ソフトウェア監査:ハイテクがいかに難しいか

2年前にAdobeからソフトウェア監査リクエストが来たとき、マーガレット・スミス(彼女の本名ではない)はそれがいつものようにビジネスであると考えました。Fortune 500企業のガバナンスリスクおよびコンプライアンスのスペシャリストとして、彼女は年に数回監査を受けることに慣れていました。

「通常、これらのことは友好的に始まります」と彼女は言います。「監査のリクエストがあり、交渉が必要です。彼らはオンサイト監査を行うか、特定の従業員IDを要求することを望んでおり、私たちはノーと言います。でも今回は揺れて出てきました。2週間以内に、彼らは弁護士を連れてくると脅迫していました。」

消費財のメーカーであるスミスの会社は、世界中のオフィスで少なくとも55の異なるアドビ製品のライセンスを取得していました。現在、ソフトウェアメーカーは、自分の会社が権利をはるかに超えるソフトウェアを使用していると非難していました。

賭け金は高かった。アドビは、未払いのライセンス料に加えて罰金を課し、監査の費用を会社に請求し、特定の日付から遡及的な支払いを要求することができたはずです。

しかし、マーガレットはプッシュオーバーではありませんでした。彼女は、4,000を超えるソフトウェア製品を管理し、それらがどの程度準拠しているかをかなりうまく処理している巨大な組織で働いていました。

会社が署名したライセンス契約の文言と、アドビがその契約の一部と見なしたサポート文書との間に矛盾があったことが判明しました。結局、彼らは落ち着きました。消費財メーカーは、ソフトウェアの展開方法に関する追加の管理に同意し、アドビは問題を取り下げました(そして、当然のことながら、この話についてコメントすることを拒否しました)。

しかし、それは醜くなった可能性があります。そして、それは主要なソフトウェア発行者がどれほど積極的になったかを象徴しています。 

その監査は、SnowSoftwareのソフトウェア資産管理ソリューションを実装するという彼女の会社の決定の重要な要素でしたとSmith氏は言います。「コンプライアンスを獲得するための最初のステップは、何を扱っているかを理解することであるという私の理論を支持する完璧な例でした。」

ソフトウェア監査に関しては、omertàのコードが優先されます。

あなたがそれを買うならば、彼らは来るでしょう

組織のソフトウェアライセンスが監査されるかどうかは問題ではありません。それは、監査がいつ、どのくらいの頻度で、どれほど苦痛になるかという問題にすぎません。シェイクダウンは非常に確実なことであり、私たちが連絡したほぼすべての顧客が、雇用主を将来の監査の対象にしないように、名前をこの話に含めないように求めました。

監査は増加傾向にあり、その費用はますます高くなっています。Gartnerによると、企業の68%が毎年少なくとも1回の監査要求を受け取り、その数は2009年以降毎年着実に増加しています。最も頻繁な要求は、Microsoft、Oracle、Adobe、IBM、SAPなどの通常の容疑者からのものです。

ソフトウェア資産管理ベンダーであるFlexeraの調査によると、企業の44%が100,000ドル以上の「補正」コストを支払わなければならず、20%が100万ドルを超えて支払っています。この割合は2倍以上になっています。昨年。

IDCのAmyKonaryは、組織のソフトウェア予算の最大25%が、ライセンスの複雑さだけに対処するために費やされると見積もっています。

「これには2つの側面があり、どちらも特定するのは困難です」と、IDCのSaaS、ビジネスモデル、およびモバイルエンタープライズアプリケーションプログラムの主導を担当する副社長であるコナリーは述べています。 「1つ目は買い過ぎです。コンプライアンス違反のリスクを軽減するために、どのくらいの追加ソフトウェアを購入していますか? 2つ目は購入不足です。監査を受け、予想よりも多くのソフトウェアを使用していることに気付き、最終的には補正に多くの費用を費やすことになります。ライセンスが複雑なため、ソフトウェア環境を適切なサイズにすることは困難です。」

ソフトウェアライフサイクル自動化企業である1Eの調査によると、米国と英国の大企業にインストールされているすべてのソフトウェアの4分の1以上がシェルフウェアであり、総コストは70億ドルを超えています。それに加えて、18か月続く可能性のある監査のビジネス中断の隠れたコスト、および最終的な値札は莫大になる可能性があります。

要するに、企業は多くのお金をテーブルに残している-そしてソフトウェア発行者は彼らができる限りそれをすくい上げることに満足している。

監査は販売ツールです

技術的には、ソフトウェア監査は、料金を支払ったソフトウェアのみをインストールしたことを証明する方法、またはインストールまたは使用しすぎたことを発行者が証明する方法です。しかし、監査プロセスは、多くの場合、顧客が小切手に署名することで終了します。つまり、過剰または誤ってインストールされたソフトウェアの代金を支払うか、長期的なコミットメントのために新しい契約を結ぶためです。

SnowSoftwareのバイスプレジデントであるPeterTurpinは、次のように述べています。「監査の最後に販売が行われる予定です。監査は、顧客がインストールしたソフトウェアのお金を集める方法です。したがって、あなたはそれを支払う必要があります。」

しかし、主要な出版社は、新しい取引を成立させる方法として監査の脅威も利用していると、企業がOracleライセンスの問題を管理するのを支援するPalisadeComplianceの共同創設者であるCraigGuarenteは述べています。

Guarenteは、15年以上にわたり、Oracleの契約およびビジネス慣行のグローバルVPを務めてきました。彼は、オラクルの営業チームは長年、「ABC:監査-掘り出し物-クローズ」と呼ばれる「グレンガリーグレンロス」に触発されたマントラを持っていたと言います。

「あなたは誰かを監査し、いくつかの問題を見つけ、彼らの心にいくつかの恐れを置き、そしてそこに大きな数を投げます」と彼は言います。「それから、あなたは彼らがあなたに購入して欲しい他の何かについて取引を成立させます。最近を除いて、私はそれを「監査バーゲンクラウド」と呼んでいます。クラウド取引を投入すると、突然、監査の問題がすべて解消されます。」

特にオラクルは、積極的なソフトウェアライセンス慣行を求められています。クリアライセンスキャンペーンによる2014年10月のオラクルの顧客調査では、オラクルとの顧客関係は「敵対的であり、根深い不信に満ちている」と結論付けられました。

2015年10月、キャンディー会社のMars Inc.は、「虚偽の前提」に基づく「範囲外」のライセンス施行で同社を非難し、Oracleに対して訴訟を起こしました。訴訟は昨年12月に取り下げられました。和解の条件は発表されていません。

昨年2月の英国の技術ニュースサイトV3とのインタビューで、SpecsaversのグローバルCIOであるPhil Pavittは、ソフトウェアライセンスに関するオラクルの「頭の痛い方法論」を非難しました。

(Oracleはコメントの要求を拒否しました。)

交渉ツールとして監査を使用しているのは、オラクルだけではありません。この話について連絡を受けた顧客は、他の出版社からの同様の圧力を確認しました。

しかし、長期的には、この積極的なアプローチは単に敵意を生むだけだとIDCのKonaryは言います。営業担当者が営業を推進する方法として監査を使用している場合、それは通常、悪い営業担当者がいることを意味します、と彼女は言います。それでも、四半期ごとの割り当てを作成するというプレッシャーにより、割り当てをより積極的にすることができます。

「営業マネージャーは、顧客との関係を壊す可能性があるため、ソフトウェア監査を好みません。しかし、多くの場合、販売ノルマと、達成する必要のある一定の金額もあります。少しずれがあります。」

地平線上の雲

より多くの企業がサービスとしてのソフトウェアに移行するにつれて、ソフトウェアのライセンスと管理の方法を理論的に簡素化する必要があります。しかし、短期的にはその逆が当てはまります。ハイブリッドクラウドとオンプレミス環境で運用すると、すべてがより複雑になります。たとえば、ライセンスの影響を考慮せずに、IT部門が必要に応じてクラウドで新しいサービスを起動するのは非常に簡単です、とFlexeraの製品管理担当副社長であるEdRossiは言います。

「クラウドを導入すると、多くの複雑さも導入されます」と彼は言います。「クライアントがそれを利用するにつれて、彼らは彼らが権利を与えられているよりも多くのソフトウェアを使用する立場に置かれます。その理由で監査が徐々に増加していると思います。」

Konary氏は、クラウドに移行するだけで監査がトリガーされる場合があると述べています。

「オンプレミスソフトウェアを使用して、それを独自のデータセンターのクラウド環境に移動すると、ライセンスの問題が発生する可能性が非常に高くなります」とKonary氏は言います。「これは非常に動的な環境であるため、実際に使用しているものを追跡し、ライセンス要件を遵守することがはるかに困難になります。」

パブリッククラウドサービスを使用することで、ライセンスの問題が少なくなると彼女は付け加えています。ユーザーがパスワードを共有していない限り、誰が何を使用しているかを測定するのは比較的簡単です。

クラウドへの依存度が高まるもう1つの理由は、監査の増加を伴うことです。オンプレミスソフトウェアから数十億ドルを稼いだ企業は、可能な限り多くの収益を上げようとしています、とグループプレジデントのロビンプロヒットは言います。 BMCのエンタープライズソリューション組織の

「大企業からの監査が増えているのがわかります」とPurohit氏は言います。「これらは、サービスとしてのソフトウェアへの移行に対して最も脆弱なものです。ライセンスの増加はリスクにさらされているため、クラウドとSAASポートフォリオを構築する際に顧客からの収益を維持しようとしています。」

彼らのツール、彼らのルール

多くのベンダーが、ライセンスコンプライアンスの問題を把握するのを支援することを提案します。それをしないでください、パリセードのグアレンテに助言します。

「それは私が「ステルス監査」と呼ぶものに変わる可能性があります」と彼は言います。「ベンダーは、顧客がコンプライアンスの問題を理解するのを「支援」することを提案していますが、それは実際には偽装した監査です。」

彼は、あるクライアントがOracleの保守およびサポート契約に年間40,000ドル近くを費やしており、支出を削減する方法を見つけるのを手伝ってくれるように依頼したと言います。彼らは喜んで同意した。数か月後、彼は100万ドル以上のコンプライアンス法案を受け取りました。パリセーズが持ち込まれたのはその時です。

多くの場合、ベンダーは顧客に特定のツールを使用して使用状況を追跡するように要求しますが、それについて顧客に通知するのに必ずしも良い仕事をしているとは限りません、とソフトウェアの解決を専門とする会社であるScott&Scott、LLPのプリンシパルである弁護士RobScottは述べています。紛争を監査します。

「私たちが目にする最大のホラーストーリーの1つは、IBMとその仮想化ルールを取り巻くものです」とScott氏は言います。「IBMによると、仮想サーバーソフトウェアを展開できるのは、独自の検出ツールも展開する場合のみです。これは、ほとんどの顧客が初めて監査されたときにのみ学習します。」

その後、IBMがやって来て、これらの仮想サーバーはサブキャパシティーのライセンスを取得していると言いますが、ディスカバリー・ツールをデプロイしなかったため、フルキャパシティーの義務があるとスコットは付け加えます。

「私は、その問題が私たちのクライアントベースだけで数億ドルの補正料金を占めるのを見てきました」とスコットは言います。「それは難解に聞こえますが、それは世界中で起こっています。」

IBMの広報担当者は、連絡を受けたときに、クライアントが「サブキャパシティーライセンス」を追跡するために無料の監視ツールを使用することを要求していることを確認しました。彼女はメールで次のように書いています。

当社のソフトウェア契約は、サブキャパシティライセンスを利用するための要件について非常に明確です。これは、10年以上にわたってそのようなすべての契約の一部となっています。さらに、クライアントがサブキャパシティーのライセンス供与の機会とプロトコルに精通していることを確認するために、積極的にクライアントに連絡します。

棚はどこ?

監査により、使用していないソフトウェアにお金を払っていることが明らかになる場合もあります。しかし、ソフトウェア発行者があなたにそう言うことを期待しないでください。

「ベンダーが顧客のところに来て、 『ねえ、あなたは私たちと一緒にお金を使いすぎた』と言っているという話はあまり聞きません」とコナリーは認めます。一方、ほとんどのベンダーは、顧客が真実を明らかにする必要があるとかなり確信していない限り、監査を開始しないと彼女は付け加えています。

Konary氏によると、企業はユーザーに対して間違った種類のライセンスを購入している可能性があります。たとえば、より安価なセルフサービスライセンスで購入できる場合は、開発者のライセンスなどです。

「必要以上に高価な階層がある可能性があります。それをダウングレードするオプションはありますか?このシェルフウェアの発見の多くは、お客様が開始する必要があります。」

ソフトウェア資産管理ツールの実装は役立つ可能性がありますが、企業はコンプライアンスに関するプロセスを変更し、複雑さに対処する方法を人々にトレーニングする必要もあります、と彼女は付け加えます。

ほとんどの場合、ソフトウェア発行者は、企業顧客との良好な関係を維持したいと考えています。しかし、彼らはまた、できるだけ多くのお金を稼ぎたいと思っています。そして、それはパートナーシップを限界点まで緊張させる可能性があります。

「パブリッシャーには、顧客が消費しているソフトウェアの代金を支払う権利があることを覚えておくことが非常に重要です。最善の防御策は、良い攻撃です。適切な管理ツールを身に付けて、コンプライアンスに違反している場合でも、それを認識し、自分の条件で何かを実行できるようにします。」