〜正しいシステム運用管理から始める企業価値向上への道〜 企業の内部統制への対応を支援する 「JP1 V8.1」

2006年6月に成立した「金融商品取引法」により、2008年4月1日以後に開始する事業年度から、上場企業を対象に内部統制報告書を提出する義務が課されることになった。いわゆる「日本版SOX法」である。日立製作所はこれに合わせ、企業の内部統制を支援する機能を強化した統合システム運用管理「JP1 V8.1」を2007年3月15日にリリースした。

　いよいよ2008年4月以降の会計年度から、上場企業を対象にした「日本版SOX法」がスタートする。「業務の有効性や効率性の向上」「財務報告の信頼性の担保」「法令順守」「資産の保全」という4つを目的とした内部統制を実施し、それを内部統制報告書として提出することを義務付けるものだ。

　従来、内部統制は財務会計の分野で語られていたものだが、いまではITを含めた企業のビジネスプロセス全般にわたる広範囲が対象となっている。こうしたことから、ハードウェアやソフトウェアといったIT資産レベルでの最適化を目指すのではなく、ビジネスプロセスやサービスといった“ビジネスレベル”をベースにしたシステムの可視化や全体最適化が求められるようになった。

　こうした状況を背景にして2006年6月に登場したのが、日立製作所の統合システム運用管理「JP1 Version 8（以下V8）」だ。SOA（サービス指向アーキテクチャ）をベースにしたシステムへの対応強化、コンプライアンス強化に向けたクライアント環境の統制機能やセキュリティ機能の追加などにより、企業の内部統制強化をサポート。2007年3月には内部統制支援やビジネスレベルでの運用支援機能などを強化した「JP1 V8.1（以下V8.1）」をリリースした。

　ここからは、JP1がどのように変ぼうを遂げたのかについて、V8.1で強化された機能を中心に解説する。

　JP1はシステム運用管理製品の集合体で、大きく以下の4つのコンセプトカテゴリーに分けて提供されている。

●モニタリング
　サービスやシステムの稼働状況を業務の視点で一元管理する「統合管理」、OSやアプリケーション、インターネットサービスの稼働性能を常時監視する「アベイラビリティ管理」で構成。

●オートメーション
　ポリシーベースのシステム運用や業務の自動化によって、計画的にシステムや業務を動かす役割を担い、WindowsやUNIX、Linux、メインフレームなどマルチプラットフォームに対応。さらには、ERPやSOA環境を含む幅広いシステム全体をワンシステムイメージで統制する「ジョブ管理」で構成。

●ITコンプライアンス
　セキュリティポリシーや法令、規則に基づく内部統制を支援する製品群。ハードウェアやソフトウェアなどのIT資産を一元管理する「資産・配布管理」、情報漏えいを防ぐ「セキュリティ管理」で構成。

●ファウンデーション
　システムの基盤であるネットワークやストレージ、サーバなどを効率的に管理する製品群。「ネットワーク管理」「ストレージ管理」「サーバ管理」で構成。

　今回登場したV8.1では、内部統制支援機能として「正しく運用されているかの証明」と「正しく運用させるための統制」を支援する2つの製品が新たにラインアップされた。業務システムの運用実績を記録・管理する監査証跡管理製品「JP1/NETM/Audit - Manager（以下JP1/NETM/Audit）」と、ITIL（IT Infrastructure Library）サービスデスクによる運用管理サポートとIT運用プロセスの統制強化を支援する「JP1/Integrated Management - Service Support（以下JP1/IM - SS）」だ。コンセプトカテゴリーで見ると、JP1/NETM/AuditはITコンプライアンス関連製品、JP1/IM - SSはモニタリング関連製品という位置付けになる。

図1　JP1 V8.1の主な内部統制強化のエンハンス内容

　日本版SOX法の施行によって、上場企業は事業年度ごとに内部統制報告書の提出が義務付けられる。冒頭で紹介した4つの目的に向けて「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング（監視活動）」「IT（情報技術）への対応」という6つの基本的要素に関する構築・運用内容を評価するもので、公認会計士や監査法人の監査証明を受ける必要がある。

　このような活動の中でシステム運用の観点から証明を支援するのがJP1/NETM/Auditだ。業務システムの運用ログなどといった運用実績や状況を示す情報を監査証跡として収集・蓄積・管理する製品である。V8では、クライアントPCを中心とした操作ログの記録機能を提供していたが、V8.1では対象範囲を業務システムへと広げ、運用記録の収集から保管、バックアップやその後の監査の対応支援まで、一連の管理基盤を提供する。監査時には、ログによって「いつ」「誰が」「どの権限で」「どこから」「何をした」という証跡記録を提示できる。なお、ログは発生期間や発生場所、製品名や事象カテゴリで絞り込んだり、集計したりもできる。

　また、業務運用に関するJP1各製品の運用ログを監査用に拡張する機能も提供する。すでにJP1を利用しているユーザーであれば、JP1/NETM/Auditを導入するだけで内部統制監査に向けた運用ログを定期的に収集することが可能となるのだ。

図2　監査証跡管理の提供（画像をクリックすると拡大します）

　例えば、ジョブスケジューラ「JP1/Automatic Job Management System 2（以下JP1/AJS2）」の場合、ジョブの最終更新日時や更新手段、更新内容などの業務変更履歴やジョブの実行登録・取り消し、ジョブの強制終了などといった業務運用の変更履歴を監査ログとして保存できる。

図3　業務の変更履歴を監査ログに出力（画像をクリックすると拡大します）

　また、ソフトウェアの配布やIT資産情報の管理、クライアント操作ログの一元管理やクライアントのリモート操作を行う「JP1/NETM/DM」においても、ソフトウェアのパッケージングやキャビネットから削除されたパッケージ、再実行されたジョブ、実行されたジョブといった配布の操作履歴を監査ログとして保存する機能を提供する。

　情報システムの運用プロセスを統制するためには、ユーザーとシステムを結ぶサービスデスクを一本化し、正しい手続きで作業が進められているかどうかを一元的に把握することがポイントとなる。そこで、V8.1で新たに追加されたのが運用管理のベストプラクティスであるITILをベースにしたサービスデスク製品「JP1/IM - SS」だ。

　ITILでは、問い合わせやクレーム、不具合などの「インシデント管理」から不具合の原因を特定する「問題管理」、システムの変更要求を管理する「変更管理」、システムの新規導入や変更の実施を管理する「リリース管理」などの運用プロセスを定義している。JP1/IM - SSは、これらのITIL運用プロセスに基づいて、運用オペレーションに関する作業の発生、作業実行への承認、実施状況の監視および作業内容の記録、作業履歴の管理などの運用状況を画面上で一元的に把握できる。

図4　ITILサービスデスク製品によるサービスサポートのイメージ（画像をクリックすると拡大します） *1 RFC：Request for Change (変更要求） *2 CAB：Change Advisory Board (変更諮問委員会） *3 CMDB：Configuration Management Database （構成管理データベース）

図5　ITILサービスデスク製品「JP1/IM - SS」のITプロセス管理画面

　また、日立製作所がこれまで蓄積してきた「製品やサポートの案件管理ノウハウ」を基にした作業管理テンプレート（運用にあわせてカスタマイズも可能）も用意している。これを活用することで、ITILサービスデスクの早期導入を実現できる。さらに、監査証跡管理製品JP1/NETM/Auditとの連携により、運用プロセスに沿ったシステム処理や運用オペレーションの実行履歴の記録も可能となる。

　もちろん既存のJP1製品との連携も容易に行える。統合管理製品「JP1/Integrated Management」で検知した複数のイベントを重要度や影響システム名、障害製品名、障害部位などを含めた「インシデント」として自動的に登録。また、作業記録の詳細画面から資産・配布管理製品「JP1/NETM/Asset Information Manager」で管理されている管理対象サーバの情報も参照できるのだ。

　ビジネスレベルでのシステム管理をさらに強固なものにするため、V8.1ではシステム運用の「見える化」を実現する機能が強化されている。

　サーバやアプリケーションの稼働性能管理をWebベースで実現する「JP1/Performance Management」は、異なるエージェントや異なる監視項目の相関関係を分析することで「いつからシステムの状態が変化したのか」「そのときの要因は何か」といった問題要因の分析を可能にする。例えば、CPU利用率とサービス応答速度との重ね合わせによる相関関係の分析や、CPU利用率の現状とベースラインの比較評価などを容易に行うことができる。

図6　重ね合わせ表示とベースライン比較の例

　ジョブスケジューラJP1/AJS2では、基準となるジョブの先行・後続のアイコンを強調表示できる。そのため、複雑なジョブネット（実行順序を付けたジョブの集まり）でも、異常終了時の後続への影響確認や、再実行操作などで関連するジョブの確認、定義誤りの確認などを容易に行うことができる。

　ソフトウェアの配布管理やIT資産管理などを行うJP1/NETM/DMでは、指定したファイルが「どこからコピー／移動されたか」「どこへコピー／移動されたか」をGUIで追跡できる。このため個人情報の流出や不正コピーなどが発生した場合には、原因となった操作を追跡できる。

　これまで紹介してきたようにJP1は、ネットワークやストレージ、サーバといったシステム基盤の管理からクライアントへのソフトウェア配布管理まで幅広くサポートする統合システム運用管理製品だ。企業のトータルソリューションとして導入するのはもちろんのこと「業務の自動化」や「PC資産の管理」といったポイントソリューションとして導入することも可能だ。

　導入開始まで1年を切った「日本版SOX法」。内部統制の義務化は企業にとって大きな負担になるが、業務の見直しをベースにビジネスを再構築し、企業価値を高めていく手段として大いに役立つ側面もある。内部統制強化を支援する機能から導入し、順次システムを拡張していくことも可能なJP1は、企業のシステム担当者にとって大きな手助けになるに違いない。

　ここで、内部統制を支える運用管理ツール選択のポイントを示す（図7）。

図7　内部統制を支える運用管理ツール選択のポイント

　「日本版SOX法対応のために行う」という大変さだけが先行してしまいがちな内部統制のイメージだが、この機を“チャンス”ととらえ、前向きに取り組むことで「企業競争力の向上」「企業価値の向上」など、多くのメリットを得ることができるのだ（図8）。

図8　内部統制を行うことで多くのメリットが得られる

◆アンケート実施中◆

本記事にて紹介した「JP1 V8.1」に関するアンケートにご協力ください。 (対応ブラウザ：Microsoft Internet Explorer)