Oracle監査 「やるべきこと」と「やってはいけないこと」

専門家であれば、「監査」という言葉を耳にしたことがあるでしょう。財務監査とは、企業の財務記録が、企業が主張する取引を正確に反映しているかどうかを確認するための検査と評価のことです。監査は、企業が評価されたり、何か間違ったことをしているのではないかと、ある種のストレスやプレッシャーを受け、ネガティブな意味で捉えられてきました。

財務監査と同様に、他にも様々な種類の監査がありますが、今日はソフトウェア監査に焦点を当ててみましょう。 ソフトウェア ライセンス監査とは、購入したソフトウェアライセンスの条件に則って、ソフトウェアを頒布、使用しているかをソフトウェアベンダーが確認することを意味します。コンプライアンスを検証するために、ベンダーはソフトウェアの使用状況、ライセンス数、関連する契約を見ていきます。

各ソフトウェアライセンス契約には、何らかの監査条項が含まれているため、ソフトウェアプログラムを使用している企業は、どこかの時点で監査を受けることが予想されます。監査条項では、監査は年に一度しか行われないとされていることが多いですが、必ずしもそうとは限りません。監査条項以外にも、ソフトウェアベンダーが監査のために対象となる会社を選ぶ状況はたくさんあります。例としては、保守の終了、合併と買収、従業員数の増加、契約満了などが挙げられます。詳細については、当社のブログ「ソフトウェア監査のトリガーは何か？」をご覧ください。一見単純に見えるかもしれませんが、ソフトウェアライセンス監査は非常に深刻で複雑なプロセスです。

Oracle監査

この記事では、一般的には3～4年に1度の頻度で行われるOracle監査の実施についてみていきますが、契約書の監査条項によっては、毎年実施されることもあります。通常は、Oracle License Management Servicesから監査に選ばれたことを知らせるレターが届きます。しかし、監査の際にOracle社が使う用語「Oracle Business review」、「License review」、「Oracle audit」などが出てくると混乱してしまう企業があります。Oracle社がライセンス契約書に含まれる監査条項を参照して正式な監査を開始した場合、「Oracle License Review」を行うために選ばれたことが記載されています。しかし、先に述べた用語はすべて、監査という意味では同じです。これらのレビューでは、Oracle社に頒布および使用に関するデータを提供する必要があり、Oracle社はユーザ側のコンプライアンスの立場を検証することができます。

ここでは、（Oracle）監査プロセスを簡単にナビゲートするために「やるべきこと」と「やってはいけないこと」をご紹介します。監査を一人で乗り越える必要はありません。監査の準備やコンプライアンス分析から、監査中の交渉方法のアドバイスまで、最高の結果を得るために当社がいつでもお手伝いいたします。

Oracle監査中に会社を守るためにすべきこと

Oracle社に協力する

すべてのOracle契約書には、監査の過程で「合理的な協力と情報へのアクセス」を提供することを求める、と記載されています。これを行わないと、対立の原因となったり、（最悪の場合）保守とライセンス契約の解除を余儀なくされたりすることもあります。監査は遅らせることもできますが、スマートな方法で行うことができます。監査を遅らせて、準備を整える時間を確保するのは構いませんが、監査を却下してはいけません。これは、すべてのOracleユーザーが同意した正式な手続きなので、ただ協力すればいいのです。

監査のための社内整理

監査中に協力するための適切なリソースを確保していることを確認してください。内部チームを結成し、アプローチを整えます。例えば、関与する適切な人材を確保し、戦略と戦術的な計画を作成します（クロスファンクショナルオペレーションチームによって実施されます）。そして、監査の正確な範囲、期間、または地域、法人、製品カテゴリ、環境、デバイスの種類、曜日、時間帯などを含むその他の範囲を調べるようにしてください。情報の流れを制御するためのコミュニケーションプロトコルを作成するか、単一の窓口を作成してください。

エンタイトルメントの書類を集めて確認する

手元にあるすべてのOracle文書を集めて、不足している文書のリストを作成します。その後、リスト上のすべての関連する契約のコピーを提供するようOracle社に依頼することができます（例：注文書、OLSA、OMAなど）。これにより、Oracle社が監査権のない製品を監査していないことを確認でき、購入したすべてのライセンスの概要を明確に把握することができます。さらに、契約条件を理解するために、契約書をよりよく見ることができます。

SAMツール、頒布、使用データの確認

監査が始まる前に、内部のデータをすべて確認することが大切です。配備されているソフトウェアがどのように頒布されているか、どのように使用されているか、誰が使用しているかを把握しておきましょう。ほとんどの企業は、（Oracle 認定の）SAMツールを使用していれば安全だと考えていますが、必ずしもそうではありません。ツール以外にも、収集したデータを理解するためのプロセス、適切な人材、知識を持っている必要があります。例えば、SAM ツールはソフトウェアのインベントリやコンプライアンス レポートを作成することができますが、ツールが適用するソフトウェアの割り当てが契約書のメトリック定義と一致していないことがよくあります。

ほとんどの人は、「ライセンス数を数えるのがこんなに大変なのか」と軽く考えてしまいますが、Oracle社が行う監査が開始から完了まで3～6か月かかるのには理由があります。Oracle社のチームは、すべての詳細を調べ、コンプライアンスの立場を検証するために多くの時間とリソースを費やします。当社のアドバイスは、毎年ライセンスを見直すことです。そうすることで、監査レターが届く前に修正、最適化、コンプライアンスをクリアにする機会を確保することができます。

専門家に依頼する

想定外の追加コストが発生することを避けるためには、ライセンス権限の積極的な管理が重要であり、内部監査を実施することでこれを行うことができます。すべては細部にあります。実際のライセンス権限や、実際の頒布とライセンス可能な使用が明確でないと、情報の見落としやリスクが発生する可能性があります。もちろん、監査レターが机の上に置かれる前にこれを行うことをお勧めします。すでに監査レターが届いている場合でも、ライセンスの専門家のアドバイスを受けることで、時間と費用を節約することができます。当社は、専門知識を共有し、プロセスのステップごとにお客様を支援いたします。

Oracle社から受け取った監査報告書を確認する

監査は終われば、後戻りはできません。では、何ができるのでしょうか？監査の最後に、結果を変更するのはもう遅いですが、ここから学び、次回はより良い準備をすることができます。つまり、Oracle社から受け取った監査報告書を確認し、矛盾点を確認し、相違点について説明を求めます。これにより、将来的な予防策を講じることができ、使用状況を最適化することができます。ソフトウェア資産をより良く管理するために、ライセンスの使用状況を毎年社内でレビューするようにしましょう。

Oracle監査で「やってはいけなこと」

自分ひとりで監査を乗り切れると思い込んではいけません

ほとんどの企業は、SAMツールとIT部門があれば、監査を社内で処理するのは簡単だと思っていますが、実際は違います。なぜでしょうか。それは、社内に専門家がいても、Oracle社のソフトウェアライセンスは非常に複雑な分野で、IT部門でカバーすることが難しいからです。特に、多くの文書が関係していることも挙げられます。不要なリスクに身をさらすより、外部の専門家の支援を受けることで、利益を守ることができます。

すべてのデータをOracle社と共有しない

監査レターに回答しても構いませんが、合理的に要求された以上の情報を提供しないようにしましょう。内部でチェックされる前の技術データは共有しないでください。共有されたデータから問題が特定された場合、Oracle社はその問題をコンプライアンス上の問題として提起し、商業的な解決を必要とします。ですから、データを分析して自分の身を守りましょう。 この時点で、Rowデータを分析して解釈し、範囲内のものだけを特定するために、専門家の支援が必要になるかもしれません。

SAM ツールがライセンスを完全に制御できると思わないでください

社内の SAM ツールがライセンスを適切に管理するためのすべての機能を提供してくれると思わないでください。SAMツールは便利ですが、ワンクリックで自動化されたコンプライアンスを提供することはできません。ビジネスによってはマニュアルで特定する作業もでてきます。ですから、コプライアンスを補完するためには知識が必要です。

監査中はOracle社から何も購入しないでください

監査期間中は、（可能であれば）Oracle社からの新規購入を中止し、自社のコンプライアンスギャップの原因とその解消方法を探る必要があります。理想を言えば、これは監査が始まる前に行うべきです。積極的にライセンスの見直しを行い、コンプライアンスをクリアすれば、次回監査を受けたときにOracle社に何も支払う必要はありません。ライセンスのギャップを発見した場合は、監査が始まる前にライセンスを購入しておくと良いでしょう。