SAM (Software Asset Management:ソフトウェア資産管理)というとソフトウェアメーカー監査との関係性から、ネガティブに受け取られる場合も少なくない。
SAM 市場に関係するプレーヤーのアジェンダが監査(=追加セールス)ということから、営業活動の正当化イメージも払しょくし難い。
しかし、本来は、サービス管理における構成管理の対象としてPC環境を一つのサービス粒度で考えれば、ハードウェアに紐づくソフトウェアや契約は全てCI であり、サービスを構成する資産の整合性が維持されることはサービス資産・構成管理(SACM)の範疇であるといえる。
サービス管理の参照モデルにITIL V3 を採用されている場合、残念ながらSACM プロセスで具体的にどのように IT 資産を管理すべきか詳細はない。
マネジメントシステムとしては、サービス管理プログラムとIT資産管理(またはソフトウェア資産管理)プログラムは、ITサービス ポートフォリオ下では、同列でインターフェースを持ち、整合性を維持する必要がある。
独立した2つのマネジメントシステムを構築し、そのながれで自動化を設計すれば、インシデント管理など複数プロセスで重複する自動化システムを構築する結果は火を見るより明らかで、無駄だ。
ISO などの標準ではサービス管理(ISO 20000)、セキュリティ管理(ISO 27001)、ソフトウェア資産管理(ISO 19770)が存在はしているが、これらは、あくまで参照モデルとして考えればよい。
ISO 20000、ISO 27001 は認証があり、ISO 19770 は認証はない。
しかし、認証があったとしても、ISMS のように現場セキュリティ管理が形骸化していたり、ISO 20000 のように認証されていてもサービス管理が実現されているわけではない。
例えば、ISO 20000 の認証基準であるサービスカタログはあっても(取りあえず顧客向けサービスカタログがあればISO 20000 は取れる)、技術サービスカタログや構成管理システムがなくては実際のサービスカタログは、張子の虎のレベルといえる。
(実際ISO 20000 を取るのはデータセンターやパブリッククラウドのサービスプロバイダで、IT部門やIT子会社にあまりメリットはないためISO27001 のような需要がない)
つまり、ライセンス監査対策を行う上で SAM の標準などを参照する場合、サービス管理(ITIL V3)を考慮する必要はあるが、ISO 19770-1 の完全対応の考慮は不要であり、あくまで参照モデルとしてコンプライアンスの要件を理解し、サービス管理で設計・実装している自動化されたIT管理システムとの整合性を考慮し、インターフェースを適宜確保することが大切だといえる。
残念なことに、多くの場合、ソフトウェアメーカーのSAMエンゲージメントチームは法律家であり、IT の専門家ではない。
監査のチームもシステム監査の専門家であり、IT マネジメントの専門家ではない。
彼らのアジェンダは、われわれ IT マネジメントの人間からすると突飛なものであるかもしれないし、狭い範囲で重箱の隅をつつくような要求かもしれない。
相手のペースで仕事をさせられないようにするためには、イニシアチブを取って、自ら管理計画を示すことが重要で、自分の土俵で相撲を取ることだ。
ひとたび相手の土俵で相撲を取り出すと、なかなか抜け出すことは困難なので、充分に注意されたい。