以前はソフトウェアライセンスのコンプライアンスはかなり単純なビジネスでした。ユーザー、あるいはサイトライセンスごとにライセンスを購入することができ、ベンダーは、通常、特定のコンピュータにリンクされている物理的な、あるいは仮想のライセンスキーを使用してライセンスに準拠していることを確認しました。さらに、年間保守料が支払われることで、保守期間中のサポートとライセンス使用の有効性が確認されました。この取り決めは管理が簡単でしたが、シンプルさは時間の経過と共に不完全に機能するようになりました。同時使用(コンカレントライセンスの出現)の概念が開始された時に、1つの問題が発生しました。これは、ソフトウェアの同時に使用する最大ユーザー数を増やすことができるライセンスモデルです。対費用効果の高いモデルで高価なソフトウェア(エンジニアリングソフトウェアなど)を使用している企業などに普及しました。クラウドでのサービスの始まりは、ライセンスに新たな複雑さをもたらしました。ほとんどのクラウドベースのソフトウェアは、年間ベース、永久ライセンスベース、または使用あたりの支払のいずれかでです。
これらのより複雑なオプションを慎重に選択して使用することで節約効果が得られますが、ライセンスの管理やベンダーのさまざまな制限への準拠により、CIOを悩ませます。セキュリティ管理、ハードウェア資産管理、アクセス制御などITの他の側面では、ライセンスを管理するために必要なプロセスとプラクティスがあまりにも不十分であり、企業にリスクが生じます。コンプライアンスが失効したところでは、ソフトウェアコンプライアンス管理の統括責任者である管理職や役員が個人的責任を負うことになります。
ソフトウェアライセンスのコンプライアンスに関するベンダーのソフトウェア監査
ソフトウェアコンプライアンスを特定する方法も開発されました。かつては世界的なネットワークで接続される以前には、ソフトウェアのコンプライアンスの監査は、ソフトウェア著作権侵害を防ぐために組み込まれたBSA(ビジネスソフトウェアアライアンス)などのベンダーの団体の手によって行われました。これらの組織は現在も存在していますが、依然として同じソフトウェア監査方法を使用してソフトウェアコンプライアンスをチェックし、内報者に雇用主による違反の可能性に関する情報を提供するよう促しています。また、ベンダーはクラウド内での実際の使用状況をチェックし、使用者のサーバーやアクセス権を与えられているサーバーに、ユーザーがアクセス権を与えられている場所から、独自のソフトウェア監査ツールを使用して問い合わせます。
非コンプライアンスが意図せず発生する可能性
管理者はコンプライアンス違反を望んでいるわけではありませんが、コントロールが適切な場所に配置されているように見える場合でも、非コンプライアンスが簡単に起こり得ます。このような不注意を引き起こす可能性のある落とし穴のいくつかをご紹介します:
- ソフトウェアライセンスの集中管理の欠如。従来のオフィスソフトウェア、IT固有のソフトウェア、およびエンジニアリングツールなどの特殊なソフトウェアを管理する企業内には、多くの場合さまざまな格納場所が存在します。さらに、エンジニアリングにおける課題は、研究開発はもちろんのこと、民生、電気、プロセスエンジニアリングに向けてさまざまな使用場所がありうるということです。
- ソフトウェア資産管理の包括的なポリシーとプロセスはありません。BSAによる2014年に発表された報告書では、65%の企業がこれらを所持していないことが判明しました。
- 従業員の意識の欠如
- ベンダーが使用を制限するのに十分な自動化を提供していない場合、コンカレント(同時)使用の最大値を超えてしまいます。
- ライセンスは、特定の地理的な場所に対して発行され、その地域外で使用されています。これは、EMEAやAPACなど、地域によって異なるような複雑なベンダーの価格設定構造の結果であることがよくあります。そのような場合、顧客のポートフォリオは、その地域でのみ有効であり、その地域外で使用することはできません。
- ライセンスは特定の使用範囲のために提供され、顧客はこの限界を超えてライセンスを使用しています。これは特に、ERPや大規模で複雑なソフトウェアスイートの問題です。21世紀のビジネスニーズは、ビジネスモデルを再構築する企業に求められ、何を購入し、現在どのように使用されているのかにおいて不整合を引き起こす可能性があります。例えば、SAPは最近、問題のソフトウェアがすべて数百万ドルで合法的に購入されたという顧客のDiageoに対して大きな裁判を起こしましたが、問題は非常に複雑な契約の細部にありました。。
- 会社の資産登録に含まれていないデバイスでの請負業者および従業員による使用
- 更新日を過ぎたものの使用 ライセンスはすべて同じ日に期限切れになるわけではなく、すべてのベンダーがクライアントにタイムリーにそれを通知するわけではありません。
- 組織構造の変更 合併や買収、アンバンドリングなどの再編は、資産登録を分割または統合する際に、ソフトウェアライセンスの管理をしばしば無視します。
これらの問題のいずれかが皆さまの現場で発生し、それらを認識していない場合、企業は財務リスクと評判リスクの両方にさらされる可能性があります。2013年、PWCは、ソフトウェア顧客の約80%がライセンスソフトウェアの違反の事例を抱えていると推定しました。
ベンダーが提供するもの
ソフトウェアのコンプライアンスを非常に困難にする要素の1つは、ベンダーが常に顧客に役立つツールを提供しているとは限らないことです。既存のライセンス配布条件に与える影響を見直すことなく、最新のソフトウェアリリースによって、ベンダーが新機能を導入することができます。ベンダーがペイ・パー・ユース・モデルに移行し、永久ライセンスなどの以前の製品を廃止する場合、一部の利用者は同じベンダーの異なるコンプライアンス・レジームに直面することになります。たとえば、古いコンカレント使用モデルでは、ユーザーは完全なアプリケーションにアクセスできました。利用者が最大10席の追加のペイ・パー・ユースオプションを購入した場合、これはフルパッケージで利用可能な機能の一部を除外した基本バージョンとなる可能性があります。
エンジニアリングソフトウェアに関しては、ライセンスは一般的に高価です。エンジニアは、一般的なCADソフトウェアから障害解析、雷保護、3Dイメージングなどの特殊な製品に至るまで、いくつかのソフトウェアツールを必要とします。AutoDeskやSiemensなどの大手エンジニアリングソフトウェアベンダーのほとんどは、AdobeやIBMなどの大手ベンダーと同様、Flexeraをライセンス管理に使用しています。Flexeraは堅牢でコンプライアンスの全体像を概観できますが、高価なエンジニアリングソフトウェアのコピーを自分のラップトップに置いている元契約者や従業員などの違反を認識することはできません。
ベンダーはコンプライアンス違反についてまったくに寛容ではなく、この点でますます圧力をかけています。BSAやSIIA(Software&Information Industry Association)によるスポットソフトウェア監査は、ライセンス契約を遵守していないと、不愉快で高価な違反行為になる可能性があります。米国陸軍から中小企業に至るまで多くのケースがあり、ほとんどの場合は裁判の対象とはなりませんが、企業の成長を阻害したり、閉鎖したりする可能性があります。
巨象が戦うとき:SAP VS Anheuser-Busch
ERP企業SAPは明らかに、大手顧客の一部を抑制する戦略を持っています。SAPが獲得した今年2月のDiageoとの和解に続き、彼らは今、非コンプライアンスのために推定6億ドルの損害賠償金を醸造大手から得ました。アフリカの諺があります。”巨象が戦うとき、ジャングルは踏みつぶされる”。この紛争の後は、ソフトウェアコンプライアンスの状況が大きく様変わりする可能性が非常に高いです。ABIがSAB-Millerを買収して世界最大のM&Aを完了したばかりであると考えられるので、ソフトウェアライセンスの問題は依然として発生している可能性が高いです。
Diageoの場合は、多くのSAPの利用者にとって懸念材料となります。Diageoは、顧客にSalesforceポータルを介してアクセスできる新しいセルフサービス機能を提供したいと考えていました。DiageoはSAP APIを使用してSalesforce CRMとSAP Business Suiteを接続させ、必要なデータにアクセスしました。SAPの主張は、これらのユーザーがBusiness Suiteの契約の範囲外であり、Business SuiteのデータをSalesforceとの統合に提供することで、DiageoがSAPとの契約を侵害していたことになると指摘しています。
すべての利用者がERPに拘束されているため、SAPが大手顧客に取り組む必要があると感じているという事実は、時間とお金に多大な投資をしており、今後12ヶ月間、市場の残りの部分に著しい注意喚起をしています。
内部ソフトウェア監査
以下は、コンプライアンスを順守するために推奨される可能な最善の実践事項のリストです。
- 組織内に専用のライセンス管理機能を持っていない場合は、それを採用することです。
- 可視化と優先順位付け たとえば、オフィスソフトウェアやエンジニアリングソフトウェアから始め、後に他の分野を追加することができます。いくつかの細部でこのやり方を踏襲することができます。
- 可能であれば、企業が支払ったソフトウェアのすべてのインスタンスを見つけ、関連する契約を見つけます。付随する請求書と支払い証明を照合します。
- 誰がソフトウェアを使用しているのか、どこで、どのハードウェアで、なぜそれを使用するのかを特定します。
- 集中化されたソフトウェア資産登録と今後の更新日記を作成します。
- 取得した各製品の使用に関するすべてのビジネスルールを取得します。
- ポリシーを定義し、まだソフトウェア管理がない場合は、ソフトウェア管理のプロセスを文書化します。既にそれを実行している場合、それを見直して、新しいライセンスモデルをサポートしていることを確認してください。
- ソフトウェア監査チェックリストを作成し、定期的な訓練を実行して、スポット監査の際に全員が監査に対して準備をしているを確認します。
- すべての従業員が非準拠のソフトウェアとその使用の影響を理解するためのトレーニングプログラムを作成します。
- コンプライアンスプロジェクトを開始し、不適合を解消します。また、可能な場合は、ベンダーやツールセットを優先的に決定して決定することもできます(おそらく7種類のCAD / CAMツールは必要ありません)。
このようなプログラムを実装するだけではリスクが軽減されるだけでなく、ベンダーとのライセンス契約を管理することになります。ただし、複雑なライセンスモデルの場合は、スプレッドシートを使用した手動管理の制限があります。
OpenLM App Manager
OpenLM App Managerなどの専用ソフトウェアライセンス管理製品は、ギャップを特定して事前予防的に管理し、コンプライアンスを向上させ、リスクを軽減するのに役立ちます。OpenLM App Managerは実際にコンプライアンスを監視ししますが、監視する以外にも多くのことを行います。貧弱で高価なツールの使用や、ライセンスが過度に使用されているのか、十分に活用されているかどうかを判断することもできます。ベンダーが使用するライセンス管理ツールに関係なく、ソフトウェア使用ポリシーに準拠しているかどうかを確認するのに役立ちます。ベンダーが製品のライセンス管理ソフトウェアを提供していない場合は、OpenLMを使用して、使用されているライセンス、およびその使用について必要な監視を行うことができます。
このツールのもう1つの利点は、ライセンスハーベスティングの機能(ライセンスを手動や自動を含め3つの方法でリリースさせサーバーに戻す機能)であり、ユーザーのセッションに手動または自動で介入し、組織のポリシーに従って使用されて場合は、中断または解除できます。
監査人の訪問を受ける場合
審査員の訪問を受ける場合、ソフトウェア監査プロセスの一環として、購入契約、支払い、使用記録のドキュメンテーション証拠を閲覧することが望ましいので、必要なものが印刷可能か、あるいは既に印刷されたものであることを確認することをお勧めします。また、評価を受け、それらのポリシーを自社の専用のライセンス管理チームの手元に残しておくためにポリシーを提供してドキュメントを処理することもできます。このソフトウェアコンプライアンス監査は、すべての関係者にとって時間がかかりストレスをもたらすものですが、上記の先手を打っておけば、コンプライアンス違反に対して耐性が高まり、空振りに終わることになる監査人のチームに別れを伝えることができます。
