PR

太田 敬三
Keizoh Ohta
IBM ビジネスコンサルティング サービス
EA & ガバナンス コンサルティング
シニア・コンサルタント

「日本版企業改革法」(日本版SOX法)が求める「ITへの対応」は、システムの開発から運用まで広範囲にわたる。中でも、日常運用におけるガバナンスの巧拙は内部統制全体の有効性に大きな影響を与える。「ITIL(ITインフラストラクチャ・ライブラリ)」などのフレームワークを活用したサービス・マネジメントの確立が有効だ。

 2005年12月に公表された「財務報告に係る内部統制の評価及び監査の基準案」は、「ITへの対応」を、「IT環境への対応」と「ITの利用及び統制」の二つの要素に分けている。しかし、システムの企画・開発・運用といった現場の業務において、ユーザー企業が取り組むべき具体的な事項には言及していない。今回は、運用の側面から必要な取り組みについて解説する。

運用はCOBITとITILの組み合わせで

 「ITへの対応」は、内部統制の構成要素が有効に機能していることの保証を求める。そのため、開発や運用といったIT実務において適切に対応できなければならない。運用業務における適切な対応とは、利用者の要求を満たせる高い品質を持つITサービスを、効率的かつ継続的に維持・提供することである。

 こうした要求は、運用管理のベストプラクティスとして英国政府調達庁(OGC)が体系化した「ITIL(ITインフラストラクチャ・ライブラリ)」が規定する「ITサービス・マネジメント」の考え方に通じるものがある。

 ITILは、IT業務全般を七つの領域に分けて定義する。机上の方法論とは異なり、実証されたアプローチや考え方が体系化されているため、多くの企業がITILを運用改善のリファレンスとして活用している。

 本連載では、日本版企業改革法への備えとして、その代表的フレームワーク「COBIT(Control Objective for Information and Related Technology)」を紹介してきた。COBITはIT業務全般を幅広くカバーし、IT業務において達成すべき“what”を示している。

 これに対しITILは、運用領域における具体的な“how”を示す。ITILを推進するitSMF(ITサービス・マネジメント・フォーラム)およびOGCと、COBITを推進するITGI(ITガバナンス協会)は、共同でAligning COBIT、ITIL and ISO17799 for Business Benefitというガイドブックを発行し、その関連性と対応を説明している(図1)。

継続的なサービス提供が問われる


図1●ITILとCOBITのプロセス・マッピング
Aligning COBIT、ITIL and ISO17799 for Business Benefit(ITGI、OGC、itSMF)を基に作成
[画像のクリックで拡大表示]

 ITILの価値は、ITサービスの品質を継続的に高め、長期的なコスト削減を実現することによって、ITのビジネスへの貢献を明らかにしていくことにある。では、ITILを参照して運用業務を改善していくことは、企業改革法が求める内部統制と、どのように関係しているのだろうか。

 米国の企業改革法の実施基準である「PCAOB(上場会社監視審議会)監査基準第2号」は、IT全般統制として、(1)プログラム開発、(2)プログラム変更、(3)コンピュータ運用、(4)プログラム/データへのアクセス、の4項目を例示している。ここから運用業務との関連を見ていくと、内部統制における次の三つの要件が挙がってくる。
要件1:システムに対する故意または過失による不正な変更により、システムが正しく機能しない、あるいは結果の信頼性を損なうことを未然に防ぐこと
要件2:障害、災害などによるシステム停止やそれに伴う業務への影響を最小限にすること
要件3:プログラムやデータへの不正なアクセスによる改ざんなどを未然に防ぐこと

 これらの要件から、ITILの中でも特に着目すべきは、「サービス・サポート(SS)」と「サービス・デリバリ(SD)」として定義されている領域だ。各要件とSS、SDのプロセスを関連付けると、内部統制の観点から重要なプロセスは次の八つになる。

●要件1への対応

(1)変更管理(SS):標準化した方法と手順により、効果的かつ迅速にすべての変更を取り扱うことで、誤った変更や不正な変更を防ぎ、変更に起因する障害発生を最小限にし、サービスの品質を高める
(2)リリース管理(SS):運用部門が開発部門からソフトと関連するハードを引き継ぐ一連のプロセスを定め、本番のサービス環境を保護し、効率的・安定的なサービスを提供する
(3)可用性管理(SD):高可用性を実現する方法を設計、実装し、またその実績を管理することで、システム障害などによる停止を事前防止し、ビジネス要件に基づく可用性レベルを実現する

●要件2への対応

(4)インシデント管理(SS):サービスの中断もしくは品質低下を招くイベント(障害など)が発生した際に、一連の必要な対応を迅速に実施し、通常のサービス運用を回復し、ビジネスへの悪影響を最小限に抑え、サービスの品質と可用性を維持する
(5)問題管理(SS):インシデントの根本原因を突き止め、状況を改善あるいは是正するための処置を講じることで、再発を防ぐとともに、ビジネスに与える悪影響を最小化する
(6)サービス・レベル管理(SD):サービス提供者と利用部門がITサービスに対する品質や納期などのレベルを事前に合意し、その達成を継続的に監視、報告する。サービス・レベルが達成できない場合は、その原因を分析し必要な対策を講じることで、ビジネス・ニーズと整合性が取れたITサービスの品質を維持・改善していく
(7)IT継続性管理(SD):災害発生などの緊急事態が発生した場合に備え、サービスの継続、復旧のための仕組みやプロセス、ルールを定めておくことで、合意した期間内にITサービスの機能を復旧し、ビジネス継続に貢献する

●要件3への対応


図2●ITサービス・マネジメントにおける各プロセスの関係
[画像のクリックで拡大表示]

(8)セキュリティ管理(注1):法規制、ポリシー、SLA(サービス・レベル契約)など組織内外で規定に基づくITサービスに対するセキュリティ・レベルを管理することで、情報資産の保護、完全性の維持、サービスの可用性維持を実現する。内部統制の観点からは、情報やシステムに対するアクセス・コントロール、開発・本番の分離による本番環境の保護などが特に重要である。

 このようにITILの運用プロセスの多くが、企業改革法におけるIT全般統制の要件と関連が深いことが分かる(図2)。

システムでのサポートが不可欠

 しかしながらITILは、COBITと比べれば、より“how”に近い定義を持っているものの、ITILのフレームワークに沿って運用管理プロセスを確立するための具体的な実装手段には触れていない。そのため、多くのITベンダーが、それを補完するプロセスや手順などを体系化している。

 例えば、IBMは独自のアプローチとして、「PRM-IT(Process Reference Model for IT)」というプロセス・モデルを持っている。IBMが蓄積してきた「ITPM(IT Process Model)」の資産を基に、現在のデファクト・スタンダード(事実上の業界標準)であるITILやCOBIT、CMMIなどとの整合性を高めている。

 今日の複雑化したIT環境において、企業改革法が求める要件に基づき、プロセスを厳格に適用していくためには、システム的な支援が不可欠だ。ITILのキー・コンセプトは、継続的なプロセス改善である。ITILを実装する際は、継続的なサポートが必要になる。

 IBMのITサービス・マネジメント・アーキテクチャは、前述のプロセス・モデル体系のPRM-ITと、ITILの各プロセスを自動化するソフト「プロセス・マネージャー」からなっている。これにより、(1)プロセスのカスタマイズ、(2)既存データ(構成情報)の取り込み、(3)外部製品・技術との統合、三つの基本要件をサポートする(図3)。構成管理や変更管理、リリース管理、可用性管理など、ITILの各プロセスで参照・更新する構成情報は、「CMDB(Configuration Management DataBase)」に格納する。

運用プロセス改善の契機に


図3●IBMのITサービス・マネジメント・アーキテクチャ
[画像のクリックで拡大表示]

 運用プロセスの改善そのものは、内部統制以前から大きく変わっていない。運用は元来、IT業務の中でも定型的なプロセスが多いため標準化が早くから進んだ領域であり、金融機関に代表されるメインフレーム・ユーザーでは、これまでも厳格な運用プロセスを確立してきた。

  その一方で、1990年代からのオープン化の流れは、運用における統制の確立を逆戻りさせる結果につながったと言ってよい。オープン系システムに関しては、開発・運用のSOD(権限分離)があいまいなケースや、基本的な変更管理プロセスが未整備のケースが少なくない。日本版企業改革法に対応することは、運用プロセスの改善にIT部門が本格的に取り組む絶好の契機になるはずだ。

 次回は、コンプライアンスとそれを支えるITアーキテクチャについて解説する。

 

次回へ

太田 敬三
Keizoh Ohtae
IBM ビジネスコンサルティング サービス
EA & ガバナンス コンサルティング
シニア・コンサルタント

1985年北海道大学経済学部卒業、同年日本IBM入社。情報システム部門にて、アプリケーション開発に関連する基盤整備、方法論、標準化などを担当。アウトソーシング部門を経て、98年よりIBMのコンサルティング部門に移りITマネージメント・コンサルタントに。2002年のIBMとPwCCの統合により現職。専門分野は、IT部門のプロセス改革、ITガバナンスの構築、アウトソーシング戦略の立案、IS組織再編など