笹原氏は、「商用ソフトウェアのライセンス管理をきちんと実施することは言うまでもないが、よりリスクの高いのはオープンソースソフトウェアの管理だ」と言う。
オープンソースソフトウェアのGPL(General Public License)では、使用したソフトウェアを改変した場合、変更されたソースコードを公開する必要がある。これに(故意でないにせよ)違反した場合には、最悪のケースとして訴訟問題に発展する可能性もある。
「商用ソフトウェアだけでなく、オープンソースソフトウェアに関しても、正しくライセンス管理を行う必要がある。特にユーザー部門が自由にオープンソースを入手して使用できる企業は注意が必要だ」(笹原氏)
さらに今後、クラウドコンピューティングの利用が広がっていくと、使用しているソフトウェアを誰が所有しているのか、誰が管理しているのかなど、さらに問題は複雑化してくることが予想される。「紙の台帳やExcelでのシステム運用管理は、もはや困難になっている」と笹原氏。そこで不可欠となるのが統合システム運用管理ツールなど、ITを有効活用したIT GRC(IT Governance Risk and Compliance)の確立だ。
「統合システム運用管理ツールに関連しては、変更管理や構成管理など、履歴をきちんと管理しているかが重視されている。また出力管理として印刷物などの管理も重要になる。さらに最近では、オフショア開発が増えているので、アプリケーション開発におけるライフサイクル管理の確立により、いかに品質管理を徹底するかも重要になる」(笹原氏)
国内コンプライアンス市場規模は1兆2139億円
今後ますますの拡大が予想されるコンプライアンスとセキュリティの市場だが、IDCでは2010年4月に国内コンプライアンス市場規模に関する調査結果を報告している。この報告では、国内コンプライアンス市場への投資規模は、2010年が対前年比17.3%増の1兆2139億円で、2014年には1兆9492億円に拡大すると予測されている。「いわゆる日本版SOX法や情報漏えいに関するコンプライアンス市場は、約3分の1の3000億円〜4000億円規模になる」と笹原氏。
日本版SOX法などの対応は終わったものの、次にIFRSへの対応が必要になるなど、法規制に関しては、変更に随時対応していくことが必要になる。笹原氏は、「日本版SOX法が施行され、一度報告書が提出されるまでは右往左往したが、二巡目に入った現在では、だいぶ落ち着いてきた。しかし、特に今年から来年にかけて、ユーザー企業はIFRSをはじめとするコンプライアンス対応に再び追われることになる」と話す。
日本のツールベンダーは、当初は統合システム運用管理ツールなどをカスタマイズすることでコンプライアンスやセキュリティに対応してきたが、現在ではテンプレートを変更するだけで法律の改正などに対応できる製品も市場に投入されるようになっている。「メディアの注目度はそれほど高くないが、今後最も導入が促進される製品のひとつといえる」と笹原氏は述べる。
「ちょうどWindows 7への移行を検討している企業も多く、コンプライアンスやセキュリティ管理ソリューションについて見直す良い時期ともいえる。このとき、個人情報保護法などへの対応で苦労したときのノウハウを、今後の法令遵守に生かすことができる。蓄積されたノウハウをいかに横展開していくかが“人”の育成につながる。システムの運用管理では“人”の管理と“情報”の管理の両立が必要。情報を管理する情報システム部門と人を管理する人事部門のシームレスな連携と情報共有を可能にするICT基盤の構築が鍵になる」(笹原氏)