いよいよ本連載の最終回である。今回は、IT業務全般を分類してITサービスのベストプラクティスを体系化した「ITIL」と、情報セキュリティのフレームワークに基づいて、ガバナンス向上の考え方を解説する。

IBM ビジネスコンサルティング サービス

ITILによる運用プロセスの改善

 ITILは、英国政府調達庁(OGC)が、IT業務全般を七つの領域に分けて定義したITサービスのベストプラクティスです。机上の方法論とは異なり、実証されたアプローチや考え方が体系化されているため、多くの企業がITILを運用改善のリファレンスとして活用しています。

 ITILの価値は、ITサービスの品質を継続的に高め、長期的なコスト削減を実現することによって、ITのビジネスへの貢献を明らかにしていくことにあります。

 COBITと比較した場合のITILの利点は、具体的な実装に近い部分の資産が豊富に存在することです。ITILでは、導入に当たって適用すべき考え方やプロセスに関する具体的な記述が含まれています。さらに、市場におけるデファクトスタンダードとして認知されているため、ベンダーによる導入支援やツールなどの付加価値サービスが豊富にあります。例えば、IBMでは、システム運用管理業務の自動化を実現する「ITサービス・マネジメント・ソリューション」を提供しています(図9)。ITサービス・マネジメント・ソリューションは、ITILをベースにCOBITやCMMIなどとの整合性を高めた独自のプロセスモデル「PRM-IT(プロセス・リファレンス・モデル・フォーIT)」と、各プロセスを自動化するソフト「プロセス・マネージャー」、各プロセスで参照・更新される構成情報の格納場所である「CCMDB(チェンジ&コンフィグレーション・マネジメント・データベース)」から構成されています。このソリューションによって、従来から自動化が進んでいたシステムの運転や監視といった領域だけではなく、IT全般統制で議論になる変更管理やアクセスコントロールなどの運用管理業務まで含めたシステム化が可能になります。

図9●IBM ITサービス・マネジメント・ソリューション
図9●IBM ITサービス・マネジメント・ソリューション

 中長期的な視点からは、こうしたソリューションの適用によって、IT全般統制の統制レベルの向上と効率化を実現していくことが、運用・テスト時の負荷やコスト最適化の観点からも重要な検討課題であると考えられます。

情報セキュリティー・フレームワークに基づくガバナンスの向上

 情報セキュリティーは、組織にとっての重要な情報資産を守るための仕組みであり、情報管理や情報システム管理、情報基盤整備を含めた対策の総称ともいえます。ただやみくもに、個々の情報セキュリティー対策を組み合わせたとしても網羅性や効率性を確保した対策とはいえません。情報セキュリティー対策の最初のステップは、網羅性を持った現状把握とリスクの洗い出しであり、これは情報セキュリティー対策の成否に大きな影響を与えます。

 リスクの抽出を網羅的に実施するためには、情報セキュリティーのフレームワークを活用することが効果的です。フレームワークとしては、情報セキュリティー対策の国際標準であるISO/IEC27001が一般的です。これは、情報セキュリティーマネジメントシステムとして有名なBS7799-2:2002や日本情報処理開発協会が運営するISMS適合性評価制度のISMS認証基準(バージョン二・〇)をベースに国際規格として発行されています。ISO/IEC27001は、多角的・包括的視点から情報セキュリティー対策のベストプラクティスを網羅したもので、管理分野として一一の領域があり、その下に三九の管理目的、一三三の詳細管理策が定義されています。管理目的では何の情報セキュリティーを維持・向上するのかという目的が定義され、詳細管理策では管理目的に対応したセキュリティー要求事項が定義されています。

図10●情報セキュリティーマネジメントプロセスの国際標準(ISO/IEC27001)
図10●情報セキュリティーマネジメントプロセスの国際標準(ISO/IEC27001)
[画像のクリックで拡大表示]

 内部統制やITガバナンスの整備の中で、ツールによる自動化は強力な統制と評価されます。いわゆる人手の処理の場合、例えば手順が一つであっても、システムごとに異なるオペレーションをしている場合は、その作業が正しいことを、そのシステムごとにテストする必要があります。また、監査証跡をきちんと残すために、正確な変更履歴などを残すことなどはかなりの負荷になります。これを支援ツールによって自動化や一元化した場合、この内部統制の有効性を証明するコストを劇的に削減することが可能になります。

 ただし、ソリューション製品やITコンポーネントが、すべてのセキュリティー要件を満たすわけではありません。どのような手段を使おうとも、必ず残存リスクが発生します。残存リスクに対しても、それを保有するか、人的運用などの手段でリスクを低減するか、あるいは業務を見直すなどでリスクを回避するか、といったスタンスを決めたうえで、対策を考える必要があります。そのうえで、継続的にリスクを評価し、リスクの大きさに応じた対応策を打つ必要があります。こうしたリスク・マネジメントを確立することがセキュリティー・ガバナンスを確立するうえで最も重要なことです。

まとめ

 本連載では、IT全般統制の定義や領域、IT全般統制を整備するためのプロジェクトアプローチ、さらには、リスク管理中心のIT全般統制から、リターンの最大化を目指すITガバナンスについて解説してきました。この中で、IT全般統制は、業務処理統制を支えるインフラとして位置づけられることがご理解いただけたと思います。インフラには堅牢さも求められますが、環境の変化に柔軟である必要もあります。そのためには、システム開発、変更、運用、アクセス管理など、情報システム部門の当たり前の業務を、環境の変化の中で絶え間なく改善を行い、当たり前に実行していく実行力が求められます。

 一方、これからの情報システム部門は、単にしっかりとシステム開発や運用を実施していればよいということではありません。例えば、前述したプログラム開発における統制目標として以下がありました。s

開発方法論の中に、セキュリティーや可用性、完全性などの要件を定義するための手法があること。
業務処理統制が設計段階で考慮されるような仕組みが盛り込まれていること。

 これらが示唆するのは、「業務部門の要件通りにシステムを開発すればよい」ということではなく、業務要件の中に内部統制の要素が考慮されているかについて、ITのプロとしての立場から、情報システム部門が積極的に関与すべきである、ということです。企業内の業務を組織横断的に見ることができるという点で、情報システム部門は特別な価値を持った存在です。情報システム部門にとって内部統制の確立のため、あるいは経営のために、さらなる貢献が期待される時代が到来したといえるのではないでしようか。

IBM ビジネスコンサルティング サービス
フィナンシャル マネジメント/アプリケーション イノベーション
【著者紹介】
中澤 進(なかざわ すすむ) 取締役 パートナー
海上 和幸(かいじょう かずゆき) アソシエイト・パートナー/公認会計士
後藤 智彰(ごとう ともあき) マネージング・コンサルタント
松尾 美枝(まつお みえ) マネージング・コンサルタント
原 隆也(はら たかや) マネージング・コンサルタント
黒川 敏幸(くろかわ としゆき) アソシエート・パートナー
大田 敬三(おおた けいぞう) マネージング・コンサルタント
渡部 直人(わたべ なおと) マネージング・コンサルタント
菊永 孝彦(きくなが たかひこ) ビジネス・アソシエイツ
深澤 義行(ふかさわ よしゆき) マネージング・コンサルタント

出典:「プロジェクト現場から見た内部統制~実務者が語る日本版SOX法対策」(IBM ビジネスコンサルティング サービス著,日経情報ストラテジー編集,日経BP社刊)より(詳細情報はこちら