ITILに沿ったIT運用がなされていれば、SOX法に対応できます
ITILは、ITサービスマネジメントにおける業界の「ベストプラクティス集(成功事例)」を文章化したフレームワークで、情報システムを運用するための基準となるべき手順が体系的に整理されています。
ITがあらゆるビジネスプロセスに深く入り込んでいる現在、ITはビジネスとの成功要因としての役割を求められています。また、企業の法令順守や社会的責任を果たすためにも、IT組織の責任と重要度はますます高くなっています。そんな中、業界・業種・会社・組織の違いを超えて通用し、ビジネスの変化にすばやく対応するIT運用を可能にするITILが注目されているのです。
日本国内におけるITILは、いわゆる「2000年問題」や大手金融機関の統合に伴うシステムトラブル、証券取引所の取引停止、個人情報の漏洩などのトラブルが重なり、情報システムの重要性を企業が認識し始めたのを契機として、加速度的に普及するようになりました。内部統制対応におけるIT全般統制の構築においてITILを利用する企業も増えてきています。
導入には工数とコストが要求されますが、手続き作業に万全の対策を施した運用となっているため、忠実に設計・運用・改善を行うと、システム運用全体のコスト削減やサービスレベルの向上に大きく効果が発揮できるとして、ITサービスのレベル管理、コスト管理の切り札として注目されています。
ITILの誕生は、ITサービスに莫大な投資を行っていながら、その投資額に見合った十分なサービスを享受していない、という1980年代のイギリス政府のIT業者への不満に端を発しています。そこで当時のGCTA(商務省:現在のOGC)が、情報システムの運用管理に関する事例を多数調査し、各事例に共通した成功例を40冊程度のドキュメントに取りまとめたのが、ITILの初版(1991年)です。
同年、情報交換の場として「itSMF」という独立したユーザーフォーラムが非営利団体(NPO)として発足し、ITマネジメントの知識の共有・活用する媒介としての活動を積極的に行った結果、現在では世界各国で支部が設立されるまでに至りました。
日本支部である「itSMF Japan」は、日本国内の情報サービス産業大手8社(NTTコミュニケーションズ、日立製作所、富士通、P&Gグループ、プロシード、マイクロソフト)の協力によって設立され、ITサービスマネジメントの普及促進活動を行ったり、会員に対するベストプラクティスの共有の場としての役割を果たしています。普及の一環として教育・認定制度も開始されており、1996年にはオランダの「EXIN」とイギリスの「ISEB」によって、ITILに関する認定試験も開始されました。
ITILの特徴としては、運用管理フェーズにおける全体フレームワークが体系付けられ整理されている点が挙げられます。特定のプロダクトやサービスに依存しないプロセス重視のベストプラクティスとして書籍化されているので、汎用性も高くなっています。
構成管理の徹底
ハードウェア、ネットワーク機器、ソフトウェアのバージョン等のIT資源を常に最新化して管理します。
変更管理プロセスの遵守
変更案件の緊急度・重要度とシステム変更の場合のリスクを勘案し、変更スケジュールを決定する手順をルール化します。
障害管理の手順化
障害を発生時点でのアクシデントととらえ、その対応を管理するインシデント管理と障害発生の要因・原因を探り根本的な解決を図る工程を区別して管理します。
サービスデスクの充実化
ユーザー対応履歴の記録を徹底し、データベース化によりノウハウの蓄積を図ります。
運用業務のベンチマークとしての活用
運用サービス部門としてのサービスメニュー、サービスレベルを明確化し、その業務プロセスを定義します。
費用対効果を重視したキャパシティ管理
ビジネスニーズ、サービスレベル、IT資源の三位一体となった管理を徹底して行います。
ITはビジネス上不可欠となっている反面、運用を誤ると会社にとって重大なリスクにもなりえます。このため、ビジネス戦略を実現させ、なおかつリスクを最小限にするためには、IT運用において「ビジネスとIT双方を理解した人材の育成」、「IT運用業務とプロセスの体系化」、「コストに見合ったIT運用」、「システムの信頼性と可用性の実現」など、様々な取り組みが必要となります。
これらは、本来あるべき姿のIT運用を目指すということです。独自の手法で目指すことも可能ですが、既に多くの企業が取り組み、その有用性が実証されているITILを活用しない理由はありません。本来あるべきIT運用を実現させるためには、ITILの活用が最も効率の用意方法といえるでしょう。
ITIL V3の特徴とV2との相違点
V3(Version-3)の代表的な変更点として、ITサービスのライフサイクルの視点から書籍が再構成され、包括的なマネジメントフレームワークに生まれ変わったことがあげられます。V3は、ビジネスニーズを踏まえたITサービスの戦略策定から運用・廃棄に至るまで、ライフサイクルごとに「サービスストラテジ」、「サービスデザイン」、「サービストランジション」、「サービスオペレーション」、「継続的なサービス改善」の5つの書籍で構成されています。
V2(Version-2)で中心を成していた「サービスサポート」や「サービスデリバリ」の2冊はV3には登場しません。V2の各プロセスが、V3のどの書籍に含まれているのか、最初は戸惑うことと思われます。
V2では、各書籍の相互関係が把握にくく、中心となる前述の2冊以外の書籍が、どうリンクしているのかが分かりづらい状況でした。これを踏まえたV3では、ITサービスの一連のライフサイクルが定義されたことにより、ITサービスマネジメントの全体像を正しく理解できるようになりました。
サービストランジション…サービスデザインにて設計された新規または変更されたITサービスを、中断や移行を原因とした障害などを制御しながら、スムーズに本番環境へ移行・導入するためのガイダンスが記述されています。
従来のITIL V2(Version-2)における変更管理、リリース管理、構成管理などはここに含まれ、さらにサービスの移行・導入にかかわる具体的な工程に合わせてプロセスが再構成されています。
サービスオペレーション…サービスストラテジが描いたITサービスの戦略を具現化し、日常的に優れたオペレーションが実現できるようにするためのガイドラインが記述されています。
従来のITIL V2(Version-2)におけるインシデント管理や問題管理などの要素を中心に、更にプロセスが細分化されました。また、サービスオペレーションの機能として、V2におけるICTインフラストラクチャ管理、アプリケーション管理などの要素が多く含まれました。
継続的なサービス…サービスの設計・導入・オペレーションを通じて、顧客によってよりよい価値を創造および維持していくためのガイダンスを記述しています。ITサービスの品質やパフォーマンスを示す重要業績評価指標(KPI)を設定し、モニタリング、分析、レビュー、是正のサイクルを反復的に実行することで、各ライフサイクルのプロセスの有効性や効率性を継続的に反復していきます。
既に本番環境に導入されたITサービスの改善のみならず、移行・導入前の段階の「サービスストラテジ」や「サービスデザイン」なども対象の範囲としています。
SOX法との関係
内部統制の実施ガイドとなるCOSOフレームワークが前提となってSOX法が制定され、それを遵守するためのITガバナンスの成熟度を測るフレームワークとして、COBITが利用できます。そして、COBITの成熟度を高めるための方法論として、ITILに記述されたベストプラクティスが活用できるのです。
「財務報告に係る内部統制の評価及び監査の基準」に明記されているように、日本版SOX法も内部統制の国際的な枠組みであるCOSOに基づいて草案が作成されていますので、ITガバナンスと、そのコントロールの国際的な枠組みであるCOBIT、そして、それを実現するためのベストプラクティス集であるITILへと流れとしては続くものであり、ITILの実践が、SOX法対応をはじめとするITに関するあらゆるコンプライアンス対策に有効であるといえます。
つまり、日本版SOX法は、その有効性が既に実証され、世界のベストプラクティスとして利用されているITILに沿った運用がなされていれば、問題なく対応できるということがわかります。