fuguja.com
知識ベース

ISO / IEC 19770

IT資産管理(ITAM)の標準のISO / IEC 19770ファミリーの国際標準は、ソフトウェア資産と関連するIT資産を管理するためのプロセスとテクノロジーの両方に対応しています。大まかに言って、標準ファミリはソフトウェア資産管理(またはSAM)標準のセットに属し、他の管理システム標準と統合されています。

ISO / IEC 19770の日々の管理は、ISO / IEC JTC1 / SC7 / WG21、または議長としてRon Brill、秘書としてTrent Allgoodが議長を務めるワーキンググループ21(WG21)の下で行われます。これらの標準を開発する際に市場のニーズを満たし、改善し、確保するのはWG21です。

ISO 19770の目的は何ですか?

ISO 19770規格は、ISO / IEC規格を組み込んだ組織内のITAM標準化の概念です。

この規格の目的は、あらゆる規模の組織に情報と支援を提供し、ITAM資産のリスクとコストの最小化を支援することです。実装を通じて、これらの同じ組織は以下を通じて競争上の優位性を獲得します。

  • ITサービス提供の中断、法的契約違反、監査のリスクの管理。
  • さまざまなプロセスの実装により、ソフトウェア全体のコストを削減します。そして
  • 正確なデータに基づいた意思決定の改善につながる情報の可用性の向上。

このITAM標準の主要部分の詳細を以下に示します。

  1. ISO / IEC 19770-1は、企業のガバナンス要件を満たし、ITサービス管理全体に対する効果的なサポートを確保するのに十分な基準でITAMを実行していることを組織が証明できるようにするプロセスフレームワークです。
  2. ISO / IEC 19770-2は、ソフトウェア識別タグ(「SWID」)のITAMデータ標準を提供します。
  3. ISO / IEC 19770-3は、使用権、制限、および測定基準(「ENT」)を含むソフトウェア資格のITAMデータ標準を提供します。
  4. ISO / IEC 19770-4は、リソース使用率測定(「RUM」)のためのITAMデータ標準を提供します
  5. ISO / IEC 19770-5は、概要と語彙を提供します。


19770ファミリのブロック図

ISO / IEC 19770-1:プロセス

ISO / IEC 19770-1はITAMプロセスのフレームワークであり、企業のガバナンス要件を満たし、ITサービス管理全体に対する効果的なサポートを保証するのに十分な基準でソフトウェア資産管理を実行していることを証明できるようにします。 ISO / IEC 19770-1:2017は、「IT資産管理システム(ITAMS)」と呼ばれるIT資産管理(ITAM)の管理システムの確立、実装、保守、および改善の要件を指定しています。

ISO 55001:2014は、「資産管理システム」と呼ばれる資産管理のための管理システムの確立、実装、保守、および改善の要件を指定していますが、主にソフトウェアの管理をほとんど提供しない物理資産に焦点を当てています資産。追加またはより詳細な要件を作成するIT資産には多くの特性があります。 IT資産のこれらの特性の結果として、IT資産の19770-1管理システムには、以下を扱う明示的な追加要件があります。

  • ソフトウェアの変更、複製、および配布を制御します。特にアクセスと整合性の制御に重点を置いています。
  • 承認およびIT資産に加えられた変更の監査証跡。
  • ライセンス、ライセンス不足、ライセンス過剰、およびライセンス契約条件の遵守を管理します。
  • クラウドコンピューティングや「Bring-Your-Own-Device」(BYOD)プラクティスなど、所有権と責任が混在する状況を制御します。そして
  • IT資産管理データと他の情報システムのデータとの調整(ビジネス価値によって正当化された場合)、特に資産と費用を記録する金融情報システム。

19770-1の更新

最初の世代は2006年に公開されました。

第2世代は2012年に公開されました。元のコンテンツ(わずかな変更のみ)は保持されていましたが、標準は4つの層に分割され、順次達成できます。これらの層は次のとおりです。

  • ティア1:信頼できるデータ
  • ティア2:実践的な管理
  • ティア3:運用統合
  • ティア4:完全なISO / IEC ITAM準拠

ISO 19770-1 Edition 3(現在のバージョン)

ISO 19770-1:2017として知られ、2017年12月に公開された最新バージョンは、IT資産と呼ばれるIT資産管理(ITAM)の管理システムの確立、実装、保守、および改善の要件を指定します。マネジメントシステム。 ISO 19770-1:2017はメジャーアップデートであり、ISO Management System Standards(MSS)形式に準拠するように規格を書き直しました。 197701:2012からの階層構造は、更新された標準内の付録に移動されました。

対象ユーザー

このドキュメントは、どの組織でも使用でき、あらゆる種類のIT資産に適用できます。組織は、この文書をどのIT資産に適用するかを決定します。このドキュメントは、主に次のユーザーによる使用を目的としています。

  • IT資産管理システムの確立、実装、保守、および改善に関与する人々。
  • サービスプロバイダーを含む、IT資産管理活動の提供に関与する人々。
  • 内部および外部の関係者が、法的、規制、契約上の要件および組織自身の要件を満たす組織の能力を評価します。

19770-1のプレビュー

標準の概要はISOから入手でき、英語で入手できます。

ISO / IEC 19770-2:ソフトウェア識別タグ

ISO / IEC 19770-2は、ソフトウェア識別(SWID)タグ用のITAMデータ標準を提供します。ソフトウェアIDタグは、インストールされているソフトウェアまたはその他のライセンス可能なアイテム(フォントや著作権で保護された論文など)の信頼できる識別情報を提供します。

使用中のSWIDタグの概要

ソフトウェアがインストールされているデバイスでSWIDタグを使用できるようにするために使用できる主な方法は3つあります。

  • ソフトウェアと共にインストールされるソフトウェアの作成者または発行者によって作成されたSWIDタグは、識別の目的で最も信頼できます。
  • 組織は、タグを含まないソフトウェアタイトルに対して独自のSWIDタグを作成できるため、組織はネットワーク環境でのソフトウェアのインストールをより正確に追跡できます。
  • ソフトウェアタイトルが検出されると、サードパーティの検出ツールがオプションでデバイスにタグを追加する場合があります

正確なソフトウェア識別データを提供することにより、組織のセキュリティが向上し、パッチ管理、デスクトップ管理、ヘルプデスク管理、ソフトウェアポリシーコンプライアンスなどの多くのITプロセスのコストと能力が向上します。

ソフトウェアアプリケーションに関連付けられている正規化された名前と値を判別し、組織が使用するすべてのツールとプロセスが同じ正確な名前と値を持つソフトウェア製品を参照することを確認するために、SWIDタグデータを利用する検出ツールまたはプロセス。

標準開発情報

この規格は2009年11月に最初に公開されました。この規格の改訂版は2015年10月に公開されました。

Steve Klosは19770-2の編集者であり、1E、IncでSAM主題エキスパートとして働いています。

非営利組織のサポート

2009年には、SWIDタグの使用を要請するため、TagVault.orgと呼ばれる非営利組織がIEEE-ISTOの下に設立されました。 TagVault.orgは、ISO / IEC 19770-2ソフトウェア識別タグ(SWIDタグ)の登録および認証機関として機能し、すべてのSAMエコシステムメンバーがより低コストでより多くのSWIDタグを活用できるツールとサービスを提供します。他の方法では不可能だった業界の互換性。 SWIDタグは誰でも作成できるため、個人や組織はタグを作成または配布するためにTagVault.orgの一部である必要はありません。

商業組織のサポート

多数のWindowsインストールパッケージツールは、以下を含むSWIDタグを利用します。

  • Caphyonの高度なインストーラー
  • Flexera SoftwareのInstallShield
  • Flexera SoftwareのInstallAnywhere
  • オープンソース-WindowsインストーラーXMLツールセット(WiX)

Altiris、Aspera License Management、DeskCenter Management Suite、BelarcのBelManage、Sassafras SoftwareのK2-KeyServer、Snow Inventory、CA Technologiesのディスカバリツール、EracentのEnterpriseAM、Flexera SoftwareのFlexNet Manager Platform、HPのUniversal Discoveryなど、多くのソフトウェアディスカバリツールはすでにSWIDタグを利用していますIBM Endpoint Manager、MicrosoftのSystem Center 2012 R2 Configuration Manager、およびLoginventory。

アドビは、SWIDタグを使用したCreative Suite製品とCreative Cloud製品の複数のバージョンをリリースしました。

シマンテックはまた、SWIDタグを含む複数の製品をリリースし、ソフトウェアコミュニティがソフトウェア識別に対するより一貫した正規化されたアプローチ、最終的にはコンプライアンスに対するより自動化されたアプローチに移行することを支援しています。

Microsoft Corporationは、Windows 8のリリース以降、ソフトウェア製品のすべての新しいリリースにSWIDタグを追加しています。

IBMは2014年初めに一部のソフトウェア製品でタグの出荷を開始しましたが、11月の時点で、IBMソフトウェアのすべてのリリースにSWIDタグが含まれています。これは、SWIDタグを含む月に約300の製品リリースに相当します。

政府の支援

米国連邦政府は、コンプライアンス、ロジスティクス、およびセキュリティソフトウェアプロセスの管理に必要な取り組みの重要な側面として19770-2 SWIDタグを特定しています。 19770-2規格は、2012年9月現在、米国国防総省情報規格レジストリ(DISR)に新たな規格として含まれています。2015年、米国国立標準技術研究所(NIST)および国立サイバーセキュリティセンターオブエクセレンス(NCCoE)市場でのSWIDの必要性について議論しました。

標準開発組織のサポート

トラステッドコンピューティンググループ(TCG)は、セキュリティ目的でタグデータを利用するIF-M仕様の標準TNC SWIDメッセージおよび属性を開発しています。

ナショナルサイバーセキュリティセンターオブエクセレンス(NCCoE)は、ソフトウェアのほぼリアルタイムの識別にSWIDタグをどのように使用するかを指定するSoftware Asset Management Continuous Monitoringビルディングブロックを文書化しました。

米国国立標準技術研究所(NIST)は、国土安全保障省を含む政府機関がSWIDタグをどのように使用するかを指定する文書を作成しています。 David Waltermireは、NIST Security Automation ProgramとSWIDタグがその取り組みをどのようにサポートできるかを説明する情報を発表しました。

米国国立標準技術研究所(NIST)は、「 相互運用可能なソフトウェア識別(SWID)タグの作成に関するガイドライン 」、NISTIR 8060、2016年4月を公開しました

ISO 19770-2:2015のプレビュー

標準の概要はISOから入手でき、英語で入手できます。

ISO / IEC 19770-3:ソフトウェア資格スキーマ(ENT)

ISO / IEC 19770のこの部分は、使用権、制限、およびメトリックを含むソフトウェア資格の詳細をカプセル化できるXMLスキーマの技術的定義を提供します。

19770-3の主な意図は次のとおりです。

  1. 資格の権利、制限、およびメトリックを説明するときに使用される一般的な用語の基礎を提供する
  2. ソフトウェアライセンスに付随する権利、制限、およびメトリックの効果的な説明を可能にするスキーマを提供する。

資格スキーマ(ENT)によって提供される特定の情報を使用して、ライセンスの権利と制限を確実に遵守し、ライセンスの使用を最適化し、コストを制御することができます。 ENT作成者は、自動処理を可能にするデータを提供することが推奨されますが、データを自動的に測定可能にすることは義務付けられていません。データ構造は、ソフトウェアライセンス契約に含まれるあらゆる種類の契約条件を含めることができるように意図されています。

ISO / IEC 19770のこの部分は、ISO / IEC 19770-1で定義されたITAMプロセスをサポートします。また、ISO / IEC 19770-2で定義されたソフトウェア識別タグと連携するように設計されています。ソフトウェア資格の分野での標準化により、SAM実践のライセンスコンプライアンスプロセスとライセンス最適化プロセスの両方について、統一された測定可能なデータが提供されます。

ISO / IEC 19770のこの部分は、ソフトウェア資産管理またはENTに関連するプロセスの要件または推奨事項を提供していません。ソフトウェア資産管理プロセスは、ISO / IEC 19770-1の範囲内です。

標準開発情報

ISO / IEC 19770-3その他のワーキンググループ(「OWG」)は、2008年9月9日に電話会議で招集されました。

Sassafras Software IncのJohn Tomenyは、ISO / IEC 19770-3「その他のワーキンググループ」(後にISO / IEC 19770-3開発グループに改名)の招集者および主執筆者を務めました。トメニー氏は、ワーキンググループ21(ISO / IEC JTC 1 / SC 7 / WG 21)とエラセントのクシシュトフビェツキエビッチ氏に任命され、彼はトメニー氏のリーダーシップと同時にプロジェクト編集者を務めました。 WG21メンバーに加えて、19770-3開発グループの他の参加者は、「召集者が関連する専門知識を持っていると考えられる個人」として務めました。

1EのJason Keoghおよびアイルランドからの代表団の一部は、19770-3の現在の編集者です。

ISO / IEC 19770-3は2016年4月15日に公開されました。

原則

ISO / IEC 19770のこの部分は、次の実用的な原則を念頭に置いて開発されました。

レガシー資格情報で最大限の使いやすさ

ENT、またはソフトウェア資格スキーマは、すべての過去のライセンス取引を含む既存の資格情報を最大限に使いやすくすることを目的としています。仕様は資格プロセスと慣行を改善する多くの機会を提供しますが、既存のライセンストランザクションを、そのようなトランザクションがEntレコードに成文化されるのを妨げる要件を課すことなく処理できる必要があります。

ソフトウェア識別タグ仕様(ISO / IEC 19770-2)との可能な最大のアライメント

ISO / IEC 19770(資格スキーマ)のこの部分は、標準のパート2(ソフトウェア識別タグ)と密接に整合することを目的としています。これにより、理解とそれらの併用が促進されます。さらに、ENT作成者が利用したいパート2の要素、属性、またはその他の仕様のいずれかを、このパートでも使用できます。

利害関係者の利益

この標準化されたスキーマは、ソフトウェアおよびソフトウェア権利の作成、ライセンス、配布、リリース、インストール、および継続的な管理に関与するすべての利害関係者にとって有益であることを意図しています。

  • ENTを提供するソフトウェアライセンサーの利点には、次のものが含まれますが、これらに限定されません。
    • ソフトウェアの権利に由来する使用権の詳細について、ソフトウェアのお客様が即座に認識します。
    • ライセンスコンプライアンスの目的でソフトウェア資産を測定および報告できるようにする詳細を顧客に指定する機能。
    • エンドカスタマー側のソフトウェアライセンスコンプライアンスの問題に対する認識の向上。
    • より迅速かつ効果的なライセンスコンプライアンス監査により、ソフトウェアと顧客の関係を改善します。
  • SAMツールプロバイダー、展開ツールプロバイダー、再販業者、付加価値再販業者、パッケージャー、およびリリースマネージャーの利点には、以下が含まれますが、これらに限定されません。
    • ソフトウェアライセンサーおよび耳鼻咽喉科クリエーターからの一貫した統一されたデータの受領。
    • ソフトウェアライセンスの修復の必要性を判断する自動化された手法の使用をサポートする、より一貫性のある構造化された資格情報。
    • ENTの使用により可能になった追加の分類からの改善されたレポート。
    • ソフトウェア資格データの場所と形式の標準化により、SAMツールの資格調整機能が改善されました。
    • 資格データの消費を通じて、コンプライアンス管理のための付加価値機能を提供する機能。
  • 特定のソフトウェア構成アイテムのソフトウェア顧客、SAM実践者、ITサポート専門家、およびエンドユーザーにとっての利点には、次のものが含まれますが、これらに限定されません。
    • ソフトウェアライセンサー、再販業者、およびSAMツールプロバイダーからの一貫した均一なデータの受信。
    • ソフトウェアライセンスの修復の必要性を判断するための自動化された手法の使用をサポートする、より一貫性のある構造化された資格情報。
    • ENTの使用により可能になった追加の分類からの改善されたレポート。
    • 標準化されたソフトウェアライセンサーが提供するISO / IEC 19770-2ソフトウェア識別タグから派生したSAMおよびソフトウェアライセンスコンプライアンス機能の向上により、これらのENTと一致します。
    • 後続のコスト最適化により、ソフトウェアライセンスの調達不足または過剰調達を回避する機能の向上。
    • 複数のプラットフォームで標準化された使用法により、異種コンピューティング環境をより管理しやすくします。

ITAM Reviewは、エンドユーザー組織がこの標準を活用する方法を19770-3プロジェクトエディターでポッドキャストしました。ポッドキャストへのリンクはこちらです。

ISO 19770-3

ISO 19770-3は、資格タグ-ライセンス条項、権利、制限を機械で読み取り可能な標準形式でカプセル化したものに関連しています。転送方法(XML、JSONなど)は定義されていませんが、特定のデータストアの意味と名前は、ベンダーと顧客およびツールプロバイダー間の共通スキーマを容易にするために概説されています。

ISO 19770-3をカプセル化した最初の商用SAMツールは、1EによるAppClarityでした。それ以来、Sassafras SoftwareのK2も19770-3を網羅しています。執筆時点(2018年2月)では、他のツールベンダーはこの規格に関心を示していますが、同じものは実装していません。

リリースされた19770-3の編集者であるJason Keoghが1Eで働いており、John Tomeny(19770-3の初期編集者)がSassafras Softwareで働いていたことは注目に値します。

19770-3は2016年にリリースされ、メインのISO Webストアからダウンロードできます。

ISO / IEC 19770-4:リソース使用率測定

このドキュメントは、リソース使用率測定(RUM)の国際標準を提供します。 RUMは、IT資産の使用に関連するリソースに関する使用情報を含む標準化された構造です。 RUMは多くの場合、XMLデータファイルで提供されますが、プラットフォームおよびIT資産/製品によっては、他の手段で同じ情報にアクセスできる場合があります。

このドキュメントには、ISO / IEC 19770-2で定義された識別情報、およびISO / IEC 19770-3で定義された資格情報と整合するように設計された情報構造が含まれています。これら3種類の情報を組み合わせて使用​​すると、IT資産管理のプロセスを大幅に強化および自動化することができます。

このドキュメントは、ISO / IEC 19770-1で定義されているIT資産管理プロセスをサポートしています。このドキュメントは、情報構造を定義するISO / IEC 19770シリーズの標準の他の部分もサポートしています。

RUMは、汎用であり、さまざまな状況で使用できるように特別に設計されています。 ISO / IEC 19770シリーズの標準で定義されている他の情報構造と同様に、RUMの消費者は組織および/またはツールまたは他の消費者である場合があります。 ISO / IEC 19770シリーズの他の情報構造とは対照的に、RUMデータを定期的に作成するエンティティは、IT資産またはIT資産を監視する自動化ツールになる可能性があります。

RUMの定義は、IT資産の作成、ライセンス、配布、リリース、インストール、および継続的な管理に関与するすべての利害関係者に利益をもたらします。 3つの特定の利害関係者グループのRUMに関連する主な利点は次のとおりです。

IT資産ユーザー — RUMデータは通常、IT資産のコンプライアンスと最適化を目的として、消費者企業の境界内でIT資産と自動化ツールによって生成および処理されます。 — RUMデータは人間が読める形式であり、ベンダーやサードパーティが提供するツールとは無関係に、IT資産内のリソース使用率の可視性を向上させることができます。 —識別、資格、およびリソース使用率の情報を組み合わせて、たとえばコンプライアンス要件を満たすために、定量的および信頼できるIT資産管理を実行する機能。 —電力および空調の使用の最適化などのグリーンデータセンター戦略をサポートする、IT資産管理を実行するための大幅に改善された機能。

IT資産メーカー —作成者、1つ以上のサードパーティツール、またはIT資産ユーザーが管理する中央施設で消費するためのリソース使用率情報を一貫して権威を持って生成する機能。 — ITアセット内の単一の機能セットで、複数のインスタンスとサードパーティツールのタイプをサポートする機能。 —現場でのリアルタイムIT資産の使用状況を追跡するサービスを提供する機能、および識別情報と資格情報と組み合わせると、リソースの限界に近づいたときに事前警告を出す機能。 —鍵ベースのライセンスまたはプラットフォーム制限付きライセンスを使用する従来の手法に対して、資産使用率測定の代替アプローチを提供する機能。

ツールベンダー —各資産に関連付けられた一意のインスツルメンテーションを作成および維持することなく、複数のIT資産およびIT資産の種類をサポートする機能。 —資産の複数のインスタンスにわたって使用情報をより簡単に集約する機能。 —リソースの使用率とIT資産をほぼリアルタイムで追跡する、大幅に改善された機能。

プレビューISO / IEC 19770-4:リソース使用率測定

この規格の概要はISOから入手でき、ここで英語で入手できます。

ISO / IEC 19770-5:概要と語彙

ISO / IEC 19770-5:2015は、ISO / IEC 19770規格ファミリーの主題であるITAMの概要を提供し、関連用語を定義しています。 ISO / IEC 19770-5:2015は、あらゆる種類の組織(営利企業、政府機関、非営利組織など)に適用されます。

ISO / IEC 19770-5:2015の内容:

  1. ISO / IEC 19770標準ファミリーの概要。
  2. SAMの紹介。
  3. SAMの基礎となる基本原則とアプローチの簡単な説明。そして
  4. ISO / IEC 19770標準ファミリー全体で使用するための一貫した用語と定義。

ISO / IEC 19770-5の無料コピー

概要と語彙の無料コピーはこちらから入手できます。

カテゴリ: