経済産業省は2018年4月中にも、情報システムの管理や監査の項目をまとめた文書「システム監査基準」と「システム管理基準」の新版を公表する。監査基準、管理基準とも2004年10月の改訂以来、13年半ぶりの改訂となる。
「今回の改訂は全面刷新に近い」と、検討会の座長を務めた中央大学の遠山曉 名誉教授は話す。特にシステム管理基準は、「世界的なITガバナンスの強化の流れを踏まえて、ITガバナンスに関連する記載を増やした」ほか、アジャイル開発やクラウド活用といった「最近の企業システム開発や技術の進化を踏まえた改訂になっている」(同)という。
記載内容の見直しに加え、システム監査基準、管理規準とも記載内容を詳細化した。「これまでは監査人や情報システムを導入する企業が考慮すべき項目のみを並べていた。新版では項目に対する解釈や、実務で実施すべき項目なども掲載している」と遠山 名誉教授は説明する。その結果、システム監査基準はA4版で4ページの文書だったが今回の改訂で約30ページに、システム管理基準は12ページが110ページ超になった。
最新のシステム開発動向を踏まえたり、実務で行うべき項目まで記載されたりしたことで、システム監査に詳しくない情報システム部門の担当者やITエンジニアにとって「以前によりも、実務で使いやすくなっている」と遠山 名誉教授は話す。
システム監査基準は、監査時に順守すべき事項や実施が望ましい事項をシステム監査人向けにまとめた文書。システム管理基準は、システム監査人に加えて情報システムを導入するユーザー企業に向けて、情報システムを管理するうえで実施すべき事項をまとめた文書だ。
アジャイル開発で最低限押さえるべき事項を記載
システム管理基準のITガバナンスに関する記述の強化では、「国際的なITガバナンスの規格との整合性を採るための見直しを行った」と経済産業省 商務情報政策局 サイバーセキュリティ課は説明する。
ITガバナンスの国際規格「ISO/IEC 38500」や、米ISACA(情報システムコントロール協会)と米ITGI(ITガバナンス協会)が策定しているフレームワーク「COBIT」などを踏まえた、ITガバナンスに関する記述を大幅に増やした。
これまでの管理基準ではITガバナンスに関して「ITガバナンスの方針を明確にすること」との記載しかなかった。これに対し新版では、ITガバナンスの定義や原則など2ページ程度を割いて説明したうえで、20ページ弱にわたって「ITガバナンス」を実現するうえで必要な情報戦略の方針設定や情報システム部門の役割について実施すべき事項を解説している。
システム開発の手法や技術の進化も踏まえて、新たな項目も追加した。その1つがアジャイル開発に関する記載だ。「ウォーターフォール型の開発をこれまで中心としてきた組織が、新たにアジャイル開発に取り組む際に考慮すべき基本的事項をまとめた」と遠山 名誉教授は話す。
アジャイル開発に関しては、大項目として(1)アジャイル開発の概要、(2)アジャイル開発に関係する人材の役割、(3)アジャイル開発のプロセスの3項目を用意。それぞれについて、2~5の詳細項目を設けて、「アジャイル開発を取り入れるうえで、システム管理の観点から最低限押さえておくべき実施事項を記載した」(遠山 名誉教授)。クラウド活用についても同様の方針で、「外部サービス管理」などの項目で記載を追加している。
