「IT運用カイゼンの視点」がIT全般統制を成功に導く：NRI「IT全般統制対応実践セミナー」リポート

7月6日、野村総合研究所（NRI）によるセミナー「IT全般統制対応実践セミナー」が東京都内で開催された。このセミナーでは、IT全般統制をシステムマネジメント力強化の機会と捉え、その考え方や具体的なシステム運用構築について、3つのセッションが行われた。

[PR／ITmedia]

PR

NRI 千手・アウトソーシング営業部 部長 渡辺浩之氏

　セミナー冒頭の挨拶に挨拶を行ったのは、NRI 千手・アウトソーシング営業部の渡辺浩之部長。今年9月頃にオープンを予定しているNRIの新しいデータセンターを紹介しつつ、同社のアウトソーシング事業の存在が、インソーシング事業おいても大きなメリットを提供していると語った。

　その上で、今回のセミナーのテーマであるIT全般統制について「非常に範囲の広いものであり、すべてを一度に実現することは実質的に不可能です。NRIでは、本番環境への不正アクセスを予防するなど、変更承認による管理をまず実施し、発見的な統制に発展させていくことを提案しています」と、全体的な方針を紹介した。

IT全般統制リハーサルに向け「まわす」中でつくりこむ

　最初のセッションは、「企業のICT運営の目指すべき姿　〜IT全般統制の先にあるモノ〜」と題して、NRI 産業ITマネジメントコンサルティング部の浦松博介氏が行った。

NRI 産業ITマネジメントコンサルティング部　浦松博介氏

　「情報システムのライフタイムは、『つくり1年、まわし10年』と言われます。これまでは『つくり』すなわち企画・開発が重視されがちで、『まわし』すなわち保守・運用の比重が低い傾向にありました。しかし最近では、いわゆる日本版SOX法とされる金融商品取引法への対応を通じて、10年間の保守・運用の中で『当たり前のこと』を『当たり前に実行する』ことを証明する難しさを実感している企業も多いのではないかと思います」

　浦松氏はこう語り、多くの企業がITの活用にこだわった運営を心掛ける必要があると強調した。

　「例えば、CIOへのインタビューでは、多くのCIOが、システム構築の事前評価は行うが、事後評価がなかなかできていないと感じています。経営や事業に対する貢献価値を総合的に評価する仕組みが、ほとんど整備されていないのです」

　一方、金融商品取引法の適用が間近に控えており、IT統制に関しても文書化や追加コントロールの設計・導入、設計評価を経て、いよいよ運用評価を行うべき段階に入ってきた。体制や手続きの検討を急がねばならない。

　「今年度の下期は、本番直前のリハーサル期間となります。やはり文書化は大変な作業でしたが、その中で、システムに関するさまざまな問題点も明らかになってきたと思います」と浦松氏は語り、IT統制における運用課題解決には「保守・運用段階を『まわす』中でつくりこむことが大切」とした。

　そのためには、「まわす」段階のマネジメントを強化して運用の質の見える化を図ること、ITの運用管理や保守管理の証跡を活用し経営や事業への貢献価値評価や次の意思決定に反映すること、そしてビジネス視点でITサービスを『まわす』ことが重要だという。

　「システムマネジメントにおいて、NRIでは『システムマネジメント・キューブ』というフレームワークを定義し、情報システムのライフサイクルプロセスを事業運営と一体化させた『つかいまわせるIT』を実現することを提案しています。保守・運用部門の強化からビジネスリレーションシップマネジメント（BRM）の推進まで、4ステップのアプローチでシステムマネジメントを強化していくのです。それには、3〜5年程度の期間がかかります」

　浦松氏は、このように説明し、いくつかの企業における取り組みの事例を紹介した。そして最後に、次のような言葉で締めくくった。

　「日本には、『和魂漢才』『和魂洋才』という言葉があります。これらの言葉は、異文化での取り組みを自分たちなりにしっかりと理解して、使いこなせるようになることが重要だと説いているのだと思います。私は今回のSOX法対応も基本的にはこれと同じであると考えます。企業人固有の精神をもって、西洋的な考え方（株主重視の考え方）を取捨活用するのが、望ましいと考えています」

システム運用に関するNRIのノウハウが詰まったSenju Family

　続くセッションは、NRI 運用設計開発部の島田政行氏による「IT全般統制を実現するSenju Family」。先の浦松氏が提起した課題に対し、NRIのSenju Family製品群がどのように役立つかを紹介した。

NRI 運用設計開発部　島田政行氏

　「IT全般統制は内部統制の基盤と言えます。情報インフラに関する各種プロセスに統制を組み込むことでIT全般統制を実現するのですが、多くの場合、共通の手法が適用できます。例えば、システムの開発や変更に際しては、適切な権限を持った人物が所定のルールに沿って承認することや、その作業過程が適切に記録されていることなどが求められますが、こういった変更管理プロセスはIT基盤全体で統一できます」（島田氏）

　その基準としては、ITIL（IT Infrastructure Library）やISO20000、COBIT（Control Objectives for Information and related Technology）などのスタンダードが普及している。しかし、これらはベストプラクティスであり指針であるため、その中からどこをどう取り入れるかの判断が難しい。企業ごとの基準に従い、具体的な手順へどのように落とし込むかは、どの企業でも課題となっているはずだ。

　「おそらく、暗中模索という状況だと思います。NRIでは、そうした暗中模索の成果を集約し、SSMF（Senju Service Management Framework）という冊子にまとめています。最新のSSMF Ver.2では、新たなグローバルスタンダードであるISO/IEC 20000をベースとして客観性を高め、そこで明確に規定されていない部分をCOBITで補い、そしてすべてのプロセスにIT全般統制の考え方を組み込みました」と島田氏は説明し、SSMFの中でもIT全般統制を支えるプロダクトとして紹介されているSenju Family各製品についての簡単な解説を加えた。システム運用管理基盤「eXsenju」、統合コンソール「Smart Enterprise Navigator」（略称SEN）、サービスデスク基盤「CONTACT CAFE SP」、そしてサーバの遠隔操作を可能にする「RKVM Controller」だ。

　そして島田氏は、「変更管理」「情報セキュリティ管理」「インシデント管理・問題管理」に対する、これら製品の具体的な活用イメージについて詳しく紹介した。なお、eXsenju、SEN、CONTACT CAFE SPの3製品については、この秋にバージョンアップリリースが予定されている。

　「およそ10年前に、システム運用ツールとして誕生した千手製品は、順次新たな製品群を加え、ITサービスマネジメントを実現する「Senju Family」として新たな歩みをはじめました。今後もIT全般統制を支援する機能強化を含め、より包括的なソリューションへと進化を続けます。こういったパッケージ製品に込められたNRIの考え方を、ぜひ生かしてください」（島田氏）

「デンソー流IT運用カイゼン」への取り組み

　最後のセッションは、デンソーアイセム ITサービス部の木原祐二氏が、「ITILを活用したシステム運用改革とIT全般統制への対応事例」と題し、自社におけるIT運用『カイゼン』についての講演を行った。同社は、大手自動車部品メーカーであるデンソーの情報システム子会社。2001年にデンソーの情報システム部門が機能分社し、システム開発・運用などに携わっている。

　「1990年代のメインフレームを中心とした集中処理の時代から、現在はシステムの分散化、多様化、規模拡大が進んでいます。その結果としてシステムのトラブルや停止時間が急増したため、当社では運用の見直しで改善を図ることにしました」と木原氏は言う。

デンソーアイセム　ITサービス部　木原祐二氏

　デンソーアイセムでは3つのP、すなわちPeople、Process、Productのそれぞれの分野で運用レベル分析を行い、それぞれの課題を調べた。Peopleに関しては体制や役割分担に属人的な部分があったこと、Processとしては特に問い合わせ対応の部分でインシデントが発生〜クローズするまでのライフサイクル管理が完全とは言えない状態であったこと、Productについても同じく問い合わせ対応でバラバラのツールが使われていたことなどが、主な課題点だったという。

　「2006年頃から、NRIの支援を受けてIT運用のシステム変更管理の改革に着手しているところです。我々としては、従業員自身の納得感を大切にしたいと考えており、性急な改革を行うのでなく、緩やかながら着実に前進していく形で取り組んでいます。また、ISO20000への取り組みも進めていますが、こちらも表面的な適用ではなく、しっかり定着させていきたいと考え、3年をかけて取得していく方針です」（木原氏）

　この取り組みはエンドユーザーの利便性を向上するべく、ユーザーサポート対応の改善を主眼に置いて行われた。まず行ったのは、社内で分散した状態にあるヘルプデスク機能を最適に配置し直すべく、現状の詳細分析を行うことだった。

そのために、分析を行うのに必要となる、インシデント管理に関する情報を収集するところから開始したと木原氏は言う。

　「インシデント管理については、開発部門が個別にユーザー窓口を設置し、管理している情報もツールもバラバラでした。一速短のアプローチはできず、まずは『しつけ』の一環としてCONTACT CAFE SPを導入、しっかりと情報の記録・蓄積を行うところから着手しました。そして、業務への影響度と対応の緊急度に応じたインシデントの対応重要度を設定、必要最低限の数に絞ったKPIを設定して継続的なカイゼンへと繋げています」（木原氏）

　一方、システム停止時間を低減するなど、IT運用の品質改善のために行ったのが変更管理プロセスの導入だ。これに関しては、IT全般統制の視点とカイゼンの視点、2つの目的を設定しているという。特に日本版SOX法への対応を意識し、まずは財務報告に関わるシステムの中で迅速に対応可能な部分から運用改革に着手していったという。

　「ここでは、今後の修正を視野に入れた設計を行うことで、成功体験を横展開できるよう工夫しています。役割や責任の分担については、ITILをベースとしつつも、当社ではシステム数が非常に多いことから変更マネージャが担当システムを管理しきれないと判断、その下に変更サブマネージャを設定し、役割や権限の一部委譲を行っています」（木原氏）

　また、RFC（Request for Change：変更要求）についても、ITILに沿った形を採用しつつも親子関係を持ったものとしているという。これは、同社が管理するシステム規模が大きいことから、一つの変更案件が複数の変更作業として段階的に実施されたり、サーバや地域単位に分けて実施されるケースが多く、全体の変更が長期間にわたるという実状に合わせたものだ。そして、変更管理プロセスでも、内部統制の視点を重視してKPIを設定しているという。

　木原氏は最後に、「プロジェクト成功に向けた秘訣」を紹介した。

　「プロジェクトの停滞感は、トップダウン型アプローチを活用することによって克服しています。そしてプロジェクト運営については全員参加型とし、運用部門の担当者全員にITIL教育を実施、さらに自分の業務範囲で終わりとするのでなく、『現地現物』の考えで全体最適を意識するようにしています。こういった形は『デンソー流IT運用カイゼン』と言えるかもしれません。CONTACT CAFE SPにも取り入れてほしいですね」

ホワイトペーパーダウンロード

『7/6開催「IT全般統制対応実践セミナ」資料』

先進企業に聞け！IT全般統制の実施方法とその効果〜IT全般統制の「真の目的」を忘れていませんか〜

　IT全般統制は実践段階であり、2008年4月に適用されるJ-SOX対応も急ピッチで進められている。J-SOX対応の一つの手段として考えられているIT全般統制。

しかし、IT全般統制の真の目的は「IT価値の向上」ではないだろうか。IT全般統制で本当にIT価値の向上を実現できるのか？　具体的な方法は？　

　本セミナーでは、IT全般統制で実現するIT価値の向上を事例を元に説明し、NRIが提供するITIL/ISO20000/COBITを包含したフレームワークであるSenju Service Management Framework（SSMF)やSenju Family製品を通じたIT全般統制によるIT価値の向上を、実践的な手法で紹介する。

TechTargetジャパン ホワイトペーパー ダウンロードセンターにて入手できます。