pr

アフターJ-SOX元年： 事例から学ぶITILとIT全般統制―― 計画から運用へ

7月11日、野村総合研究所（NRI）によるセミナー「IT全般統制対応実践セミナー」が東京都内で開催された。今年はいわゆる日本版SOX法の運用元年。IT全般統制に取り組む企業の事例も増えているという。

千手事業部 部長　渡辺浩之氏

　NRI千手事業部の渡辺浩之部長は冒頭あいさつに立ち、経済産業省が公表している「システム管理基準 追補版（財務報告に係るIT統制ガイダンス）」について触れ、「変更管理」「運用管理」「アクセス管理等のセキュリティ対策」の3点が重視されていることを強調した。いわゆる日本版SOX法で求められる「ITへの対応」を果たすうえで、特に求められるポイントなのだという。

　「IT全般統制においてやるべきことは、まずこの3点。対応製品としては、Senju Familyの中でも『Senju Service Manager V3.0』が主役です」と渡辺氏は話す。

　また、変更承認ワークフローと変更実績に乖離（かいり）が生じていないかどうか、それぞれのログを照合して確認する新製品「Senju Assessment Reporter」も、変更管理のうえで重要な役割を果たすと紹介した。

		“IT活用力”を高めるために乗り越えるべき2つの壁

　産業ITマネジメントコンサルティング部 主任システムコンサルタント　遠藤正秀氏は、「ITサービスマネジメントの高度化に向けて」と題したセッションを行った。

　NRIが実施している企業の情報化運営に関するアンケート調査（2007年度 IT活用実態調査）では、IT投資効果事後評価の仕組みを十分に確立している企業は、全体のうちわずか10％程度という実態が明らかになったという。また、日本企業は米国企業に比べるとIT投資に対する生産性向上の度合いが低いという調査結果（日本：JCER Database、米国：US DOC,"Fixed Assets Tables"、"GDP by Industry data"より）も紹介された。

　「こうした結果から、日本企業には、ITを使いこなす“IT活用力”の向上が不可欠だといえます。しかし、IT活用力向上のための要件を実現するために、各社にて取り組みを行っているものの、なかなか効果が上がっていないというのが実情ではないでしょうか。このような状況を打破するためには、改善活動の視点を変えるべきだと思います」と遠藤氏は話す。顧客視点でITをとらえることや、ITライフサイクル全体を通じた継続的な評価／改善の取り組みが重要だとした。

産業ITマネジメントコンサルティング部 主任システムコンサルタント　遠藤正秀氏

　「IT活用力向上のためには、改善活動を3つのステップに分けて、段階的に実践するとよいでしょう。まずは顧客にサービスを提供するフェーズである維持／運用業務の改善から着手し（ステップ1）、次にIT部門全体の改善（ステップ2）へと進め、最終的にはユーザー部門を巻き込んだ改善（ステップ3）へと次第に活動範囲を広げていくことが求められます」（遠藤氏）。

　続けて、この3ステップに沿った6つの事例を紹介した。

　例えば、ある金融機関では、トラブル原因分析の視点を変え、技術的な対処にとどまらず、組織のマネジメントやヒトの意識といった面まで深く踏み込んだ分析を行い、改善を進めた。また、ある公益企業では、さまざまなな台帳にてバラバラに管理されていたITサービス構成情報を統合し、構成管理データベースを構築した。この際に、各構成要素間の依存関係を整理し、トラブルやシステム変更時の影響範囲特定、システムや組織単位のコスト集計などを可能にしたという。この2例は、いずれもステップ1に分類され、維持／運用業務の改善を通じてITサービス品質向上を実現したという内容だ。

　ステップ2としては、3つの事例が挙げられた。ある金融機関のシステム子会社では、開発工程のフェーズレビューに運用部門が加わり、開発の段階から運用品質の作りこみを行うことができるようになった。また、ある外資系製造業では個々のシステムごとにハードウェアやミドルウェアが異なり、運用における作業負荷やコスト負担が大きかったが、ITインフラや運用業務をサービスカタログ化し、それに基づいて情報システム部門が運用設計のコンサルティングを行うことで標準化に成功した。もう1つ、グローバル製造業で、ポートフォリオ管理を通じてIT資産活用効果を向上した事例を挙げた。この事例は、ポートフォリオ管理に一般的に用いられる「ビジネス貢献価値」と「維持・運用コスト」のマトリクスに加え、「機能的充足性」と「技術的充足性」のマトリクスを用い、システム改善策を策定している点が特徴的である。

　ステップ3では、グローバルに活動する金融機関の事例が紹介された。ユーザー自身がITサービスの状況や品質をリアルタイムで確認できる仕組みを構築し、ITサービス提供状況に応じて業務の調整や、計画を立てることができるようしたという。

　「残念ながら、日本企業では、多くがステップ1止まりです。先の企業の情報化運営に関するアンケート調査では、ITILの導入予定がない、またはITILを知らないという回答が約8割もありました。ITILとITサービスマネジメントは完全にイコールで結ばれるものではないが、企業のIT活用力向上にITILは大きな役割を果たすものです。ぜひITILに取り組んで、企業のIT活用力向上に貢献できるIT部門になっていただきたい」（遠藤氏）。

		変化に対応する企業、情報システム部門を支えるSenju Family

　「NRIのITILとIT統制の『具体的』事例紹介 〜統制のポイントは細部にあり〜」のセッションでは、システムマネジメント事業本部副主任コンサルタント　應和周一氏が登壇し、3つの事例を通じて「細部にこだわること」の重要性を訴えた。

　IT全般統制を実際の情報システムに適用していくうえでは、しばしば細部に課題が生じるという。

　「『業務フロー』『業務記述書』の指定だけでは、統制にヌケやモレが発生してしまうのです。例えば、『アクセスログを自動取得する』といわれても、/etc/passwdだけでいいのか、ほかにも取得しておかなければいけないのかが分かりません。また、変更要求はどのように記述すればいいのか、インシデントは何をもってクローズといえるのか。こういった詳細まで定義していく必要があるのです」と應和氏は話す。細部が不明りょうなままでは、担当者によって対応が異なってしまう危険があり、統制も無意味になりかねないという。

システムマネジメント事業本部 副主任コンサルタント　應和周一氏

　続いて講演は、具体例の紹介に移る。ここで應和氏は「紹介するのはあくまでも一例であって、あらゆる企業において正解とは限りません。それぞれの事情によって、違ってくるはずです」とくぎを刺した。実際の適用は、各企業の現場で考え、実践して改善を繰り返していかねばならないのだという。

　アクセスログに関して、ある金融系企業では、開発担当者が特権IDを使用していないことを確認できるようにするため、Linuxサーバのログイン情報に加え、特権ユーザーになるための「su」コマンドなどのログも、「Senju Operation Conductor V3.0」を通じて収集することにした。そのうえで、ログを突き合わせるため「Senju Assessment Reporter」を活用、これまで人手で突き合わせを行っていて4〜5人の人員を要していたのが、完全に自動化されたという。

　ある製造業では、変更要求すなわちRFCの起票単位や親子関係を具体的に定義し、RFCのレベルに応じて扱える権限を規定した。こうすると、サブマネージャのレベルで処理できるRFCが明確になるため、効率的な業務遂行が可能になるのだ。なお、この企業では、変更要求やインシデントの関連付けが可能で、承認ワークフローの多重化などもできる「Senju Service Manager V3.0」を利用しているという。

　同じくSenju Service Manager V3.0については、ある通信業でサービス要求の証跡管理に用いている例もある。この会社では申請・承認の管理をメールと添付ファイルで行っていたが、ユーザーへの添付ファイル専用のフィールドを追加し、ユーザーに対してメールを書かずに業務を進められるようにした。「1件あたり40秒の短縮となりました。この例では4名それぞれが1日当たり約30件を処理しており、240営業日あるとすれば年間320時間もの節約を実現したという計算になります」（應和氏）。Senju Service Manager V3.0は画面のフィールドをGUIで簡単に変更できるようになっており、こうした細かな業務改善を現場レベルでも行えるのが特徴だ。この例でも、フィールド追加に要した時間はわずか2〜3分であったという。

　應和氏は、このような仮説検証を繰り返すことが重要だと強調する。

　また應和氏は「この世に生き残る生物は、最も強いものではなく、最も知性の高いものでもなく、最も変化に対応できるものである」というチャールズ・ダーウィンの言葉を引用する。「企業も同様に、変化に対応できるものだけが生き残るといえるでしょう。情報システム部門も、やはり変化に対応していくための活動が欠かせません。Senju Familyも、その変化への対応を支援するために機能を強化していきます」（應和氏）。

		“3つのP”の真の意味に気付かされたITIL導入――三菱商事の例

　ユーザー自身によるセッションとしては、三菱商事　生活産業グループ 情報システム室 IT管理チームリーダー　藤阪誠氏が、「ITILツール活用への道 ;^_^　〜三菱商事におけるITサービスマネジメント適用事例〜」と題した講演を行った。

　生活産業グループは、食料・食品・繊維・資材の4分野を主に扱っている。これらの商品の流通過程では、さまざまな企業がかかわり、EDIをはじめとするさまざまなシステムが使われている。「情報が飛び交うビジネスなのでITは不可欠です。システム障害によるビジネスインパクトは、ますます大きくなっていきます。IT統制によって、リスクをしっかりヘッジしていく必要があるのです。その一環として、『Senju Service Manager』の前のバージョンである『CONTACT CAFE SP』を導入しました」と藤阪氏は述べた。

三菱商事　生活産業グループ 情報システム室 IT管理チームリーダー　藤阪誠氏

　藤阪氏はかつて課題として、情報が分断されていたことを挙げている。例えば、ユーザーからの問い合わせ情報やシステム変更管理情報は、Notesの個別DB上で管理されていたが、相互に関連がなかった。「追っていって探せば分かるが、一連の流れをすぐに見ることができない状態でした。こういった課題を何とか解決したかったのです」（藤阪氏）

　課題解決の道を探っていた藤阪氏らはITILの考え方を知り、それを取り入れることを検討、ITIL対応を謳うベンダ各社に問い合わせ、具体的なツール選定に乗り出した。

　「まず“3つのP”のうち、情報を収集しやすい“Product”からスタートしました。しかし、3つの相互関係については、導入を進めるうちに認識がどんどん変わっていきました」と藤阪氏は話す。

　次に認識したのは“Process”だった。導入のプランニングに着手したころ、「プロセスはどのようにして作っていくべきか」という課題に直面したのだ。これに対しては、IPO（Input-Procedure-Output）の考え方を用い、まず情報の流れを考えていくことをきっかけにプロセスを整理したという。

　続いて情報制御のための“People”の認識を新たにしたという。試用版を導入してテスト環境を構築し、実践しつつ修正を繰り返すスパイラル型で開発を進めた。

　「ITILツールの活用により、情報がアクティブとなり、ステータスを変えながら自ら適切な人のところに動いていくような仕組みであることのイメージを、このあたりで深く体得しました。“3つのP”になぞらえれば、“People”と“Process”が深く結び付き、それを“Product”が支え、それらの間をアクティブなInformation（情報）が巡るという感覚です。ただしその後、全員参加の本番稼働へ向かっていくにつれ、さらに認識が変わってきました」（藤阪氏）

　本番稼働に向けては、取引先や多くのアウトソース先も参加することになる。社内だけで行っていた試用環境とは違った課題に直面。藤阪氏は「その過程で、4つ目の“P”を加えた方が良いのではないかと思うようになりました」と述べる。そのPとは“Partnership”だという。PeopleにはPartnershipが必要であり、自社の考え方に閉じこもるのではなく、企業の枠を越えた情報流通がなくてはITIL導入は成功しないという意味だ。

　結びに、ITILの3Pにさらにもう1つのPを加えた「4つのP」の関連性をバランスよく明確にしつつ展開を図ることが、「ITサービスのマネジメント──いわゆるITSM」を成功に導く、と強調した。

ホワイトペーパー 具体的事例から学ぶITILとIT統制 　NRIが主催しているIT全般統制対応実践セミナーの資料を基に、統制を意識したITサービスマネジメントの高度化を、具体的な事例を交えて紹介する。 　効果的なITIL準拠の運用およびIT統制を行うためには、ITILを活用したITサービスマネジメントの実践とIT全般統制への対応は表裏一体の活動であることを理解し、行動すべきである。

提供：株式会社野村総合研究所
企画：アイティメディア 営業局
制作：＠IT情報マネジメント 編集部
掲載内容有効期限：2008年9月11日