ITとは「覚える」のではなく「学ぶ」もの：今日から学ぶCOBIT（6/6 ページ）

[谷誠之，ITmedia]

　最後に成熟度モデルである。

• 0 不在

教育研修プログラムがまったく存在ない。組織は、研修に関して対処すべき問題の存在さえ認識しておらず、したがってその問題に関する話し合いも行われていない。

• 1 初期／その場対応

教育研修プログラムの必要性を組織が認識している徴候はあるが、標準化されたプロセスが存在しない。体系的なプログラムが存在しないため、従業員が自ら研修コースを選択して参加している。こうした研修コースの中には、倫理規定、システムセキュリティの意識、およびセキュリティ活動に関する問題を扱っているものもある。マネジメントの取り組みに結束がなく、教育研修に関する課題や取り組みについての話し合いは散発的で一貫性がない。

2 再現性はあるが直感的

教育研修プログラムと関連プロセスの必要性が組織全体において認識されている。研修が、従業員の個別の業績計画に組み込まれるようになってきている。プロセスの成熟度は、複数のインストラクターが非公式な教育研修コースを実施する段階にまできているが、同一のテーマが異なるアプローチで扱われている。一部の研修コースでは、倫理規定、システムセキュリティの意識、およびセキュリティ活動に関する問題を扱っている。各研修担当者の知識に依存する部分が大きい。ただし、全体的な課題と、このような課題に対処する必要性に関しては、一貫して話し合われている。

3 定められたプロセスがある

教育研修プログラムが制度化され周知されており、従業員と管理者が研修の必要性を把握して文書化している。教育研修プロセスが標準化および文書化されている。教育研修プログラムを実施するための予算、資源、施設、講師が確保されつつある。倫理規定、システムセキュリティの意識およびセキュリティ活動に関する正式な研修コースが従業員を対象に実施されている。ほとんどの教育研修プロセスがモニタリングされているが、マネジメント層がすべての逸脱を発見できるとは考えにくい。教育研修における問題の分析は散発的にしか実施されていない。

4 管理され、測定可能である

総合的な教育研修プログラムが設けられており、結果が測定可能である。実行責任が明確化されており、プロセスの担当責任が割り当てられている。教育研修が従業員のキャリアパスの一要素として組み込まれている。マネジメント層が教育研修コースの開催を支援し、コースに参加している。従業員全員が倫理規定およびシステムセキュリティの意識に関する研修を受講している。障害による、システムの可用性、機密性、およびインテグリティに影響を及ぼす被害を防ぐため、従業員全員が適切なレベルのシステムセキュリティ活動についての研修を受講している。マネジメント層が教育研修プログラムとプロセスを日常的にレビューおよび更新することにより、準拠状況をモニタリングしている。プロセスが継続的に改善されており、常に内部のベストプラクティスが採用されるようになっている。

5 最適化

教育研修の結果として各個人の業績が向上している。教育研修が従業員のキャリアパスの重要な要素として組み込まれている。教育研修プログラムのために十分な予算、資源、施設、および講師が確保されている。外部のベストプラクティスや、成熟度モデルを利用し他社と比較することで、プロセスが洗練されてきており、継続的に改善されている。すべての問題や逸脱の根本原因が分析され、有効な対策が適宜特定および実施されている。倫理規定およびシステムセキュリティの原則に対する積極的な姿勢が見られる。教育研修プログラムに利用できるツールの提供および自動化のために、ITが広範囲で統合的かつ最適化された方法でITが利用されている。研修に関する外部の専門家が活用され、ベンチマークを使用した指導が行われている。

---

　一般に成熟度モデルは、「成熟度3」あたりを目指して欲しいと考えられている（もちろん業界や企業によって目指す成熟度は異なるだろうが）。しかし、この成熟度モデルを読むと、成熟度3でも結構難しいと感じるのではないだろうか。

　今からでも遅くない。いや、日本ではむしろ早いほうかもしれない。カイゼンできる要素は、すぐそばにある。

谷 誠之（たに ともゆき）

IT技術教育、対人能力育成教育のスペシャリストとして約20年に渡り活動中。テクニカルエンジニア（システム管理）、MCSE、ITIL Manager、COBIT Foundation、話しことば協会認定講師、交流分析士1級などの資格や認定を持つ。なおITIL Manager有資格者は国内に約200名のみ。「ITと人材はビジネスの両輪である」が持論。ブログ→谷誠之の「カラスは白いかもしれない」

"COBIT"とCOBITのロゴは、米国及びその他の国で登録された、ITガバナンス協会（ITGovernanceInstitute本部:米国イリノイ州:www.itgi.org）の商標（trademark）です。COBITの内容に関する記述は、ITガバナンス協会に著作権があります。本文中では、Copyright、TM、Rマーク等は省略しています。なお、COBIT及び関連文献はITGIJapan（日本ITガバナンス協会）のWebサイト（www.itgi.jp/download.html）を経由して入手することが出来ます。本連載の用字用語については、一部COBITにおいて一般的な表記を採用しています。