コストとは削減するものではなく、最適化するものだ：今日から学ぶCOBIT（3/3 ページ）

[谷誠之，ITmedia]

• DS6 費用の捕捉と配賦

IT費用をビジネス部門に適正かつ公平に配賦するための体系を実現するには、IT費用を正確に測定し、適正な配賦についてビジネス部門の同意を得る必要がある。このプロセスには、IT費用を捕捉し、サービスを受けるユーザーへ配賦および報告するためのシステムの構築と運用が含まれる。適正な配賦システムを導入することで、ITサービスの利用に関して、ビジネス部門が十分な情報を得た上での決定が可能になる。

（要約）　ITの費用に対して透明性を持たなければならない。そのためには、すべてのIT費用を特定し、適正に配賦しなければならない。費用とは削減するものではなく、最適化するものである。そのためにはビジネス部門が、ITにどれだけの費用がかかっているかということを正確に把握できていなければならない。

• DS7 利用者の教育と研修

IT部門内を含むITシステムの全ユーザーに対して効果的な教育を実施するには、ユーザーグループごとの研修のニーズを特定する必要がある。このプロセスには、ニーズの特定の他に、効果的な研修のための戦略の策定と実施、および結果の測定が含まれる。効果的な研修プログラムにより、ユーザーによるエラーの減少、生産性の向上、および主要コントロール(ユーザーセキュリティ対策など)へのコンプライアンスの強化を実現でき、技術を一層効果的に利用できるようになる。

（要約）　効果的な教育は大変重要である。ビジネスを円滑にまわすために、IT部門のメンバーだけでなく、ITを利用する全従業員がそれぞれ何をどの程度知っている必要があるかを明確にし、適切な方法で教育を施す必要がある。もちろん、教育の効果を測定して将来の教育計画に役立てることを忘れてはならない。

• DS8 サービスデスクとインシデントの管理

ITユーザーの問い合わせや発生した問題に対してタイムリーかつ効果的に対応するには、適切に構成、運用されているサービスデスクとインシデント管理プロセスが必要である。このプロセスには、インシデント登録、インシデントエスカレーション、傾向および根本原因の分析、および問題解決の機能を持つサービスデスクの設置が含まれる。ビジネス上の便益には、ユーザーからの問い合わせに対する迅速な対応による、生産性の向上が含まれる。さらに、効果的な報告を通して、ビジネス部門はユーザー研修の不足といった根本原因の追究に取り組むことができる。

（要約）　インシデントに効果的に対処するためには、すべてのユーザーとIT部門とをつなぐ機能を果たすサービスデスクの存在が必要である。サービスデスクは、発生したインシデントを、SLAに定められている合意した時間内に解決することを目標として活動しなければならない。そのためにはインシデントを機能的に登録し、必要に応じてエスカレーションし、傾向を分析するといったプロセスが必要である。

• DS9 構成管理

ハードウェアとソフトウェアの構成のインテグリティを確保するには、正確かつ網羅された構成管理用リポジトリの作成と保守が必要である。このプロセスには、初期構成情報の収集、ベースラインの設定、構成情報の検証と監査、および必要に応じた構成管理用リポジトリの更新が含まれる。効果的な構成管理により、システムの可用性が向上し、作業上の課題が最小限に抑えられ、課題を速やかに解決できるようになる。

（要約）　組織内にあるハードウェアとソフトウェアを正確に把握するために、構成リポジトリを集中的に管理するためのデータベースを作成しよう。構成リポジトリは作成時のみならず、その後IT資源に変化が生じても常に正確にIT資源の現状を表すようになっていなければならない。また、許可されていないハードウェアやソフトウェアが組織内に存在しないような仕組みも併せて考える必要がある。

• DS10 問題管理

効果的な問題管理を実施するには、問題を特定および分類し、根本原因を分析し、問題を解決する必要がある。問題管理プロセスには、改善のための提案事項の特定、問題の記録保持、および是正措置の状況のレビューも含まれる。効果的な問題管理プロセスにより、サービスレベルの向上、費用削減、および顧客(カスタマー)の利便性と満足度の向上を実現できる。

（要約）　COBITでは、インシデントや問題という用語を明確に定義していないが、これはITILにおける用語と同一のものだと理解しても差し支えない。ITサービスの正常な提供に支障があるとみなされた問題は正しく分類され、影響度や緊急度などが定義され、解決に向けての処理がなされなければならない。そのための組織作りや仕組み作りも大変重要である。さらに、構成管理や変更管理（AIで登場）のプロセスとも密接に統合されている必要がある。

• DS11 データ管理

効果的なデータ管理を実施するには、データ要件を特定する必要がある。データ管理プロセスには、メディアライブラリ、データのバックアップと復元、およびメディアの適切な廃棄に関する管理手続の確立も含まれる。効果的なデータ管理は、ビジネスデータの質、適時性、および可用性の保証に有用である。

（要約）　情報の管理、すなわちデータの管理はITにおける根幹である。データを保管する方法やバックアップの取り方、データを破棄するタイミングやその方法、セキュリティ要件などを明確に定めておく必要がある。

• DS12 物理的環境の管理

コンピュータ機器と要員を保護するには、適切に設計および管理されている物理的施設が必要である。物理的環境を管理するプロセスには、物理的なサイト要件の定義、適切な施設の選定、および環境要因をモニタリングし物理的アクセスを管理するための効果的なプロセスの設計が含まれる。物理的環境を効果的に管理することで、コンピュータ機器と要員にかかわる障害に起因するビジネスの中断が減少する。

（要約）　ITを構成するのは、ハードウェアやソフトウェアだけではない。それらを設置する施設もまた、重要な構成要素である。物理的な設備は、法令や災害などを考慮して適切に準備されなければならない。また、物理的なセキュリティ対策も重要である。どの設備にだれが（物理的に）アクセスできるのか、といったこともきちんと管理しよう。

• DS13 オペレーション管理

データを完全かつ正確に処理するには、データ処理を効果的に管理し、ハードウェアを保守する必要がある。このプロセスには、計画された処理の効果的管理、機密性を有する出力の保護、インフラストラクチャのモニタリング、およびハードウェアの予防的保守のためのオペレーションポリシーおよび手続の策定が含まれる。効果的なオペレーション管理により、データのインテグリティが維持され、業務の遅延およびIT運用費用が削減される。

（要約）　ITを操作する担当者もまた、ITにとっての貴重な資源である。担当者が機能的、かつ継続的にオペレーションを実施るうためにも、そのオペレーションの手続きや業務のスケジュールなどが明確に定められ、全員が熟知していなければならない。また、機密文書の取り扱いやハードウェアの予防的な保守なども、この中に含まれる。

---

　DSでは日常のIT操作に関する、いわば“当たり前”の部分が記載されている。読者の組織ではこれらの当たり前がちゃんと管理され、明確化されたプロセスが存在し、それを日々実行しているであろうか。場当たり的な対応に日々追われているのではないだろうか。

　さて、今回は各ドメインの紹介にとどめ、具体的なプロセスを挙げた説明は次回に譲る。そのかわり、次回は2つのプロセスを挙げて説明することにしたい。

谷 誠之（たに ともゆき）

IT技術教育、対人能力育成教育のスペシャリストとして約20年に渡り活動中。テクニカルエンジニア（システム管理）、MCSE、ITIL Manager、COBIT Foundation、話しことば協会認定講師、交流分析士1級などの資格や認定を持つ。なおITIL Manager有資格者は国内に約200名のみ。「ITと人材はビジネスの両輪である」が持論。ブログ→谷誠之の「カラスは白いかもしれない」

"COBIT"とCOBITのロゴは、米国及びその他の国で登録された、ITガバナンス協会（ITGovernanceInstitute本部:米国イリノイ州:www.itgi.org）の商標（trademark）です。COBITの内容に関する記述は、ITガバナンス協会に著作権があります。本文中では、Copyright、TM、Rマーク等は省略しています。なお、COBIT及び関連文献はITGIJapan（日本ITガバナンス協会）のWebサイト（www.itgi.jp/download.html）を経由して入手することが出来ます。本連載の用字用語については、一部COBITにおいて一般的な表記を採用しています。