ITILv3に基づいて実践する「ITサービス・マネジメント」

プロセス・ベースのIT全般統制を実現

（2007年12月04日）

ITILv3で明確化された
CMSの運用に必要な機能

　ITサービス・マネジメントにて重要と言われる4P（プロセス、プロダクト、ピープル、パートナー）の中のプロダクトに焦点を当てると、ITILv3ではスコープの大幅な拡張が行われていることがわかる。

　ITILv2ではCMDB（構成管理DB）の定義がなされているが、記述・要件が曖昧であったため、何をもって正しいCMDBとするかの解釈が分かれ、各ソフトウェア・ベンダーからさまざまな切り口、範囲を持ったCMDBが提供されている状態だ。

　今回、ITILv3では、そうした不毛な議論に終止符を打つべく、CMS（構成管理システム）というITILを活用したシステムの運用を行ううえで必要なツールの機能を網羅した概念を提唱している（図2）。これにより、自社にとって今、必要なプロセスは何で、CMSのどの機能が必要かということが即座に把握可能となる。その結果、プロセスとプロダクトが整合し、ITサービス・マネジメントの最適化が実現されるようになる。

図2：構成管理システム（濃い緑色部分は、NRIによる加筆）

＊資料：NRI（ITILv3を基に作成）

　なお、ITILv3のリリースに伴い、資格試験体系にも変更が加えられた。ITILv2のITILファウンデーション、ITILプラクティショナ、ITILマネジャーの3段階から、ITILファウンデーション、ITILディプロマ、アドバンスド・ディプロマの3段階へと変更された（図3）。

図3：ITILv3のリリースに伴って変更された資格試験体系

　2007年9月現在、日本国内でのITILv2のファウンデーション取得者は2万人強存在しているが、ITILv3の新試験が導入されてもITILv2の資格は有効なのでご安心いただきたい。少なくとも2008年一杯までITILv2とITILv3の試験は並行運用されるため、状況を見極めながらの資格取得をお勧めする。

不正アクセスへの対策が
IT全般統制の真の目的ではない

　現在、非常に多くの会社のIS部門が、日本版SOX法対策としてIT全般統制への対応の準備を行っている。IT全般統制における予防的統制および発見的統制の両統制において、4Pで言うところのプロダクト、セキュリティ関連のソフトウェアや、ストレージなどのハードウェアを実装することでの対応を行っている場合がほとんどである。

　例えば、発見的統制を目的に本番環境のアクセス・ログを取得し、保存可能なソフトウェアやハードウェアを導入すると、確かに本番環境への不正アクセスの有無の把握が出来るようになる。もしくはアクセス管理ソフトウェアやアイデンティティ管理ソフトウェアを導入し、アクセスの制御やアイデンティティ情報の一元化を行うことでも、不正アクセスの防止に役立つ。

　しかし、IT全般統制の真の目的は「システムが正しく運用されること」であり、不正アクセスがあったか、防止できたかどうかは結果でしかない。4Pで言うところのプロセス、セキュリティ管理およびアクセス管理などのプロセスが導入／標準化されていなければ、セキュリティやアイデンティティ設定も担当者により設定内容が違うなどのリスクが常に存在し、“真の目的”は実現されない。

ITILを活用したプロセス設計で
IT全般統制を実現する

　そこでお勧めするのが、ITILを活用したプロセス・ベースのIT全般統制である。プロセスをゼロから設計することの大変さは計り知れない。だからこそベスト・プラクティスであるITILを参照／活用しながらプロセス設計を行うべきである。

　例えば、ITILv3のサービス・オペレーションに書かれている「アクセス管理」プロセスを参照／活用してプロセス設計を行うことで、自分たちでは気づくことができなかった“ヌケモレ”や“ダブり”を防ぐことができ、自分たちに最適化されたプロセスの導入が可能となる。

　さらに、CMSなどのプロセスに準拠し、自動化を実現するソフトウェアを導入することで、プロセスを伴ったプロダクトによる自動化が実現し、カイゼンを伴ったIT全般統制が可能になる。以下に、いくつか例を記載する。

・不正アクセスのログを残すソフトウェアやハードウェアだけではなく、承認されたアカウントと時間のみ本番環境へのアクセスを可能にするプロダクトの導入（図4）

図4：承認時のみ本番環境へのアクセスを可能にするプロダクトの導入

・システムに対する変更要求申請から承認までをワークフローで管理し、承認された変更要求のみがリリースされたことを確認するための構成情報の差分を把握するプロダクトの導入（図5）。

図5：構成情報の差分を把握するプロダクトの導入

・インシデント対応のヌケモレを防ぐために、サービス・デスクへの問い合わせに加え、監視ソフトウェアからのアラートを余計な重複なく、適切に管理するプロダクトの導入（図6）。

図6：インシデント対応のヌケモレを防ぐためのプロダクトの導入

　日本版SOX法の施行まで残された時間は少ないが、出来合いのソフトウェアやハードウェアを導入するだけのその場しのぎの「受身のIT全般統制」で終わるべきではない。受身のIT全般統制の結果、不完全な対応によりリスクは残り続け、さらなるシステム運用保守費用の上昇を招き、業務負荷増による組織、スタッフの疲弊をもたらすことになる。

　ゆえに、今こそ発想を転換し、日本版SOX法対策という一種の“ピンチ”をシステム運用管理における永年の課題であるコストの削減やサービス・レベルの向上を含めて実現する、システム運用保守改革のチャンスととらえるべきである。そして、それらの実現に向けて、ITILのプロセスやITILに準拠した製品を活用した、自動化を伴ったプロセス・ベースによる「攻めのIT全般統制」を目指すべきと考える。

（月刊Computerworld 2007年12月号に掲載）

前のページへ < ｜1｜2｜