Oracle E-Business Suite(EBS)監査が増えている‐パッケージ製品の落とし穴　Part3

EBS監査の現状　―なぜ“意図しない違反”が後を絶たないのか

オラクルによるライセンス監査は、企業がライセンス契約に準拠してソフトウェアを利用しているかを検証し、万一違反が確認された場合には、是正措置を求めることを目的に実施されます。 このライセンス監査が、非常に高い確率で違反を指摘していることをご存じでしょうか？ オラクル自身は違反件数を公表していませんが、ライセンス業界の推計では、監査対象企業の8割以上が何らかの違反を指摘されていると言われています。さらに、その是正措置に伴う支出額が数億～数百億円になることも、決して珍しくありません。

なぜ、これほどまでに高い確率で違反が指摘され、巨額の是正費用が発生するのでしょうか？それは、オラクルが監査対象企業を“無作為”に選んでいるわけではないからです。実際には、契約逸脱のリスクが高いとみなされる企業を、オラクル独自のリスクシグナルに基づいて戦略的に選定しています。その代表的なターゲットの一つが、まさに「オンプレミスのEBSを利用している企業」なのです。EBSは柔軟性が高く、自由度の高いERPであるがゆえに、“意図せぬライセンス違反”が発生しやすい製品特性を持ちます。つまり、ユーザーにとっては業務に応じて柔軟に使えるメリットがある一方で、アクセス経路や利用状況は明確に記録されているため、オラクルにとっては“違反の痕跡を見つけやすい仕組み”とも言えるのです。

EBS12.1とEBS12.2に迫る“選択のリミット”　‐「延命」ではなく「再設計」の視点を

オラクルは、オンプレ版のEBS12.1に対するMarket-Driven Supportを2025年末に終了すると発表しています。それを受けて、多くの企業が「それならEBS12.2にアップグレードしておけば、2036年までは安泰だろう」と判断しているのが現状です。しかし、その判断は果たして10年先を見据えた意思決定と言えるでしょうか？

2021年にSpinnaker SupportとOATUG（Oracle Application ＆Technology Users Group）が実施した調査（回答者は計496名、約半数がマネジメント層以上、対象は多産業）では、回答者のうち、53％がすでにEBS12.２へ移行済みであり、残る47％の多くも「今後１～３年以内にアップグレードを予定」と回答しました。あの調査から4年が経過した今、日本企業では次のような課題が浮き彫りになっています：

• EBSを導入してから10年以上が経過し、当時の開発・導入担当者はすでに社内に存在していない。そのため、システムのバージョンアップやクラウド移行に着手したくても、当時の設計思想やカスタマイズの背景がわからず、適切な判断材料が揃わないまま対応が滞っている。
• 日々のEBS運用・保守を外部ベンダーに委託しており、社内では情報やナレッジがブラックボックス化している。
• セキュリティパッチの適用やバージョンアップが後手に回っており、既知の脆弱性が長期間にわたり放置されている。

こうした状況下で、企業は今後10年をどのように乗り越えていくべきでしょうか？ オンプレ版EBSの継続利用を否定するものではありません。しかし、オラクル製品に関する契約条件やライセンスルールの変化を十分に把握しないままオンプレ版EBSを使い続けることは、知らず知らずのうちに“静かに進行するライセンスリスク”を抱え続けることにもつながりかねません。オラクルから監査通知が来る前に、もしくはオラクル営業から調査依頼が来る前に、自社のライセンス契約と利用実態にギャップがないか、初期構成の誤りや、意図しないオプションの有効化が放置されていないか確認することをお勧めします。

IT資産ツールの落とし穴　‐「大丈夫」の思い込みが企業を追い込む

前章で触れたとおり、EBSの利用実態を正確に把握し、ライセンス契約との整合性を可視化することはライセンスリスク対策として大変有益です。しかし、これらが不十分なまま、オラクルへシステム構成情報やログを提供してしまうケースが後を絶ちません。私たちがご相談を受ける中で、企業のご担当者様からよく伺うのがこの言葉です。「IT資産管理ツールを導入しているので、そこから出力した情報をそのまま提供すれば問題ないと思っていました」 このような誤解が、ライセンスリスクを想定以上に拡大させる原因となります。 現在、日本国内で広く使われているIT資産管理ツールの多くは、次のような目的で設計されています：

• セキュリティパッチの適用状況確認
• サポート終了ソフトウェアの検知
• インベントリ管理やライフサイクルの把握
• 内部統制や監査対応の支援

つまり、これらのツールは「ライセンス契約の遵守状況を正確に検証すること」を目的としているものではありません。もちろん、ライセンス監査機能を一定程度備えた製品も存在しますが、それはごく一部の企業が導入しているに過ぎず、すべての契約条件や使用実態に対応できるものではありません。結果として、企業は「大丈夫だと思っていた情報」をオラクルに提供し、後から交渉ができない状況に追い込まれてしまうのです。

EBS監査は突然やってくるー棚卸のベストタイミングは「今」

Part2で違反事例を紹介した通り、EBSのライセンス違反は決して意図して起きるわけではなく、気づかないうちに発生しています。しかし、どのような理由であれ、ライセンス違反が発覚すれば、巨額の是正費用が発生し、経営判断に大きな影響を及ぼします。にもかかわらず、多くの企業ではソフトウェアライセンスが“ITのコスト”として扱われ、後回しにされがちです。本来、ソフトウェアライセンス戦略は、「将来のIT戦略を支えるための先行投資」であるべきです。監査通知が届く前に、貴社が行うべきことは何か。

経営陣とIT部門は今すぐ以下のアクションを始めることをおすすめします。

1. EBSライセンスの棚卸
2. ライセンスリスクの可視化
3. 次の10年を生きるIT戦略の構想

Oracle EBSは、企業の中核を担う重要なシステムです。その信頼がある日突然“想定外のリスク”に変わってしまう前に、今こそ備えを見直すタイミングかもしれません。 私たちは、EBSライセンスに精通した立場として、貴社が何を把握すべきか、どう備えるべきかをご支援しています。「まずは状況を整理したい」―そんな段階から、是非ご相談ください。

※本記事の内容は、公開日時点での情報に基づいて作成されています。 製品仕様、ライセンス条件、サポートポリシー等は、今後オラクル社の方針変更により予告なく変更される可能性があります。実際の対応や判断にあたっては、必ず最新の公式情報をご確認いただくか、専門家にご相談ください。