/

ISO/IEC 19770-2:2015 情報技術— IT資産管理—パート2:ソフトウェア識別タグ | ページ 3

※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。

序章

概要

情報技術 (IT) 資産管理 (ITAM) の規格の ISO/IEC 19770 ファミリの国際規格は、ソフトウェア、ハードウェア、および関連する IT 資産を管理するためのプロセスとテクノロジの両方に対応しています。 IT は今日の世界のほとんどすべての活動にとって不可欠な要素であるため、これらの標準はすべての IT に緊密に統合する必要があります。たとえば、ソフトウェア識別 (SWID) タグには、財務中心またはコンプライアンス中心の ITAM プロセスの範囲外の他の管理機能を支援する機能があります。テクノロジーの観点から見ると、情報構造の ITAM 標準は、ソフトウェア管理データのデータ相互運用性を提供するだけでなく、ソフトウェア管理におけるより効果的なセキュリティなど、多くの関連する利点の基礎も提供します。情報構造の ITAM 標準は、ソフトウェアの認証の改善や脆弱性情報を特定するための自動リンクなど、IT 機能の大幅な自動化も容易にします。

ISO/IEC 19770 のこの部分の目的

ISO/IEC 19770 のこの部分は、ソフトウェア識別タグの国際標準を提供します。ソフトウェア識別タグは、新しい自動管理機能をサポートするソフトウェア製品に関するソフトウェア識別情報を含む標準化されたデータ構造です。ソフトウェア識別タグ構造で提供される製品情報は、多くの場合、XML データ ファイルで提供されますが、同じ SWID タグ製品情報は、管理されているコンピューティング デバイスに応じて他の手段でアクセスできる場合があります。

SWID タグは、SWID タグ プロデューサー、たとえば、ソフトウェアを開発および配布するソフトウェア作成者、またはツールやサービス プロバイダーによって作成されます。 SWID タグ データは、SWID タグ コンシューマーによって利用されます。たとえば、ライセンス コンプライアンス、ソフトウェア セキュリティ、ロジスティクス オペレーションなどのさまざまな目的でコンピューティング デバイスから情報を収集する検出ツールまたはサービスです。信頼できる詳細なソフトウェア識別情報を提供すると、ソフトウェアの管理コストが削減され、セキュリティ、コンプライアンス、およびロジスティクスの分野における IT プロセスの大幅な自動化がサポートされます。

ISO/IEC 19770 のこの部分は、ソフトウェア識別タグを使用して IT プロセスの自動化を促進し、これらのタグを使用するアプリケーションのために、セキュリティ、コンプライアンス、およびロジスティクスの自動化を目的として開発されました。 ISO/IEC 19770 のこの部分には、人間の理解を促進する情報 (エディションや口語的なバージョン名など) が含まれていますが、スペシャリストやゼネラリストに組み込まれた自動化された機能を使用せずに、ソフトウェア識別タグを作成、管理、および使用することを期待するのは非現実的です。ツール。このような機能が、専門的な商用製品、オープンソース タイプの製品、またはプラットフォーム自体によってどの程度提供されるかは、時間の経過に伴う市場の発展に依存します。

ISO/IEC 19770 のこの部分は、ISO/IEC 19770-1 で定義されているソフトウェア資産管理プロセスをサポートしています。 ISO/IEC 19770 のこの部分は、ソフトウェア エンタイトルメント スキーマの国際標準を提供する ISO/IEC 19770-3 と連携するように設計されています。

ソフトウェア識別タグは、ソフトウェアの作成、ライセンス供与、配布、リリース、インストール、および継続的な管理に関与するすべての利害関係者に役立ちます。ソフトウェア識別タグに関連する主な利点は次のとおりです。

  • a)ライセンス、セキュリティ、ロジスティクス、または依存関係の仕様など、あらゆる目的で管理する必要があるソフトウェア製品を一貫して正式に識別する機能。ソフトウェア識別タグは、他のソフトウェア識別技術よりも正確な識別をサポートするために必要なメタデータを提供します。
  • b)個々のソフトウェア製品と同じ方法でソフトウェア製品のグループまたはスイートを識別し、ソフトウェア製品のグループまたはスイート全体を個々の製品と同じ柔軟性で管理できるようにする機能。
  • c)インストールされたソフトウェアを、パッチのインストール、構成の問題、またはその他の脆弱性などの他の情報と自動的に関連付ける機能。
  • d)異なるソフトウェア作成者間、異なるソフトウェア プラットフォーム間、異なる IT 管理ツール間、ソフトウェア作成者組織内、および SWID タグの作成者と SWID タグの消費者間のソフトウェア情報の相互運用性を促進する。
  • e) ISO/IEC 19770-3 で指定されているように、ソフトウェア識別タグとソフトウェア資格スキーマの両方からの情報を使用して、ライセンス準拠への自動化されたアプローチを促進します。
  • f)製品の構造フットプリントの包括的な情報構造を提供する。たとえば、ファイルのソフトウェア コンポーネントのリスト、およびファイルが変更されているかどうかを識別するために、製品に関連付けられたシステム設定。
  • g)ソフトウェア作成者、ソフトウェアライセンサー、パッケージャー、ソフトウェア消費者の外部のディストリビューター、およびソフトウェア消費者内のさまざまなエンティティを含む、製品のインストールと管理に関連するさまざまなエンティティを識別する包括的な情報構造を提供します。 -ベースに行きます。
  • h)ソフトウェア識別タグを作成する組織によるデジタル署名のオプションの使用を通じて、情報が信頼できるものであり、悪意を持って改ざんされていないことを検証する機能。
  • i)元のソフトウェア作成者以外のエンティティ (独立したプロバイダーや社内の担当者など) が、レガシー ソフトウェアのソフトウェア識別タグを作成する機会、およびソフトウェア識別タグ自体を提供しないソフトウェア作成者からのソフトウェアのソフトウェア識別タグを作成する機会。

ISO/IEC 19770 のこの部分は、次の条項と付属文書に分かれています。

  • 条項 1 は範囲を定義します。
  • 箇条 2 では、引用規格について説明します。
  • 箇条 3 では、ISO/IEC 19770 のこの部分で使用される用語、定義、および略語について説明します。
  • 箇条 4 は適合性を定義します。
  • 第 5 条は、相互運用性のガイダンスを提供します。
  • 箇条 6 では、ソフトウェア識別タグ付けプロセスの実装について説明します。
  • 第 7 条には、プラットフォームの実装要件とガイダンスが含まれています。
  • 箇条 8 では、タグの要素について説明します。
  • 附属書 A には、SWID タグ スキーマの変更が必要な理由に関する情報が含まれています。
  • 付録 B には、タグの XML スキーマ ドキュメントが含まれています。
  • 附属書 C は、SWID タグ スキーマの UML 図を提供します。
  • 附属書 D は、サンプル タグを提供します。

Introduction

Overview

International Standards in the ISO/IEC 19770 family of standards for Information Technology (IT) asset management (ITAM) address both the processes and technology for managing software, hardware, and related IT assets. Because IT is an essential enabler for almost all activity in today’s world, these standards must integrate tightly into all of IT. For example, software identification (SWID) tags have the capacity to assist in other management functions outside the scope of financial-focused or compliance-focused ITAM processes. From a technology perspective, ITAM standards for information structures provide not only the data interoperability of software management data, but also provide the basis for many related benefits such as more effective security in the management of software. ITAM standards for information structures also facilitate significant automation of IT functionality, such as improved authentication of software and automated linking to identify vulnerability information for more automated exposure identification and mitigation.

Purpose of this part of ISO/IEC 19770

This part of ISO/IEC 19770 provides an International Standard for software identification tags. The software identification tag is a standardized data structure containing software identification information about a software product that supports new and automated management functions. Product information provided in the software identification tag structure will often be provided in an XML data file, but the same SWID tag product information may be accessible through other means depending on the computing device being managed.

SWID tags are created by a SWID tag producer, for example a software creator who develops and distributes software or a tool and/or service provider. SWID tag data is utilized by SWID tag consumers, for example a discovery tool or service that collects information from a computing device for a variety of purposes such as license compliance, software security, or logistics operations. Providing authoritative and detailed software identification information makes the management of software less expensive and provides support for significantly more automation for IT processes in the security, compliance, and logistics areas.

This part of ISO/IEC 19770 has been developed to facilitate automation of IT processes through the use of software identification tags and for applications which use those tags, for the purposes of security, compliance, and logistics automation. This part of ISO/IEC 19770 includes information which facilitates human intelligibility (such as edition and colloquial version name), but it is unrealistic to expect to create, manage, and use software identification tags without the use of automated capabilities built into specialist or generalist tools. The extent to which such capabilities are provided by specialist commercial products, open-source-type products, or platforms themselves, will depend on market developments over time.

This part of ISO/IEC 19770 supports software asset management processes as defined in ISO/IEC 19770-1. This part of ISO/IEC 19770 is also designed to work together with ISO/IEC 19770-3 which will provide an International Standard for software entitlement schema.

Software identification tags will benefit all stakeholders involved in the creation, licensing, distribution, releasing, installation, and on-going management of software. Key benefits associated with software identification tags include the following.

  • a) The ability to consistently and authoritatively identify software products that need to be managed for any purpose, such as for licensing, security, logistics, or for the specification of dependencies. Software identification tags provide the meta-data necessary to support more accurate identification than other software identification techniques.
  • b) The ability to identify groups or suites of software products in the same way as individual software products, enabling entire groups or suites of software products to be managed with the same flexibility as individual products.
  • c) The ability to automatically relate installed software with other information such as patch installations, configuration issues, or other vulnerabilities.
  • d) Facilitate interoperability of software information between different software creators, different software platforms, different IT management tools, and within software creator organizations, as well as between SWID tag producers and SWID tag consumers.
  • e) Facilitate automated approaches to license compliance, using information both from the software identification tag and from the software entitlement schema as specified in ISO/IEC 19770-3.
  • f) Provide a comprehensive information structure of the structural footprint of products, for example the list of software components of files and system settings associated with a product to identify if files have been modified.
  • g) Provide a comprehensive information structure that identifies different entities, including software creators, software licensors, packagers, distributors external to the software consumer, as well as various entities within the software consumer, associated with the installation and management of the product on an on-going basis.
  • h) Through the optional use of digital signatures by organizations creating software identification tags, the ability to validate that information is authoritative and has not been maliciously tampered with.
  • i) The opportunity for entities other than original software creators (e.g. independent providers or in-house personnel) to create software identification tags for legacy software, and for software from software creators who do not provide software identification tags themselves.

This part of ISO/IEC 19770 is divided into the following clauses and annexes:

  • Clause 1 defines the scope;
  • Clause 2 describes the normative references;
  • Clause 3 describes the terms, definitions, and abbreviated terms used in this part of ISO/IEC 19770;
  • Clause 4 defines conformance;
  • Clause 5 provides interoperability guidance;
  • Clause 6 describes the implementation of software identification tagging processes;
  • Clause 7 contains platform implementation requirements and guidance;
  • Clause 8 describes the elements of the tag;
  • Annex A contains information on why the changes to the SWID tag schema are necessary;
  • Annex B contains the XML schema document for the tag;
  • Annex C provides a UML diagram of the SWID tag schema;
  • Annex D provides sample tags.

ISO PDF プレビュー