X 0164-5:2019 (ISO/IEC 19770-5:2015)
(1)
目 次
ページ
序文 ··································································································································· 1
1 適用範囲························································································································· 2
2 引用規格························································································································· 2
3 用語及び定義 ··················································································································· 2
4 ITアセットマネジメント(ITAM)及びソフトウェアアセットマネジメント(SAM) ·················· 10
4.1 序論 ··························································································································· 10
4.2 ソフトウェアアセットを管理する必要性············································································ 11
4.3 基本原則 ····················································································································· 12
4.4 他の規格で定義された原則との関連·················································································· 13
4.5 プロセス定義の原則 ······································································································ 13
4.6 プロセス定義の適合評価 ································································································ 14
4.7 情報構造の原則 ············································································································ 14
4.8 情報構造定義の適合評価 ································································································ 14
4.9 重要成功要因 ··············································································································· 15
5 ITAM規格群 ·················································································································· 15
5.1 一般情報 ····················································································································· 15
5.2 特定のプロセスの規格 ··································································································· 16
5.3 プロセス規格群へのガイダンスを記載した標準報告書 ·························································· 16
5.4 情報構造を規定する規格 ································································································ 17
5.5 情報構造規格のガイダンスを記載した標準報告書 ································································ 18
5.6 規格の概要 ·················································································································· 19
参考文献 ···························································································································· 20
X 0164-5:2019 (ISO/IEC 19770-5:2015)
(2)
まえがき
この規格は,産業標準化法第12条第1項の規定に基づき,一般社団法人情報処理学会(IPSJ)及び一般
財団法人日本規格協会(JSA)から,産業標準原案を添えて日本産業規格を制定すべきとの申出があり,
日本産業標準調査会の審議を経て,経済産業大臣が制定した日本産業規格である。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本産業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
JIS X 0164の規格群には,次に示す部編成がある。
JIS X 0164-1 ITアセットマネジメント−第1部:ITアセットマネジメントシステム−要求事項
JIS X 0164-2 ソフトウェア資産管理−第2部:ソフトウェア識別タグ
JIS X 0164-3 ITアセットマネジメント−第3部:権利スキーマ
JIS X 0164-4 ITアセットマネジメント−第4部:資源利用測定
JIS X 0164-5 ITアセットマネジメント−第5部:概要及び用語
日本産業規格 JIS
X 0164-5:2019
(ISO/IEC 19770-5:2015)
ITアセットマネジメント−第5部:概要及び用語
IT asset management-Part 5: Overview and vocabulary
序文
この規格は,2015年に第2版として発行されたISO/IEC 19770-5を基に,技術的内容及び構成を変更す
ることなく作成した日本産業規格である。
なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
概要
ソフトウェアアセットマネジメント(SAM)のためのJIS X 0164規格群は,ソフトウェアアセット及び
関連するITアセットをマネジメントするプロセス及び技術の両方に対応している。ITは,今日の世界に
おけるほとんど全ての事業にとって基本的な要素になっている。したがって,これらの規格は,ITの全て
に強く融合しなければならない。例えば,プロセスの観点からは,ソフトウェアとそのマネジメントシス
テムとは,新しいマネジメントシステムの基本的要素であることから,SAM規格が,全てのマネジメント
システム規格で使えるものでなければならない。技術の観点からは,情報構造のためのSAM規格が,ソ
フトウェアマネジメントデータのデータ相互運用性だけでなく,ソフトウェアの利用においてより効果が
期待できるセキュリティのように関連する利益の多くの基礎を提供する。情報構造のSAM規格は,また,
識別及び緩和による暴露をより自動化させるソフトウェア認証及び国際ぜい(脆)弱性データベースの接
続を改善するようなIT機能の重要な点を容易にする。
SAM規格群
JIS X 0164規格群の規格は,プロセス及び技術の両方を使いソフトウェアアセットマネジメントシステ
ムを導入し,運用するあらゆる種類の組織を支援するように記述されている。JIS X 0164規格群は,まえ
がきに記載されている規格で構成されている。
注記1 ISO/IEC 19770-4,ISO/IEC 19770-6,ISO/IEC 19770-9及びISO/IEC 19770-10は,取り消さ
れたプロジェクトに関連するか又は将来のために予約されている。
注記2 ISO/IEC 19770-4は,JIS X 0164-4として,既に発行されている。
この規格の目的
この規格は,JIS X 0164規格群の内容及び関連する用語についてのソフトウェアアセットマネジメント
の概要を定義する。
この規格は,次のような箇条で構成されている。
− 箇条1 適用範囲
− 箇条2 引用規格
− 箇条3 用語,定義,シンボル及び略語
− 箇条4 ソフトウェアアセットマネジメントの紹介,他のISO及びISO/IEC規格とSAM規格との位
置付け,並びにSAMプロセス及びデータ構造の原理の定義
2
X 0164-5:2019 (ISO/IEC 19770-5:2015)
− 箇条5 SAM規格群の概要
この規格では,用語及び定義を規定している。
a) JIS X 0164規格群で共通的に使用される用語及び定義を含んでいる。
b) JIS X 0164規格群で使用される全ての用語及び定義を含んでいない。
c) JIS X 0164規格群で使用される用語に限定していない。
SAM規格群の変更状況を反映させるために,この規格は,標準的な他のISO/IEC規格の場合よりも頻
繁に更新される予定である。
1
適用範囲
この規格は,次について規定する。
a) JIS X 0164規格群の概要
b) ITアセットマネジメント(ITAM)及びソフトウェアアセットマネジメント(SAM)の導入
c) SAMの基本となる基礎的な原理及びアプローチの詳細な記述
d) JIS X 0164規格群の規格全体で使われている一貫した用語及び定義
この規格は,あらゆる種類の組織(例えば,企業,政府機関,非営利組織)に適用可能である。
注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
ISO/IEC 19770-5:2015,Information technology−IT asset management−Overview and vocabulary
(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
とを示す。
2
引用規格
次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。)
は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。)を適用する。
JIS Q 55000:2017 アセットマネジメント−概要,原則及び用語
注記 対応国際規格:ISO 55000:2014,Asset management−Overview, principles and terminology(IDT)
RFC 3986,Uniform Resource Identifier (URI): Generic Syntax, January 2005 1)
注1) https://tools.ietf.org/html/rfc3986
3
用語及び定義
JIS X 0164規格群で用いる主な用語及び定義は,次による。
3.1
アプリケーション(application)
コンピュータを用いてデータを収集し,保存し,処理し,提示するためのシステム(ISO/IEC/IEEE
24765:2010の3.119の定義1参照)。
3.2
アセット(asset)
組織にとって,潜在的に又は実際に価値をもつ項目,物又はエンティティ(JIS Q 55000:2017の3.2.1を
変更している。)。
3
X 0164-5:2019 (ISO/IEC 19770-5:2015)
注記1 価値は,有形のもの若しくは無形のもの,財務的なもの,又は非財務的なものでもあり得,
リスク及び責任の考慮を含むものである。それは,アセットライフの異なる段階で好ましい
もの又は好ましくないものでもあり得る。
注記2 物的アセットは,通常,組織によって所有される機器,在庫品及び財産を表す。物的アセッ
トは,賃貸,銘柄,デジタルアセット,権利使用,特許,知的財産権,評価,合意などの非
物的アセットである無形のアセットの正反対のものである。
注記3 アセットシステムと呼称されるアセットの集合体もアセットとして考慮され得る。
3.3
アセットマネジメント(asset management)
アセット(3.2)からの価値を実現化する組織の調整された活動(JIS Q 55000:2017の3.3.1参照)。
3.4
ベースライン(baseline)
構成品目(3.7)がそのライフサイクル上の決められた時期に,媒体に関係なく,正式に指定し確定され
た構成品目の正式版として認定されたもの(ISO/IEC/IEEE 24765:2010の3.240の定義2参照)。
3.5
バンドル(bundle)
一つの購入アイテムとして複数の製品の権利を販売するマーケティング及びライセンス戦略としての製
品のグループ化。
注記1 バンドルは,密接に関連し,普通,統合化された製品であれば,(表計算,文書作成,プレゼ
ンテーション及びその他の関連アイテムを含んでいるオフィススィートのように)“スィー
ト”と呼ぶことができる。
注記2 バンドルは,ゲーム,ウィルススキャン及びコンピュータに“バンドル”されたユーティリ
ティのようなあまり密接に関連のないソフトウェアのタイトル,又はバックアップソフトウ
ェア製品のための複数権利のような権利のグループともいえる。
3.6
コンピュータ装置(computing device)
人間の介入の有無にかかわらず,多数の算術演算及び論理演算を含む実質的な計算を行うことができる
機能単位(ISO/IEC/IEEE 24765:2010の3.513を変更している。定義に“有無にかかわらず”を追加してい
る。)。
注記 コンピュータ装置は,スタンドアロンユニット又は複数の相互接続ユニットで構成できる。ま
た,電話,電子手帳などの特定の機能の組合せ,ラップトップ,デスクトップコンピュータな
どのような,より一般的な機能を提供する装置にもなり得る。
3.7
構成品目,CI(configuration item,CI)
現在又は将来,制御下に置かれるインフラ又は品目のコンポーネント(ISO/IEC/IEEE 24765:2010の3.563
の定義3を変更している。)。
注記1 ここでいう“制御下に置かれる”とは,在庫プロセスの制御下に置かれることを意味する。
SAMの在庫プロセスはSAMの基礎であるばかりではなく,全ての構成管理の基礎でもある。
注記2 構成品目(CI)は,一般にサービスマネジメント実務の一部と定義され,複雑さ,規模及び
種類が多様であり,ハードウェア,ソフトウェア及び文書の全てを含むシステム全体を指す
4
X 0164-5:2019 (ISO/IEC 19770-5:2015)
こともあれば,単一のモジュール又は小規模なハードウェアコンポーネントを指すこともあ
る。
注記3 対応国際規格の注記1及び注記2は,“一般的にサービス管理業務の一部として定義され,”
(are commonly defined as part of service management practice and)が追加されただけの違いであ
る。これは,対応国際規格のISO/IEC 19770-1:2006の注記とISO/IEC 19770-1:2012の注記2
との違いであり,より新しい2012年版のものを注記2として採用した。また,注記1は,
ISO/IEC 19770-1:2012のNote1の誤りであり,JIS化に際して修正した。
3.8
構成管理データベース,CMDB(configuration management database,CMDB)
各関連した構成品目(3.7)の詳細及びその重要な関係性の詳細を全て包含したデータベース
(ISO/IEC/IEEE 24765:2010の3.566を変更している。注記を追加している。)。
注記 サービスマネジメントをSAMと両立させることで,組織がSAMの適用範囲に含まれる全ての
ソフトウェアを包含したCIを確実に実現することを容易にする。例えば,CIに完全な対応付
けを行い,CIを利用した全てのサービスマネジメントプロセスを通じて説明することによって,
制御された及び/又はライセンスされたソフトウェアの使用証明を有利に行うことができる。
3.9
取締役会又は同等の機関(corporate board or equivalent body)
組織の運営又は管理に関して,最高レベルの法的責任を負う個人又はグループ。
3.10
顧客(customer)
製品又はサービスを受ける組織又は人(ISO/IEC/IEEE 24765:2010の3.696の定義1参照)。
3.11
確定版ソフトウェアライブラリ,DSL(definitive software library,DSL)
SAM(3.35)によって管理された全てのソフトウェア構成品目(3.7)及び全てのソフトウェアマスター
の確定した承認バージョンの管理及び保護が可能な,物理媒体又は一つ以上の電子的なソフトウェアリポ
ジトリで形成された安全なストレージ環境。
3.12
要素(element)
{info struct}で表されるエンティティに関する情報を提供する{info struct}(3.18)のコンポーネント。
3.13
エンドユーザ(end-user)
最終的に意図した目的でシステムを使用する人又は人々(ISO/IEC/IEEE 24765:2010の3.990の定義1
を変更している。注記を追加している。)。
注記 JIS X 0164規格群で,エンドユーザは,システムの特定ソフトウェアコンポーネント(3.36)
によって一般的に定義される。
3.14
権利(entitlement)
ソフトウェア使用権(3.39)を参照。
5
X 0164-5:2019 (ISO/IEC 19770-5:2015)
3.15
拡張マークアップ言語,XML(extensible markup language,XML)
構造化されたデータを含むテキスト形式を生成するための規則をもつ,ライセンスフリーでプラットフ
ォームに依存しないマークアップ言語[(W3C Recommendation Extensible Markup Language (XML) 1.1
(Second Edition)の1.2参照]。
3.16
グローバルユニーク識別子,GUID(global unique identifier,GUID)
任意のコンテキストにおける文字列が,一意であることを高確率で与える方法で生成された16バイトの
文字列。
注記1 他のグローバルユニーク識別子のアルゴリズムが幾つかの状況で使用される。一般に,代替
アルゴリズムは,統一資源識別子(URI)ベースの構造を使用するため,識別子所有者の登
録識別子(regid)が識別子に含まれる。
注記2 この規格では,全て大文字のGUIDは,特に16バイトバージョンを示す。小文字(guid)の
場合は,URI又は16バイトベースの識別子のいずれかを使用できる一般的なアルゴリズムを
示す。
3.17
レガシーソフトウェア(legacy software)
{info struct}なしに作られたオリジナルのソフトウェア(3.34)。
3.18
情報構造,{info struct}(information structure,{info struct})
ソフトウェアの管理を容易にするためにソフトウェアアセット(3.2)に関する情報を提供する構造。
注記 {info struct}は,JIS X 0164規格群で定義された全ての情報構造で一般的な参照を提供するため
の用語及び定義で使われる置換記号(placeholder)である。しかし,個々の規格は,その特定
用途を反映する記述用語,並びにその用語によって置き換えられる{info struct}で定義された用
語及び定義を自由に使うことができる。例えば,ソフトウェア識別情報構造は,SWIDタグ(3.40)
と呼ばれる。
3.19
{info struct}生成者({info struct} creator)
{info struct}(3.18)を最初に生成するエンティティ。
注記 {info struct}生成者及びソフトウェア生成者が同じになる場合,このエンティティはソフトウェ
アを生成した組織の一部である。{info struct}生成者は,ソフトウェア生成者とは無関係なサー
ドパーティの組織(サードパーティの組織によって作られたレガシーソフトウェアのための
{info struct}を作る場合など)もなることができる。
3.20
{info struct}Id({info struct} Id)
生成される全ての{info struct}(3.18)のためのグローバルに一意でなければならない値。
3.21
部門SAM管理責任者(local SAM owner)
組織の中の特定の部分(部門など)のSAM責任者と認められた個人であって,SAM管理責任者(3.30)
より下位に当たる組織レベルに位置する個人。
6
X 0164-5:2019 (ISO/IEC 19770-5:2015)
3.22
メッセージダイジェスト5,MD5(message digest 5,MD5)
特定の個人に対する指紋と同様に,特定のデータが一意であることを示す128ビットのメッセージダイ
ジェストをデータ入力(いかなる長さのメッセージであっても)から生成することでデータの完全性を検
証するために使用されるアルゴリズム。
3.23
プラットフォーム(platform)
ソフトウェアをインストール若しくは実行可能なコンピュータ,ハードウェア及び/又は結び付いたオ
ペレーティングシステム,又は仮想環境の種類。
注記 プラットフォームは,装置又はインスタンスとして一般的に参照される固有のインスタンスと
は別のものである。
3.24
主{info struct}(primary{info struct})
追加の{info struct}(3.18)にリンクされる可能性のある{info struct}。
3.25
手順(procedure)
活動又はプロセスを実施するための指定されたやり方(ISO/IEC/IEEE 24765:2010の3.2216の定義4を
修正している。注記を追加している。)。
注記 手順が成果として規定されているとき,結果としての成果物は,誰が,何を,どのような順序
で行わなければならないかを一般に規定する。これは,プロセス(3.26)に関するものという
よりは,詳細な仕様である。
3.26
プロセス(process)
インプットをアウトプットに変換する,相互に関連する又は相互に作用する一連の活動(JIS Q
55000:2017の3.1.19を参照。注記を追加している。)。
注記 プロセスの定義が成果として規定されているとき,結果としての成果物は,一般にインプット
及びアウトプットを規定し,期待される活動の概要を示す。ただし,手順(3.25)の場合と同
等の水準の詳細さを要求することはない。
3.27
登録識別子,regid(registration identifier,regid)
エンティティのための一意な識別子。
注記 ISO/IEC 19770-5:2013では,特定の様式で定義されたregidの異なる定義を組み込んでいる。
3.28
リリース(release)
一つ以上の変更の結果として,動作中の環境に展開された一つ以上の新規又は更新された構成アイテム
の集まったもの(JIS Q 20000-1:2012の3.23参照)。
3.29
再販業者(reseller)
他の顧客へ販売及びその支援を意図して商品又はサービスを購入する組織。
7
X 0164-5:2019 (ISO/IEC 19770-5:2015)
3.30
SAM管理責任者(SAM owner)
SAM(3.35)責任者として特定される組織全体の上位に位置する個人。
3.31
SAMプラクティショナー(SAM practitioner)
ソフトウェアアセットのマネジメントの実施又は役割に関与する個人。
注記 SAMプラクティショナーは,ソフトウェアインベントリ及び/又はソフトウェア使用権の収集
又はその調停に関与することが多い。
3.32
SAMプログラムの対象範囲(SAM program scope)
SAMプログラムによってカバーされる組織の全ての部署,及びソフトウェア,資産,プラットフォーム,
などの種類の明示的な宣言書。
3.33
セキュアハッシュアルゴリズム,SHA(secure hash algorithm,SHA)
メッセージダイジェストをデータ入力(いかなる長さのメッセージであっても)から生成することでデ
ータの完全性を検証するために使用されるアルゴリズム。現在広範囲に利用されているSHA-1(160ビッ
トのダイジェスト),及び展開が始まったSHA-2(224ビット〜512ビットのダイジェスト)がある。
3.34
ソフトウェア(software)
プログラム,手順,規則及び情報処理システムに関連した文書の全部又は一部(ISO/IEC/IEEE 24765:2010
の3.2741の定義1を修正している。注記を追加している。)。
注記 ここでのソフトウェアの定義は複数ある。この規格の目的のためには,通常,実行可能なソフ
トウェア,並びにフォント,グラフィックス,オーディオ及びビデオの録音,テンプレート,
辞書,文書及び情報構造,データベースレコードのような実行不可能なソフトウェアの両方を
含めることが重要である。
3.35
ソフトウェアアセットマネジメント,SAM(software asset management,SAM)
組織内のソフトウェア及び関連するアセットの管理及び保護,並びにソフトウェアアセットの管理及び
保護のために必要とされる関連するアセットの情報の管理及び保護。
注記 参考として,産業界での対応する定義は,“組織内のソフトウェア資産の,そのライフサイクル
の全段階を通じた有効な管理,制御及び保護に必要な全てのインフラストラクチャ及びプロセ
ス”である。
3.36
ソフトウェアコンポーネント(software component)
分析の特定レベルにおいて考慮される,システム内のアセンブリ,ソフトウェアモジュールなどの個別
構造をもつエンティティ。
注記 この規格では,ソフトウェアコンポーネントとは,ソフトウェア製品のコンポーネント,ソフ
トウェア識別タグのコンポーネントなど,全体の一部を指す。
3.37
ソフトウェア使用者(software consumer)
8
X 0164-5:2019 (ISO/IEC 19770-5:2015)
ソフトウェアパッケージ(3.44)の権利(3.14)を使用するエンティティ。
3.38
ソフトウェア開発者(software creator)
ソフトウェア製品(3.46)又はソフトウェアパッケージ(3.44)を開発する人又は組織。
注記1 この組織は,ソフトウェアを販売又は配付する権利を,自身が負う場合又は負わない場合が
あってもよい。
注記2 この規格では,“ソフトウェア出版者”,“ソフトウェア製造業者”などの一般的な用語ではな
く,ソフトウェア開発者及びソフトウェアライセンス提供者(3.43)という用語を使用して
いる。
3.39
ソフトウェア使用権(software entitlement)
ソフトウェアライセンス提供者(3.43)とソフトウェア使用者(3.37)との間の契約によって定義される
ソフトウェアライセンスを使用する権利。
注記 有効に使用する権利は,あらゆる契約,並びにフルライセンス,アップグレードライセンス及
びメンテナンス契約を含む全ての適用可能なライセンスを考慮している。
3.40
ソフトウェア識別タグ,SWIDタグ(software identification tag,SWID tag)
ソフトウェア構成項目(3.7)について識別情報を含んだ情報構造(3.18)。ソフトウェア開発者(3.38)
によって提供される場合は,信頼できる。
3.41
ソフトウェアライセンス(software license)
ソフトウェアライセンス提供者(3.43)によって提示される条件に従ってソフトウェアを使用する法的
な権利。
注記 “ソフトウェア製品の使用”は,ライセンス条件に依存して,ソフトウェア製品のアクセス,
コピー,配付,インストール及び実行を含むことができる。
3.42
ソフトウェアライセンシー(software licensee)
決められたソフトウェア製品を使用するライセンスが付与された個人又は組織。
3.43
ソフトウェアライセンス提供者(software licensor)
決められたソフトウェアパッケージのためのソフトウェアライセンス(3.41)を発行する権利をもった
個人又は組織。
注記1 ソフトウェアライセンス提供者は,ソフトウェアを開発することもあり,開発しないことも
ある。
注記2 この規格では,“ソフトウェア出版者”,“ソフトウェア製造業者”などの一般的な用語ではな
く,ソフトウェア開発者(3.38)及びソフトウェアライセンス提供者という用語を使用して
いる。
3.44
ソフトウェアパッケージ(software package)
特定のアプリケーション又は機能が提供される,完全かつ文書化されたソフトウェア(3.34)のセット。
9
X 0164-5:2019 (ISO/IEC 19770-5:2015)
注記 JIS X 0164規格群では,“ソフトウェアパッケージ”は,コンピュータデバイスにインストール
できること,及びライセンスの要求事項をもつ特定のビジネス機能に関連するファイルのセッ
トのことを参照している。JIS X 0164規格群で,“製品”及び“ソフトウェアパッケージ”は,
説明されている項目のコンテキストに応じて同義語として使用される。
3.45
ソフトウェアパッケージャ(software packager)
他組織が作成したソフトウェアをパッケージ化又はバンドルするエンティティ。
注記 ソフトウェアパッケージは,例えば,組込みシステムで動作するソフトウェアパッケージをバ
ンドルして付加価値を付ける再販業者,多数の異なるソフトウェア製品を一つにまとめること
を許諾されたソフトウェア再販業者によって作成される。
3.46
ソフトウェア製品(software product)
コンピュータプログラム,手順及び関連するドキュメント,並びにデータを含んでもよいソフトウェア
使用者(3.37)又はエンドユーザ(3.13)への配付のためにデザインされたソフトウェア(3.34)の完全な
セット。
注記 JIS X 0146規格群で,“製品”及び“ソフトウェアパッケージ”は,説明されている項目のコン
テキストに応じて同義語として使用される。
3.47
ソフトウェア使用率(使用量)(software usage)
その使用権における条件の定義に基づき計測される,ソフトウェア使用権(3.39)に対する消費量。
注記 特定の条件に応じて,ソフトウェアのアクセス,コピー,配布,インストール及び実行を使用
率に含めることができる。
3.48
在庫管理単位,SKU(stock keeping unit,SKU)
ソフトウェア使用権(3.39)及び在庫の追跡を可能にする目的のための特定製品識別子(通常は英数字)。
注記 “在庫管理単位”という用語は,通常,ソフトウェア使用権のように営業目的で固有の製品に
関連付けられる。特定のソフトウェア製品に一意に対応することはないが,代わりにソフトウ
ェアのパッケージを示し,及び/又は既存の製品,アップグレード製品,メンテナンスなどに
関連する特定の条件を表してもよい。
3.49
追加{info struct}(supplemental {info struct})
他の{info struct}と補助的な関係をもち,その{info struct}の情報を拡張する{info struct}(3.18)。
3.50
階層(tier)
プロセス定義のグルーピング。
3.51
統一資源識別子,URI(uniform resource identifier,URI)
インターネット上で利用可能な抽象的又は物理的なリソースを識別するコンパクトな文字列(RFC 3986
の箇条1参照)。
注記 URIで使用される構文は,RFC 3986で定義されている。
10
X 0164-5:2019 (ISO/IEC 19770-5:2015)
3.52
有効(Valid)
特定のXMLスキーマ文書(3.55)及びXMLの観点から有効な{info struct}の状態。
3.53
基準値(value baseline)
最適化,及び追跡されている資産の各グループに関連する値として割り当てる前の資産の基準。
3.54
バージョン(version)
一意な版数を示す数字及び文字の値の文字列。
注記 ソフトウェアでは,固有の機能又は修正を提供するソフトウェアの版数を識別するために,バ
ージョンを参照する。バージョンは,通常,機能又はユーザインタフェースの変更が大幅に変
更されたことを示すメジャーバージョンと,機能又はユーザインタフェースの変更が小さいこ
とを示すマイナーバージョンとをもつ。
3.55
XMLスキーマ文書,XSD(XML schema document,XSD)
XML情報の構造を記述するドキュメント[W3C XML Schema Definition Language (XSD) 1.1 Part 1の
Structures, 1参照]。
4
ITアセットマネジメント(ITAM)及びソフトウェアアセットマネジメント(SAM)
4.1
序論
アセットマネジメント(3.3参照)は,相互に関係及び作用する,方針,目標,戦略,計画を確立する部
分,及びパフォーマンスを最大化する活動,さらに,特定の責任期間に渡る組織的な目標の表明における
ポートフォリオからの価値,からなるシステムを定義した十分に確立された分野である。この文脈におい
て,“部分”にはビジネスプロセス及びガバナンス活動が含まれており,“パフォーマンス”には運用,財
務及び法務パフォーマンスが含まれ,“価値”にはコスト及びリスクの最小化が含まれる。
アセットマネジメントは,資産のライフサイクルの全ての段階で適用される。多くの業種では,アセッ
トマネジメントは,組織の運用パフォーマンス及び効率性を決定する上で重要な役割を果す。
情報技術(IT)アセットマネジメント(ITAM)は,ライフサイクル,IT資産の総コスト,及びそれら
を包含するインフラストラクチャを管理することを目的としたアセットマネジメントの下位分野である。
ITAMは,IT環境のライフサイクル管理及び戦略的意思決定をサポートするために不可欠であり,幾つか
の種類のIT資産(例 ラップトップコンピュータ,スマートフォンなど)の携帯性を取り扱うために,特
定のアプローチを具現化する。
ソフトウェアアセットマネジメント(SAM,3.35参照)は,ソフトウェア資産の取得,リリース,展開,
保守,及び最終的な廃棄までを管理することを特に目的とした更なる下位分野である。SAMプロセスは,
組織内のソフトウェア資産の効果的な管理,制御及び保護を提供する。SAMには,分散型及び仮想化環境
におけるソフトウェア資産のリアルタイムモビリティのような,SAM固有の課題を処理するための具体的
なアプローチが組み込まれている。そのようなモビリティがあるところでは,ソフトウェア資産の数及び
多様性によって管理されないものが増大する。
SAMは,ITAMの下位分野であるが,SAMは,範囲内のソフトウェアを使用するか,又は管理するた
めに必要な他の全ての関連資産を範囲に含めるため,現実の用途として両方の範囲は同じである。実際に
11
X 0164-5:2019 (ISO/IEC 19770-5:2015)
は,ソフトウェアの展開,実行及び管理に使用される全てのITハードウェア資産をSAMの範囲に含めな
ければならない。箇条4では,このようにSAMという用語を使用する。
4.2
ソフトウェアアセットを管理する必要性
4.2.1
一般
動かし得ない周知の事実として,コンピュータのハードウェアコストが低下したことで,ITインフラス
トラクチャの構築及び保守コストの大半が,物理資産ではなくソフトウェア資産関連コストによって占め
られる。ソフトウェア資産の機能,複雑性及び重要性も著しく増加した。したがって,組織がこれらの資
産のライフサイクルコストから可能な限り最大の価値を得ることがますます重要になっている。
SAMの優れた実践事例は,次の細分箇条で説明されているような利点を組織にもたらす。
a) 直接的利益(4.2.2参照)
b) コスト管理(4.2.3参照)
c) リスク管理及び緩和(4.2.4参照)
さらに,証明可能な優れた実践は,これらのプロセスの妥当性について,経営層及び他の組織にとって
信頼のおけるものであることが望ましい。また,4.2.2〜4.2.4の利益項目は,高いレベルで達成が保証され
ることが望ましい。
4.2.2
直接的利益
SAMには,次のような直接的利点がある。
a) ビジネス目的の達成を支援する組織へのソフトウェアの効果的な展開
b) より完全で透明性の高い情報を活用することによる,より良い意思決定の実施(例えば,より良い品
質のデータを使用して,IT調達及びシステム開発の決定をより迅速かつ確実に行うことができる。)
c) 市場の機会又は要求に応じて,より迅速かつ確実に,新しいシステム及び機能の展開が可能であるこ
と
d) ビジネスニーズに緊密に対応したITを提供し,全てのユーザが適切なソフトウェア及びアプリケーシ
ョンへのアクセスを確実にすること
e) 会社の買収,合併又は分割時におけるITの側面をより迅速に処理できること
f)
現代的なアーキテクチャに基づく柔軟なインフラストラクチャの構築を可能にする高品質のIT戦略
(例えば,クラウドベースのサービス及びプライベートクラウドの復元力)
g) ITに関する問題を軽減することによる,従業員の動機付け及び顧客満足度の向上
4.2.3
コスト管理
SAMは,次の分野を含むコスト管理を容易にすることが望ましい。
a) ボリューム契約の活用による価格交渉,購入済みライセンスの再展開による新規ライセンスの購入回
避など,ソフトウェア及び関連資産の直接コストの削減
b) より良い情報を活用することによる,供給者との交渉時間及びコストの削減
c) より良い請求書照合などによる財務管理の改善を通じたコストの削減,並びにより正確な実績予測及
び予算編成
d) 必要なプロセスが効率的かつ効果的であることを確実にすることによる,ソフトウェア及び関連資産
を管理するためのインフラストラクチャーコストの削減
e) SAMプロセスの質によって著しく影響を受けるサポートコスト(ITに関する直接コスト及びエンド
ユーザにおける間接コスト)の削減
f)
高コストのITインフラストラクチャをもつコンポーネントの識別性向上
12
X 0164-5:2019 (ISO/IEC 19770-5:2015)
4.2.4
リスク管理及び緩和
4.2.4.1
はじめに
SAMは,次のように,様々な分野でのリスク管理及び緩和を支援することが望ましい。
a) 運用(4.2.4.2参照)
b) セキュリティ(4.2.4.3参照)
c) コンプライアンス(4.2.4.4参照)
4.2.4.2
運用リスクの管理及び緩和
SAMは,次を含むビジネスリスクの管理を容易にすることが望ましい。
a) ITサービスの中断のリスク
b) ITサービスの品質低下のリスク
4.2.4.3
セキュリティリスクの管理及び緩和
SAMは,次を介してセキュリティの管理及び強化を支援することが望ましい。
a) インストール済み及び/又は使用済みのソフトウェアの認可に関する高い保証
b) 許可されていないソフトウェアのより良い識別
c) インストールされたソフトウェアのパッチプロセスの厳密な制御
4.2.4.4
コンプライアンスリスクの管理及び緩和
SAMは,次の項目を最小限に抑えることによって,コンプライアンスを促進し,管理を簡素化すること
が望ましい。
a) 法的及び規制上の暴露,特に個人を特定できる情報及びプライバシーに関する暴露
b) ライセンス違反
c) ポリシー違反
d) 上記のいずれかに起因する公的イメージの損傷リスク
4.3
基本原則
JIS X 0164規格群で定義されているソフトウェアアセットマネジメント(SAM)は,次の原則に基づい
ている。
a) SAMプログラムの対象範囲(3.32参照)には,ソフトウェアの性質にかかわらず,ソフトウェア(3.34
参照)及び関連資産の全てのタイプが最終的に含まれる。例えば,実行可能なソフトウェア(アプリ
ケーションプログラム,オペレーティングシステム及び汎用プログラムといったもの),非実行可能な
ソフトウェア(フォント,グラフィックス,オーディオ及びビデオ記録,テンプレート,辞書,並び
に文書及びデータといったもの),インストール以外で使用されるソフトウェア(SaaS及びコネクシ
ョンベースの使用といったもの)に適用できる。
b) その定義は,小規模から国際的な多種多様の組織,SAMが社内だけでなく外部委託されている状況,
及び高度に集中化されたものから完全に分散化されたものまで実装するアプローチに適用する。
c) SAMは,様々な伝達メカニズム(モバイル,構内ベース,クラウドベース,ホストされたものなど)
を支援する。
d) SAMは,様々なライセンスモデルを支援する。
次のようなアセット形態は,JIS X 0164規格群の対象範囲内である。
− 使用のためのソフトウェア 上記a)にあるようなソフトウェアの全てのタイプ
− 権利 完全な所有者(社内で開発されたソフトウェア)によって反映したソフトウェア使用権及びラ
イセンス(商用又はオープンソースにかかわらず,大部分が外部ソースソフトウェア)
13
X 0164-5:2019 (ISO/IEC 19770-5:2015)
− メディア 使用するソフトウェアのコピーの保存
4.4
他の規格で定義された原則との関連
4.4.1
概要
JIS X 0164規格群で定義されたSAMは,他のISO規格群の原則と整合するために次のように定義され
ている。
a) JIS Q 9001(4.4.2参照)
b) JIS Q 20000(4.4.3参照)
c) JIS Q 27000(4.4.4参照)
d) JIS Q 55000(4.4.5参照)
4.4.2
JIS Q 9001の原則との関連
JIS X 0164規格群で定義されたSAMの計画及び実施プロセスは,原則,JIS Q 9001のPDCAプロセス
に対応している。
4.4.3
JIS Q 20000の原則との関連
JIS X 0164規格群で定義されたSAMプロセスは,JIS Q 20000で定義されたITサービスマネジメントの
原則に密接に整合させ支援することを意図している。
4.4.4
JIS Q 27000の原則との関連
JIS X 0164規格群で定義されたSAMプロセスは,JIS Q 27000ファミリ規格で定義及び記述されている
セキュリティ又は情報セキュリティマネジメントシステム(ISMS)要求事項を支援することを意図してい
る。
注記 対応国際規格では,“Integrated Security Management System (ISMS)”となっていたが“Integrated”
は“Information”の間違いであったので修正した。
4.4.5
JIS Q 55000の原則との関連
JIS X 0164規格群で定義されたSAMプロセスは,JIS Q 55000シリーズで定義されている一般のアセッ
トマネジメントシステムと一緒に使用するのがよい。
4.5
プロセス定義の原則
JIS X 0164規格群では,SAMにおける現在の最先端技術を形成するベスト慣行を成文化し,また,異な
る組織のSAMのベンチマークを容易にするためのプロセス定義を含んでいる。
しかしながら,SAM規格群で使用されているプロセス定義(3.26参照)は,多種多様な組織の規模及び
タイプに適用するために,次のような特定の構造に従う。
a) プロセスは,タイトル,目的,及び結果の要素について定義する。その定義は,結果を達成するため
に使用される行動の活動は含まれていない。これらの特定の結果は,容易に評価できるように設計さ
れているが,必ずしもそれらを生産するのに必要な活動の幅を示すものではない。
b) プロセスは,プロセスの結果のための要求事項を満たすために必要とされる方法又は手順について詳
細は記述されていない。
c) 組織がSAMを実施するために従うべき一連のステップは特定されておらず,プロセスが記述された
順序によって明示されるような記述もない。関係する唯一の順序は,内容及び状況によって要求され
る。例えば,計画が,実施に先行することである。
d) 文書化は,名前,様式,明示的な内容及び記録メディアについては詳細を記述しない。
注記 これらの原則は,追加の要求事項を満たすために要求されるような将来のプロセス規格に進化
することが期待される。例えば,ISO/IEC専用業務指針の補足指針の附属書SLの定義のよう
14
X 0164-5:2019 (ISO/IEC 19770-5:2015)
なマネジメントシステム規格に対する要求事項である。
4.6
プロセス定義の適合評価
JIS X 0164規格群におけるプロセス定義の適合は,次の二つの方法のうちのいずれか一つで実践される。
a) プロセス定義の全ての要件が,証拠としての結果を用いて満たされていることの実証
b) プロセス定義の全ての目標が達成されていることの実証
定義された階層(3.50参照)に対する全ての目標が達成されていることが実証されることによって完全
な適合がなされている場合,さらに二つの要件がある。
c) 異なる階層の結果を含むプロセス領域では,そのプロセス領域の目標は,各階層の評価に対応して判
断されなければならない。
d) 評価者は,全ての目標が達成されたことを実証する証拠を検証することに加えて,各階層に対する明
確な結果を考慮に入れなければならない。明確な結果が一つでも欠けている場合,評価者は,それぞ
れの結果に対して明確な結果がないにもかかわらず,その階層の目標が達成されたと認めた理由を書
面で説明しなければならない。
4.7
情報構造の原則
JIS X 0164規格群において定義される情報構造は,次の原則に従う必要がある。
a) ベンダー,プラットフォーム又は技術(仮想化など)に依存せずに,ソフトウェア管理データに対す
る相互運用性を実現できるように設計する。
b) 例えば,生成段階から,パッケージング及びインストールまでの段階,インストール,使用,及びそ
の後のアンインストールまでのソフトウェア製品のライフサイクルを通して使えるように設計する。
c) 配付及び更新目的に対してバイナリレベルで一意な製品と対応した一意なソフトウェア識別子を組み
込んで設計する。一意性は,一意なタグ生成者の名前とタグ生成者の管理された一意な識別子との組
合せで保証する。多くの異なる情報構造は,一意なソフトウェア識別子で関連付けする。
d) 登録機関の必要性を最小限にするように設計する。
e) 人による可読性があり,プログラムで処理できるように設計する。
f)
ソフトウェア資産に関連するプラットフォームに依存せずに設計する。
g) 情報構造が配置されるプラットフォームごとに標準の配置場所を定義する。
4.8
情報構造定義の適合評価
JIS X 0164規格群における情報構造の定義に対する適合は,製品又は組織に対して適用される。組織の
適合について,定義された範囲は,範囲に含まれた製品と同様に組織の範囲を含む必要がある。製品又は
組織の評価が行われた場合,その評価はどちらの適合を検証した範囲なのかを明示しなければならない。
組織がJIS X 0164規格群に対する個々の製品の適合を評価することには多くの理由がある。適合を必要
とする市場に製品を提供した場合に求められることが考えられる(例えば,あるプロジェクトにおいて政
府組織が製品に対してJIS X 0164規格群に従うことを求める場合)。例えば,どのエンドユーザがどのソ
フトウェアパッケージをインストールしたのかを明確に特定するための正確なプロセスを支援できるよう
に,安全で監査可能なJIS X 0164規格群の情報構造を提供することを求めるプラットフォーム提供者がい
る。
組織は,多くの理由からJIS X 0164規格群に従う利点がある。例えば,ソフトウェア提供者はより簡易
に管理できるため,そのソフトウェア製品を販売推進しやすくなる。また,ソフトウェア利用者は,ソフ
トウェア資産を実際に管理していることを示しやすくなり,調停又は監査要求に対して正確な情報を提供
することによって実証しやすくなる。
15
X 0164-5:2019 (ISO/IEC 19770-5:2015)
4.9
重要成功要因
SAMについての重要成功要因を次に示す。
a) 経営層からのプログラムについての指示及び所有の明確な認識
b) プログラムに関する(組織又は製品)範囲,役割及び責任の明確な定義
c) 管理している全てのソフトウェア資産に適用されるソフトウェア使用権の明確な理解
5
ITAM規格群
5.1
一般情報
JIS X 0164規格群は次のものを含む。
a) 組織がコーポレートガバナンス要件を満たすために十分なレベルまでソフトウェアアセットマネジメ
ント(SAM)を実施し,また,組織内のソフトウェア(3.34を参照)アセットの効果的な管理及び保
護を確実にすることを実証できるプロセス(3.26を参照)を定義する。
b) 適合性の適切な認識の下に達成可能な,幾つかの定義された階層(3.50を参照)からなる上記a)のプ
ロセスの実装へのアプローチを定義する。
c) 上記a)のプロセスをサポートし,ソフトウェア製品に関する信頼できる識別及び管理情報を含む,情
報構造(3.18を参照)を定義する。
d) 特定のアセットマネジメントに関連付けられている追加の情報構造を定義する。例えば,上記c)の基
本的な情報構造に含まれる情報を補完する権利(3.14を参照)。
JIS X 0164規格群の機能ブロック図を図1に示す。
概要
19770-5:2015 Overview and vocabulary
(JIS X 0164-5:2019)この規格
ソフトウェア識別
権利スキーマ
19770-3:2016
Entitlement Schema
(JIS X 0164-3:2019)
:2006
発行済
:201x
開発中
:201x
計画中
情報構造
19770-1:2017 Reqiurments(Rev. of :2012) (JIS X 0164-1:2019)
19770-2:2009
S/W identification tag
プロセス
19770-1:2012(Revisionof:2006(JIS X 0164-1:2010))Processes & tiered assessment of conformance
19770-5:2013 Overview and vocabulary
規格
標準報告書
19770-8:201x Guidelines for Mapping of Industry Practices to/from the ISO/IEC 19770 Series
19770-11:201x Guidelines for the application of ISO/IEC 19770-1 for small organizations
デバイス識別
19770-6:201x
Hardware identification
19770-2:2015(Rev. of :2009)
(JIS X 0164-2:2018 )
資源利用測定
19770-4:2017
Resource utilization measurement
(JIS X 0164-4:2019)
19770-7:201x
Tag management
19770-22:201x
Guide to cyber security
図1−JIS X 0164規格群の機能ブロック図
16
X 0164-5:2019 (ISO/IEC 19770-5:2015)
5.2
特定のプロセスの規格
5.2.1
ISO/IEC 19770-1:2006(JIS X 0164-1:2010)
ソフトウェア資産管理−第1部:プロセス
注記1 この当初の2006年版のISO/IEC 19770-1は2012年版(5.2.2を参照)に置き換えられた。
注記2 ISO/IEC 19770-1:2012に対応するJISは発行されていない。
適用範囲:この規格は,SAMのための統合された一連のプロセス(3.26を参照)のベースラインを確立す
る。
目的:JIS X 0164-1は組織が直ちに利益を得るために実施可能なSAMプロセスを記述している。JIS X
0164-1は,組織のための実装標準であることが意図されている。JIS X 0164-1は,あらゆる規模又はあら
ゆる部門の全ての組織に適用され,法人又は一つの法人の一部にだけ適用することもできる。
5.2.2
ISO/IEC 19770-1:2012
Information technology−Software asset management−Part 1: Processes and tiered assessment of conformance
適用範囲:この規格は,漸進的なSAMの実装及び認識の達成を許可する,階層(3.50を参照)に分けら
れたSAMのための統合された一連のプロセス(3.26を参照)のベースラインを確立する。
目的:“第2世代”ISO/IEC 19770-1:2012は,JIS Q 20000に規定されている全てのサービス管理に対応す
るように設計された包括的な標準規格である“第1世代”規格のJIS X 0164-1:2010からのフィードバック
によって方向付けられた。しかし,市場からのフィードバックでは,組織が段階的に達成できるものを求
められた。この規格は,これらの段階を“階層”と呼んでこれを可能にするように設計されている。最初
の三つの階層は,JIS X 0164-1:2010と同じ構造及びアプローチを維持しながら,プロセス領域及び結果の
全体セットのうちの選択されたサブセットで構成されている。この規格の4番目の最後の階層を達成する
ことは,JIS X 0164-1:2010に合致することと本質的に同一である。
5.2.3
ISO/IEC 19770-1:2017(JIS X 0164-1:2019)
ITアセットマネジメント−第1部:ITアセットマネジメントシステム−要求事項
適用範囲:この規格は,“ITアセットマネジメントシステム”と呼ばれるITアセットマネジメントのため
のマネジメントシステムの確立,実施,保守及び改善のための要件を規定する。
目的:JIS X 0164-1の“第3世代”は,ISOが全てのマネジメントシステム規格で要求しているハイレベ
ル構造及び共通の用語に適合するための,ISO/IEC 19770-1:2012の改訂版である。これは(一般的な)ア
セットマネジメントのためのJIS Q 55001の全ての標準テキストを含み,ITアセット及び特にソフトウェ
アの要件が追加されている。
5.3
プロセス規格群へのガイダンスを記載した標準報告書
5.3.1
ISO/IEC 19770-8:201x
Information technology−Software asset management−Part 8: Guidelines for mapping of industry SAM practices
with the ISO/IEC 19770 family of standards
適用範囲:この規格は,JIS X 0164規格群の標準に含まれる定義と既存の業界慣行との対応及び相違を識
別する。
目的:ISO/IEC 19770-8は,ISO/IEC 19770-1:2012の附属書C(5.2.2参照)に示されている業界のベスト
プラクティスガイダンスへの相互参照を基にしている。このような情報をISO/IEC 19770-1:2012に掲載す
ることに対する強い支持があったが,同時に,WG21は,この情報を標準として発行することに,継続的
なメンテナンスの問題があることを認識していた。改訂のタイムテーブルが入力ドキュメントの更新とは
異なるためである。このため,WG21は,各主題の所有者に,この標準報告書に含める本文の提供を検討
17
X 0164-5:2019 (ISO/IEC 19770-5:2015)
し,頻繁な更新が発行されるように正式に要請する予定である。これらのマッピング利用の可能性は
ISO/IEC 19770規格群の全ての要件に適合する業界標準アプローチの強化を加速することが期待される。
5.3.2
ISO/IEC 19770-11:201x
Information technology−Software asset management−Part 11: Guidelines for the application of ISO/IEC
19770-1 for small organizations
適用範囲:この規格は,ISO/IEC 19770-1:2012で定義されている階層を具体的に参照して,SAMのプロセ
スを小規模組織に適用するための具体的なガイダンスを提供する。
目的:ISO/IEC 19770-11は,小規模組織におけるソフトウェアアセットマネジメントの実装に関する詳細
なガイダンスを提供している。これには,ガバナンス及び管理構造の簡素化,修正されたプロセス定義,
並びに少人数による手動の手続に適した役割の再定義が含まれる。
5.4
情報構造を規定する規格
5.4.1
ISO/IEC 19770-2:2009
Information technology−Software asset management−Part 2: Software identification tag
適用範囲:この規格は,識別及び管理を最適化するためのソフトウェアのタグ付けのための仕様を確立す
る。
目的:ISO/IEC 19770-2は,ソフトウェア識別タグの規格を提供する(3.40参照)。ソフトウェア識別タグ
は,ソフトウェア製品に関する信頼できる識別及び管理情報を含むXMLファイルである。ソフトウェア
識別タグは,ソフトウェア製品とともにコンピューティングデバイスにインストールされ,管理される。
このタグは,インストールプロセスの一部として作成することも,タグなしでインストールしたソフトウ
ェアに後で追加することもできる。しかし,タグは,ソフトウェア製品が最初に開発されたときに作成さ
れ,ソフトウェア製品とともに配布され,インストールされることをより一般的に想定している。タグを
最初から利用可能にすることによって,ソフトウェア利用者の外部での配布及び再パッケージ化をより効
果的に管理し,ソフトウェア利用者組織内のリリースをより効果的に管理することができる。
5.4.2
ISO/IEC 19770-2:2015(JIS X 0164-2:2018)
ソフトウェア資産管理−第2部:ソフトウェア識別タグ
適用範囲:この規格は,より大きな市場導入を促進し,タグの生産者とタグの利用者との間のより意味論
的な相互運用性を促進するために,ISO/IEC 19770-2:2009の構造的な拡張に対処する。
目的:JIS X 0164-2は,市場からのフィードバック及び展開の経験からISO/IEC 19770-2:2009の改善を提
供している。Forbes Global 2000で特定された上位8社の独立系ソフトウェアベンダーのうちの4社が,ソ
フトウェア識別タグを自社の製品で配布しており,このようなタグは数多く現場で利用されている。また,
ソフトウェア識別タグ(インストールツール)を作成するツールプロバイダ,又はソフトウェアタグ(検
出及びコンプライアンスツール)を読み込んで使用するツールプロバイダもある。この展開の全ては,
ISO/IEC 19770-2:2009の欠陥を識別し,改善,明確化及び拡張を示唆する高品質のフィードバックを多く
生成している。このフィードバックの多くは,ソフトウェア識別タグを促進するために組織された
TagVault.org(www.tagvault.org)という非営利団体を通じて受領されている。これはWG21のClass Cリエ
ゾン組織である。
5.4.3
ISO/IEC 19770-3:2016(JIS X 0164-3:2019)
ITアセットマネジメント−第3部:権利スキーマ
適用範囲:この規格は,権利の所有権を効果的に実証し,インストールされたソフトウェアの権利との調
停を最適化し,コンプライアンスを実証し,及びコスト削減のためのライセンスを最適化する,ソフトウ
18
X 0164-5:2019 (ISO/IEC 19770-5:2015)
ェアの権利を明確に定義するための仕様を確立する。
目的:JIS X 0164-3は,権利の明確な定義を規定している。権利スキーマは,ISO/IEC 19770-2:2009で特
定されているソフトウェア構成品目の権威あるライセンス情報を提供する。資格の標準化によって,SAM
の実務におけるライセンスコンプライアンスプロセスのための統一された測定可能なデータが提供され,
ライセンス資格をもつソフトウェアの調停を最適化できる。
5.4.4
ISO/IEC 19770-4:2017(JIS X 0164-4:2019)
ITアセットマネジメント−第4部:資源利用測定
適用範囲:この規格は,ソフトウェア資産及び関連リソースの使用に関する情報を含むフォーマットの仕
様を確立する。この定義は,JIS X 0164-2で定義された識別情報,及びJIS X 0164-3で定義された権利情
報と一貫した方法で作成され,これらの3種類の情報を一緒に使用すると,ITアセットマネジメントのプ
ロセスを大幅に強化し,自動化することができる。
目的:JIS X 0164-4は,資源利用測定情報(RUM)構造の標準を提供する。RUMには,ソフトウェア資
産の使用に関連するリソースの消費についての権威ある使用情報を含む標準化された構造が組み込まれて
いる。この構造は,JIS X 0164-2で定義されている識別情報,及びJIS X 0164-3で定義されている権利情
報と一貫した方法で作成され,これらの3種類の情報を一緒に使用すると,ITアセットマネジメントのプ
ロセスを大幅に強化し,自動化することができる。
5.4.5
ISO/IEC 19770-6:201x
Information technology−Software asset management−Part 6: Hardware Schema
適用範囲:この規格は,組込みソフトウェアを含むデバイスの識別及び管理のための仕様を規定する。
目的:ISO/IEC 19770-6は,組込みソフトウェアを含むデバイスにおける,JIS X 0164規格群の別の規格
で定義された情報構造の使用について記述している。
5.5
情報構造規格のガイダンスを記載した標準報告書
5.5.1
ISO/IEC 19770-7:201x
Information technology−Software asset management−Part 7: Tag management
適用範囲:この規格は,JIS X 0164規格群で定義された全てのソフトウェアタグの管理に関連する基本を
規定する。
目的:ISO/IEC 19770-7は,JIS X 0164規格群で定義されている情報構造の管理に継続して利用できる,
整理されたロードマップ及びガイダンスが記述されている。ソフトウェア識別タグ及びソフトウェア権利
タグがソフトウェア管理全般で必要とされる他のデータとともに個別に,そして相互にどのように管理さ
れるべきかについての市場のガイダンスが必要とされている。
5.5.2
ISO/IEC 19770-22:201x
Information technology−Software asset management−Part 22: Guidance for the use of 19770-2 Software
Identification Tag information in Cyber Security
適用範囲:この規格は,他のJIS X 0164規格群で定義された情報構造の内容がどのようにサイバーセキュ
リティの目的で利用できるかの定義を規定する。考えられたほとんどの情報は,JIS X 0164-2(ソフトウェ
ア識別タグ)で定義されている。
目的:ISO/IEC 19770-22は,タグ情報で利用される数多くの潜在的利用方法を記述している。それらの利
用方法は,ぜい(脆)弱性の開示及びぜい(脆)弱性を取り扱うプロセスに関するISO/IEC 29147及び
ISO/IEC 30111,システムの整合性に関するJIS Q 27001の管理策,アプリケーションのプロビジョニング
及びそれらのセキュリティ監査に関するISO/IEC 27034の多くの規格での特有なプロセス,並びにIT製品
19
X 0164-5:2019 (ISO/IEC 19770-5:2015)
及びサービスの統合の確実性に関するISO/IEC 27036の定義を含み,開発された。
5.6
規格の概要
5.6.1
ISO/IEC 19770-5:2013
Information technology−Software asset management−Part 5: Overview and vocabulary
適用範囲:この規格は,ISO/IEC 19770規格群の概要,SAMの導入,SAMベースの基礎原則及びアプロ
ーチ,並びにISO/IEC 19770規格群で使用する一貫した用語及び定義を規定する。
目的:ISO/IEC 19770-5は,ISO/IEC 19770規格群の概要を提供するソフトウェアアセットマネジメント
(SAM)の基礎を記述し,その規格群全体で使用する用語を定義する。
5.6.2
ISO/IEC 19770-5:2015(JIS X 0164-5:2019この規格)
ITアセットマネジメント−第5部:概要及び用語
適用範囲:この規格は,ISO/IEC 19770-5:2013に含まれるISO/IEC 19770規格群の概要,及び規格群全体
で利用される共通用語の改訂を規定する。
目的:この規格は,2014年6月にシドニーで承認されたWG21戦略計画のリビジョン9.3と整合した
ISO/IEC 19770規格群の概要を記述し,2011年以降の開発に合わせて規格群全体で利用された用語を更新
している。
20
X 0164-5:2019 (ISO/IEC 19770-5:2015)
参考文献
[1] ISO/IEC/IEEE 24765:2010 2),Systems and software engineering−Vocabulary
注2) ISO/IEC/IEEE 24765は,SEVOCAB (software and systems engineering vocabulary) databaseのス
ナップショットであり,https://www.computer.org/sevocabで利用可能である。
[2] Extensible Markup Language (XML) 1.1 (Second Edition), W3C Recommendation,
https://www.w3.org/TR/2008/REC-xml-20081126/
[3] XML Schema Definition Language (XSD) 1.1 Part 1: Structures, W3C Recommendation,
https://www.w3.org/TR/xmlschema11-1/
[4] XML Schema Definition Language (XSD) 1.1 Part 2: Datatypes, W3C Recommendation,
https://www.w3.org/TR/xmlschema11-2/
[5] RFC 1034,Domain Names−Concepts and Facilities, November 1987,https://tools.ietf. org/html/rfc1034
(このJISに追加する参考文献)
JIS Q 20000-1 情報技術−サービスマネジメント−第1部:サービスマネジメントシステム要求事項
JIS Q 20000-2 情報技術−サービスマネジメント−第2部:サービスマネジメントシステムの適用の手引