ITILとセキュリティの意外な関係

日本HPの佐藤慶浩氏は「HP Software Forum Tokyo 2004」のセッションで、ITIL／ITSMとセキュリティとの関係について語った。

[高橋睦美，ITmedia]

　日本ヒューレット・パッカードは10月7日、都内にて「HP Software Forum Tokyo 2004」を開催した。HP OpenViewをはじめとする同社製品群を通じた、ビジネスの要求に柔軟に応えるITインフラの実現――つまり同社言うところの「アダプティブ・エンタープライズ」構想と、それに不可欠な「サービスレベルの管理」が大きなテーマだ。

　この中のセッション「ITSMで強化される企業セキュリティ統合管理」では、同社個人情報保護対策室の佐藤慶浩氏が登場し、「ITIL（IT Infrastructure Library）」と「セキュリティ」という、一見無関係のように見える2つのキーワードが、実は密接に関わりあうのだということを示した。

　ITILとは、英CCTA（Central Computer & Telecommunications Agency）が開発したITサービス管理の包括的なガイドラインだ。プロセス改善型のアプローチに基づき、企画、開発、提供、維持の各プロセスごとに体系化されており、ITサービス管理のデファクトスタンダードとなっている。

　佐藤氏は、このITILがセキュリティへの取り組みにおいて非常に役立つと述べた。それは、計画の枠外で突発的に対応を求められるというセキュリティの性質に起因している。

　「今使っているITシステムをいつまで使い続けるかについては、自社で決めることができる。しかしセキュリティシステムについては同じことは言えず、外部要因に左右される」（佐藤氏）。現時点で妥当なセキュリティシステムを導入したとしても、新たな脆弱性が発見されれば計画外の見直しを迫られるという具合で、「現在計画している予算編成とは関係なく、突発的に発生する」という性質を備えているわけだ。

　こうした計画外の自体に取り組むに当たって、ITILは非常に役立つというのが佐藤氏の意見だ。

ITILは万能ではなく、成熟度アセスメントについてはCMMやCOBITなどを組み合わせてカバーすべきと述べた佐藤氏

　ITILを企業内に定着させることにより、限られたIT予算を「メンテナンス」という後ろ向きの用途ではなく、イノベーションに向けることができる。この「イノベーションに割く部分がないと革新的な取り組みもできないし、突発的なセキュリティ対策もできない」（佐藤氏）。事実HPでは、2002年にIT予算のうち7〜8割を占めていたメンテナンス向けの予算を全体の半分以下に減らし、代わりにイノベーションに振り向けるという取り組みを進めているという。

　もちろん、インシデント管理や問題管理といった日々の対策の上でも、ITIL、およびITILにHPのノウハウを反映させたリファレンスモデル「HP ITSM」は役に立つという。

　ただ、ITILが万能かというと決してそんなことはない。佐藤氏は講演の中で、ITILの前提として「まずITガバナンスがなくてはならない」ことも強調した。企業としてITガバナンスを実践し、エンタープライズ・アーキテクチャ（EA）を策定することが重要だ。それらを実現していく上での管理指標こそがITILなのであり、ITILという言葉に振り回されるべきではない、というわけだ。

　逆に、明確なITガバナンス――企業としての指針――に基づきITILを導入し、サービスレベルに基づくサービス提供を実践することで、たとえば、セキュリティにも大きく影響を及ぼす「アウトソースするか、インソースでまかなうか」といった決断を迫られた際にも明確に判断を下せるようになるという。