫数、ライセンス許諾有効期限、保守契約と関連費用などがあります。これらは一般的に購入価格、年度保守コスト、購入日、ライセンス終了/サービス終了日（EOL/EOS）などの詳細情報も含まれます。IT資産管理システムで契約と購入申請と紐づけすることもできます。ソフトウェアやハードウェアのライセンス所持数と実際の使用数を比較して使用状況を把握すれば、購入や管理の参考基準にもなります。ITAMシステムは以上の機能だけでなく、拡張・追加機能を有するシステムも多くあります。とはいえ、IT資産管理システムにとって、一番基本な機能はやはりIT資産情報の自動点検管理です。この機能の派生として、実行中のプロセスを追跡管理してレジストリやオプション設定を比較して、マシンとパーツ、ソフトウェアと実行プロセスの関連性を相関して把握することができます。

成長している組織は当然変化が生じます。変化に伴って資産状態も変動します。一定規模超えると、今度は在庫管理・移動・リースなどの課題が出てきます。または会社合併や買収、組織変更や人事異動により、資産の移動、廃棄、新組織統合なども発生します。ITAMシステムは新規購入した資産と既存資産をあわせて管理できるのか／手動で実施するのか／自動で実施できるのか、これらの諸々が資産管理システムの評価基準になります。

まず資産管理ですべきことは、すべての資産を精査することです。(ここではAsset discovery 資産探索と呼びます)エージェントベースとエージェントレスは各自にメリットがあり、一部のソリューションは混合構造を採用する場合もあります。以下は実例で両者のメリット、デメリットを比較します。

実施フロー上は色々細かい部分が異なりますが、本質的に探索と管理追跡の方法は3つしかありません。どの案を採用しても、最終的に以下3つの種類に分類できます。

• 手動で資産を探索/追跡 (今この案を採用する人はほぼいません)
• エージェントで自動探索/追跡
• エージェントレスで資産を探索/追跡

本当の自動化資産探索とは？

資産探索の自動化はよく知られる他のIT自動化と同じように、サーバルームや事務所へ足を運んで紙とペンで精査するのに比べて、自動精査システムにはいくつかの設定が必要になります。設定内容は例えばサーバ名、IPアドレスレンジ、ログインドメインなどがあります。ターゲット端末がネットワーク上に接続して、指定ポートに返信し、必要な認証をこなせば、自動的にスキャンを実行してネットワーク上の全IT資産を探索できます。

エージェントレス

スキャンホストは指定ネットワークレンジにある全サーバ・PC・設備を探索して、まずはOSやメーカー指定のプロトコルを判断します。例えばSNMP、SSHは一般的なネットワークハードウェアと大多数のOSに適用できます。次は特定プラットフォームのAPIを探します。例えばWindowsのWMIとWinRM、Linux/BSD/UnixのSSHなどがあります。この他、ネットワーク設備間のパケット量を観測して、収集した情報で設備を判断するタイプの探索方法もあります。

これらの技術は基本スキャンソフトウェアを探索する端末と同じネットワークに接続して、オンラインを保持する必要があります。ほとんどの場合この要求は問題になりませんが、セキュリティを考慮して実環境でネットワークのプロトコルが無効にされる場合があります。さらに監視しているサービスも停止される可能性があります。この場合だと、エージェントベースのソリューションを優先的に選ぶ必要があります。と言うより、これ以外に解決案がないでしょう。

エージェントベース

エージェントベースの資産探索は、まずターゲット端末にソフトウェアプログラムをインストールします。このプログラムはターゲット端末上で独立して実行するプロセスで、リモートからコールされて実行するためのもの（RPCなど）ではありません。この探索方法を採用するメリットはターゲット端末のプロトコル (SNMPなど)が無効でもデータを収集することができます。さらにオフラインの独立ネットワークやマシンもデータを収集して保存できます。オンライン状態だと、エージェントは定期的に情報を更新できます。例えば毎時、毎日、毎週、数ヶ月ごとに更新するなど設定できます。他に有効な運用ケースは、例えば頻繁に持ち出されるノートパソコンが社内LANや自身のVLANで接続する時に情報を更新できます。もっと厳しいセキュリティポリシーに対して、例えば隔離や独立したクローズドシステムの場合は、手動でローカルに保存してからサーバにデータをインポートするやり方もあります。

しかしエージェントベースシステムで生産を追跡するには、まずプログラムをインストールする必要があります。では、プログラムがインストールされていない端末はそもそもどやってその存在自体を把握するか？インストールすべき端末の一覧をどうやって入手するか？仮にインストールしたとして、実際完璧な資産一覧を取得しているかをどう確認するか？現実問題として、規模が大きくなると導入済みの設備や未導入の設備を把握すること自体が難しいです。これも規模の大きい組織がエージェントレススキャンの方法を選ぶ主要な理由の一つです。

エージェントレスとエージェントベースを融合させてさらに改善

ほとんどのことと同じように、ソリューションの評価における１番大きい挑戦は大多数の製品はそもそも１つの技術に重心をおいていることです。しかし１番いい選択は常に全ての選択肢からいい部分だけを取って、有効に運用することです。つまりエージェントレス とエージェントベースを同時に採用するのがベターな選択と言えましょう。しかし、この複合案より優れたソリューションもないわけではありません。例えばエージェントベース資産管理をメインに構築し、独立した資産スキャンサービスを付け加えることです。

広義的なソフトウェア資産管理はソフトウェアの実行と制御・管理・セキュリティ制御なども含まれています。セキュリティ保護の有効性を維持するため、エージェント自体はある程度の自己保護機能を備えています。さらにエージェントベースであれば資産をリアルタイムで監視して正確に状態を把握できます。もちろんエージェントベースである以上、基本はWindowsプラットフォームベースの物になりますが、この場合は他プラットフォームの設備や端末はエージェントレススキャンで補足します。エージェントベースのセキュリティ保護システムの派生機能であれば、通常は導入ツールや標準ネットワークスキャンサービスを備えて、未インストール端末をリストアップしてくれます。

それに比べて、資産収集専門のエージェントは、基本は標準的な機能しかありません。また、セキュリティ保護機能も比較的少なめで、他のプログラムの干渉を受けやすいです。干渉のせいで転送資料に漏れが出たり、あるいは全く転送されない可能性もあります。事後のスキャンで補足できますが、資産情報の詳しさ、資産変更時の即時性に欠けて、エージェントベース のシステムより多少劣ります。ではスキャンを主軸に(簡易な)エージェントとの組み合わせ構造はどうでしょう。この場合、資産の正確度や有効性もやはり少し劣ります。このように導入評価はメーカーの書面資料だけ見ても意味がなく、現在自社の環境状況も評価要素に入れ、必要な要望を整理した上でテスト計画を立てて、実際の運用可能性、耐用性を検証しなければいけません。もちろん管理コストも考慮にいれなければいけません。今後数年の作業効率に大きく影響します。