「運用管理者が主役になる」 ITサービスマネジメント時代の到来を告げる ITILとISO 20000

　個人情報保護法や日本版SOX法など、さまざまな法制度の整備が進む昨今、日本でもIT統制が“必須”という意識が高まりつつある。ところが、一方ではビジネスがITシステムに要求する機能は増え続け、ますます高度で複雑化する傾向にある。そのため、適切なITシステムのコントロールが難しくなっている。

　そうした中、企業の情報システム部門やITサービス提供事業者などITシステムの運用にかかわる人たちの間で、ITIL（アイティル）への関心が高まっている。昨年末にはITILをベースとしたITサービスマネジメントの国際規格「ISO/IEC 20000」が制定され、その認証登録制度もスタートした。ITILとITサービスマネジメントの動向を見てみよう。

運用管理のベストプラクティス − ITIL

　ITIL（Information Technology Infrastructure Library）の歴史は意外に長い。1980年代の後半、英国政府機関がITシステムの運用に関するさまざまな問題を解決するために、ITに関連する運用プロセスのベストプラクティスとしてまとめたものがITILである。日本語訳はITIL推進組織であるitSMF Japanから発行されている。

　ITILの中核は、サービスサポートとサービスデリバリーである。このうちサービスサポートには、「インシデント管理」「サービスデスク」「変更管理」「リリース管理」「構成管理」などのプロセスに関する記述が含まれ、組織体制や対応についてのガイドラインが示されている。一方サービスデリバリーには、「サービスレベル管理」「キャパシティ管理」「可用性管理」「継続性管理」「IT財務管理」などが含まれ、中長期的なITサービスの運用計画を行ううえでのガイドラインとなっている。

ビーエスアイジャパン株式会社　営業部 営業マネージャー　鎌苅隆志氏

　日本国内で第三者認証機関としてISO 20000の認証を行っているBSIジャパンの鎌苅氏は、ITILについて次のように語る。

　「ITシステムは『動いて当然』と思われているので、障害などによってサービスが停止すると、一斉に利用者から責められます。常にこのようなプレッシャーにさらされているにもかかわらず、多くの企業では新しいシステムの構築ほどには運用に高い関心を持っていません。しかし、実際には情報システム部門の運用担当者は、サービス品質の維持や向上を継続しなければならないのです。そろそろ、このような『システムを作って終わり』という“箱売り主義”からは脱却して、真剣に運用について考える必要があります。ITILは非常に成功例の多い運用のベストプラクティスです。これから20年、30年という長期にわたる運用を視野にいれて考えることができるガイドラインなのです」

　鎌苅氏が語るように、ITILがいま注目されるようになった背景には、ITシステムの担当者が、常に安定した稼働とITサービス提供に加えて、ビジネスニーズの変化への迅速な対応、コスト削減などのプレッシャーが強くなっていることが挙げられる。そのため、ITシステムに関連するプロセスを改善して、適切にマネジメントするというアプローチを指向し始め、そのグローバルスタンダードともいえるITILに注目が集まっているのである。

重要性を増す運用管理プロセス

　今日、企業のビジネスプロセスの多くはITに依存しており、ITシステムにはますます高い可用性が求められる傾向にある。しかし、これまでITはブラックボックス化してしまい、サービスレベルを維持するために必要なコストや、IT投資の妥当性を証明することが困難であった。そこで、ITILによってITシステム全体を可視化（見える化）することで、これらの問題を解決する方法が注目されている。

　ITシステムの運用にかかわる問題の多くは、運用管理プロセスがあいまいなままに管理業務が実施されていることに起因している。システム障害に対応するプロセスもあいまいで、「とりあえず」の対症療法ばかりになりがちだ。障害対応を含めた運用のプロセスが明確に規定されているかどうかによって、その後の対応に大きな差が生じる。

　また、必要とされるサービスレベルを維持するために、ITシステムの運用にどれだけのコストが必要なのかをきちんと把握・説明できている企業は少ない。そのため、IT運用部門・会社は経営者からはどうしてこんなにコストがかかるのかと指摘されることも多い。あるいは非計画的なコスト削減で、運用現場の対応力が落ちて利用者からの要求に迅速に対応できなかったり、逆に現場にムリな作業を強いてさまざまな軋轢を生んだりといった問題が発生している。

　そうした諸問題に対して、例えばITILの可用性管理やサービスレベル管理、あるいはそれに関連するさまざまなガイドラインでは、あらかじめ設定したビジネス要件をITシステムが満たしているかをチェックし、継続的な改善を図るというやり方を示している。つまり、ビジネスの視点からITが実現しなければならないサービスと、そのレベルを定義することが、ITサービスマネジメントの第1歩だ。

　最近ではビジネス環境の変化する速度が増していることから、ITシステムに対する変更要求も頻繁に発生する。こうした変更の際のプロセスをあいまいにしたまま、場当たり的な変更を行った場合、既存のITサービスにネガティブインパクトを及ぼす可能性を高めることになる。ITILでは、ITシステムを変更する場合のインパクトを事前に評価し、その結果を検討したうえで正規の承認を得て変更を実施するというプロセスを推奨している。

　鎌苅氏はビジネスサイドがIT部門に対して要望することの重要性について、次のように語っている。

　「ITサービスのマネジメントは、画一的なものではありません。企業ごとにITサービスにおけるリスクは異なります。リスクが少ない、またはしっかりコントロールされているITサービスに関しては、必要最低限の管理でもいいでしょう。それを知るには、自分たちにとって本当にリスクの高いITサービスは何か、そのITサービスはどの程度のレベルで維持されなければならないかをアセスメントしなければなりません。しかもビジネスがITに要求するサービスは常に変化するものですから、継続的に行うことが重要です」

　ビジネスがITに要求するサービスレベルが明確になれば、それに必要なコストも明らかになる。「コスト（IT投資）が高すぎる」と思えば、サービスレベルを下げることに同意するか否かという形で利用者側は意志決定を行うことができる。SLA（サービスレベルアグリーメント）という視点での管理が徹底できれば、利用する側と提供する側の両者がハッピーになるのである。

必要なITサービスとそのサービスレベルの決定が重要

　昨年末に国際規格となったISO 20000は、BS 15000の後を継ぐITサービスマネジメントに関するスタンダードである。事実上、ITILをベースに作られたもので、ISO 20000の要求事項の多くはITILに影響を受けている。

　鎌苅氏によればISO 20000がITILと違う点は「トップマネジメントの参画」があることだという。すなわち、ITILに規定された11のプロセスのどこを参考にして改善活動を行ってもよいが、ISO 20000では全体最適の視点から実施するプロセス、しないプロセスを定め、そのサイクルを実施するマネジメントシステムを構築するというアプローチになる。

　この全体最適の視点というのは、当然のことながらビジネス上のニーズを満たすものということになる。IT部門が技術先行で考えると「サーバの稼働」「ネットワークの速度」というレベルの管理になりがちだ。こうした“点”の管理を“線”につなげて、ビジネスの継続に必要なレベルのITサービスを維持・提供するという考え方が必要だ。

　鎌苅氏は「世の中では、まずツールありきといった考え方も多いようです。ツールは大切ですが、その前に自社のビジネスニーズがどのようなものであり、それを実現するためのマネジメントシステムがどういうものであるかが分からなければ、適切なツールを導入することはできません。冷たい言い方かもしれませんが、どんなマネジメントシステムが必要なのかは、自分たちのビジネスをよく検討して、自分たちで決めなければなりません」と語る。

　企業のITシステムはその会社のビジネスを支えるためのものであって、そのニーズを満たすものでなければならない。そのニーズをどういうレベルに設定し、それを計測するための指標や数値をどのように設定するか、そしてそれを継続的に管理するマネジメントシステムをどのように構築するか、それこそが最も大切なことであり、ITILもISO 20000もそれらを支援するものに過ぎないのである。

個別最適から全体最適のマネジメントへ

　ITマネジメントに関しては運用管理の合理化だけでなく、日本版SOX法などの法規制の面からも要求がある。鎌苅氏は次のように語る。

　「あるお客さまにITILによるITの全般統制を提案したところ、いますぐ経営層の承認を取るから、必ず達成できると約束してくれと言われたことがあります。もちろんその場でお約束することはできませんでしたが、それほど現場は切羽詰っているといえるでしょう。一刻も早いITサービスに関するマネジメントシステムの導入が必要とされているのです」

　日本版SOX法では、財務諸表の作成プロセスに不正がないことを評価・開示することが求められる。そのプロセスにITが使われている以上、IT統制自体が強く求められるのは必然だ。今後、IT運用を適正に行っていることの証明が重要な経営課題になる。特に日本版SOX法の対象になる企業にとっては、すでにカウントダウンに入っているといえるだろう。

　日本版SOX法対応に向けて、一般企業でもISO 20000の認証取得をするところも出てくるだろう。あるいは認証取得までいかなくとも、ITILを参考にしてITサービスマネジメント体制を整備することは多くの企業で急務となりそうだ。

　こうした全体最適のマネジメントシステムの導入は、実装レベルのIT管理にも関係してくる。これまでの運用管理ツールの多くは、システムの各要素──サーバやネットワークなどごとに監視・管理を行うものだった。それに対してITサービスマネジメントでは、ビジネスの各プロセスで必要とされる「サービス」がきちんと提供されているかという視点でとらえる。つまりこれからの運用管理では、システムの個別要素、サービス、そして全体最適のマネジメントシステムという、それぞれのレベルの管理が相互連携できることが不可欠になるだろう。

　次回は、ITサービスマネジメント体制を構築した後のステップとして、これから必要なIT運用管理ツールについて見ていこう。

富士通では、「ITILに基づくプロセス指向の運用管理実践」をご紹介するセミナー (無料)を開催している。今すぐに申し込みを！   Systemwalker V13.1特集はこちら！

アプリケーションサーバと運用管理ツールの新しい選び方を富士通が提案