ソフトウェア使用状況の監視の重要性: 内部調査の結果、ソフトウェアの不適切使用(悪用)により会社に 1,100 万ドルの損失が発生
2023年5月、WSJの報道は、カリフォルニア州サンノゼに本拠を置く企業がソフトウェアの不適切使用(悪用)により巨額の損失を被ったことを明らかにした。クラウド コンピューティング ソフトウェアおよびサービスのプロバイダーである当該企業は、評価用ソフトウェアを業務目的で使用したため、1,100 万ドルの追加費用を負担する必要が生じました。同社の声明によると、この結果の責任は「各部署」にあったといいます。また、一部の従業員がベンダーの 1 社に対して自分たちの行為を意図的に隠蔽していたことも確認されました。
このニュースはIT業界に大きな衝撃を引き起こした。ただし、これはさまざまな企業・組織の従業員によって一般的に行われており、ソフトウェアは不遵守の脅威にさらされています。
この脅威につながる理由のいくつかを以下に示します。
- ソフトウェアへの迅速なアクセスのための内部 IT 要求プロセスの回避:一部の従業員は自分のコンピュータへの特別なローカル管理者アクセスを許可されており、ソフトウェアのインストールの制御が困難になるため、IT にとってこの種の課題が生じています。
- 報告されていないソフトウェアのダウンロード/インストール:ソフトウェアに素早くアクセスするために、コンピューターのローカル管理者権限を持つ従業員は、簡単に入手できる場合がある試用版/評価版をダウンロードしてインストールします。インストールされた評価版が評価用であるか業務用であるかは、IT 部門には報告されません。
- ユーザー(従業員)または部署がソフトウェアの試用版/評価版の使用範囲を無視している: 多くのソフトウェア発行元は、新製品の試用版を組織に提供しています。ただし、使用制限についての認識が不足しているため、組織がプロジェクト作業にそれらを使用し、意図せずにコンプライアンス違反に陥る可能性があります。
- プロジェクトまたは部署レベルのソフトウェア使用状況を監視しない:プロジェクトおよび部署ごとにソフトウェア使用状況を監視することを強く推奨します。この監視により、プロジェクトまたはビジネス目的での試用版/評価版の使用状況を特定しやすくなります。
- SAM(ソフトウェア資産管理) ポリシーの欠如: SAM ポリシーを備え、その実践を実施していない組織は、ソフトウェア監視に関して最も脆弱になります。このような環境では、試用版/評価版の展開、あるいは使用は追跡されません。
- SAM (ソフトウェア資産管理)および InfoSec(情報セキュリティ) ポリシーが厳格に実践されていない: IT 部署は、ローカル管理者権限を許可したり、特定のコンピューターで USB ポートを有効にしたりするなど、重要なプロジェクトに対して例外を許可するよう経営陣からの大きなプレッシャーに直面する可能性があります。ただし、例外を許可しすぎると、ソフトウェア コンプライアンスの追跡と管理における IT 部署の業務が複雑になります。
以下の使用は、試用版/評価版に関する「ソフトウェアの不正使用」として認識されます。
- ソフトウェア発行元の承認を得ることなく、アプリケーションの試用版を複数のコンピュータにインストールする
または
- すでにライセンスを購入しているソフトウェアの試用版/評価版をインストールする
試用/評価、またはデモ ソフトウェア バージョンは、管理された方法で使用しない場合、重大なリスクをもたらします。これらのバージョンを誤って使用すると、次のような結果が生じるおそれがあります。
- 企業や組織の財務状況に影響を与える可能性があります
- 悪用した従業員の職が危険にさらされる可能性があります
- 関係する組織の市場での評判を傷つける可能性があります
したがって、ソフトウェア コンプライアンス管理のベスト プラクティスの一環として、ソフトウェアの無料試用版または評価版は評価のみを目的としていることに注意することが非常に重要です。これらをビジネス、または商業目的で決して使用してはなりません。