プラットフォームの壁を越えるシステム運用管理がIT内部統制の成否を分ける
2008年4月のJ-SOX法施行を目前に、さまざまな対応に追われているITシステム担当者は少なくないだろう。複雑な社内システムを管理し、内部統制を実現するためには、異なるプラットフォームを横断するルール作りが必須となる。その具体的な解決法を紹介しよう。
いよいよ迫るJ-SOX法
2006年11月、金融商品取引法、いわゆるJ-SOX法の実施基準が公表され、追って2007年1月にシステムの管理基準の追補版が経済産業省から公表された。この時点で、実際に法律が適用となる2008年4月までに1年ほどしか時間はなく、多くの企業は非常に限られた時間での対応を余儀なくされている。
「J-SOX法への対応は、ITシステム運用の現場ではまだまだ形になっていません。対応が必要な多くの企業では、すでに対策プロジェクトは立ち上がってはいるものの、ITシステムへの実装が一気に加速するのは、この夏以降になると思われます」
システム運用管理に特化した事業を展開しているビーエスピーのマーケティング部 統括リーダの結城 淳氏は、J-SOX法で求められる企業のITシステムへの内部統制対策の状況をこのように説明する。
J-SOX法で必要とされるIT関連の内部統制には、ITを利用した業務の統制を行う「IT業務処理統制」と、企業の運営に欠かすことができないIT基盤そのものの統制を行う「IT全般統制」の2つがある。システムの管理基準の公表後、この2つのIT統制に対する計画が短期間に立てられ、2007年の夏以降に仕組みが実装・テストされ、その上で運用が2008年4月から開始されることが予測される。
2つのIT内部統制を実現するために、今後、短期間でERPなどの大規模なシステムを新たに導入するという企業ももちろんあるかもしれない。とはいえ、そのような企業はごくまれだ。準備期間が十分に確保できない現状では、既存システムをなるべく生かしながらコストをかけず、大幅なプロセス変更なしで、2008年4月を迎えたいというのが各企業の本音であろう。
「プラスα」で実現する内部統制
ITシステムのスムーズで効率的な運用管理は、ITシステム部門に常に求められている。結城氏は「内部統制対応という要件があってもなくても、システムの効率的で厳正な運用管理は重要です」と企業ITシステムの課題を指摘する。
このような運用管理体制を実現すべく、情報システム部門はこれまでも活動を続けてきたはずだ。その活動結果が十分に機能しているのであれば、J-SOX法への対策は、まったく新しい仕組みを導入しなければならないという性質のものではない。常日頃のシステムの運用管理に、法令に対応するための「プラスα」を付け加えることで、大部分の内部統制対策は済むはずだ。
このプラスαで重要となるのが、個別のシステムにおける最適化ではなく、多様なシステム群全体の最適化、そしてそれらの統制が実現できるかどうかだ。
企業のさまざまな業務プロセスは、個々の業務システムを用いて進められる。大規模なERPパッケージを導入しているのでもなければ、多くの企業において受注システム、営業支援システム、会計システム、人事給与システムなど多数の個別システムが稼働しているだろう。これらの一部はERPパッケージ、一部は旧来から利用しているメインフレーム上のアプリケーションかもしれない。さらに、オープン系で独自開発されたWebシステムといったものもあるだろう。
ビーエスピーでは、さまざまな運用管理に関わるツールの提供、さらに運用管理における長年の経験と蓄積に基づくノウハウを提供するコンサルティングや人材教育、システム運用と切り離せない帳票の作成から出力環境までをワンストップでサポートするといった、ITシステムの運用を多角的に支援するさまざまなソリューションを提供している。そして、これらソリューションの中核に位置するのがA-AUTOだ。今年で発売30周年を迎える歴史の長い製品であり、メインフレームはもちろん多くのオープン系システムで多数の実績を有している。
機種の壁を越えたジョブ管理の自動化と証跡管理でIT業務統制を実現する
A-AUTOは多種多様なプラットフォームでジョブ管理運用からシステム運用の標準化を行うツールである。A-AUTOを使えば、個々のシステム間の連携をスムーズに行い、正常にプロセスが実行されたかを記録することができる。さらに、プロセスの遂行を可能な限り自動化し、人手の介入を減らすことでヒューマンエラーや人為的な不正が入り込む余地を極小化することも可能だ。
「企業内には多くの異なるシステムが稼働しています。当然、個々のシステムを運用するルールも異なり、内部統制のためにはそれらルールの統一が必要になります」(結城氏)
A-AUTOを使えば、異機種混合な状況でのシステム運用であっても、ジョブ管理の一元管理が行え、プロセスの標準化が可能となる。プロセスの標準化が実現できれば、そこからジョブの監視、ログ管理へと発展させ、内部統制監査に耐えうる一連の業務プロセスの証跡の取得が可能となるのだ。
J-SOX法対策として、とにかくログを残すという方法が行われることがしばしばある。しかしながら、ただログを取ればいいというものではない。システムの運用管理全体を統制し、その上で記録となるログを取らなければ意味はないのだ。
「例えば、バッチ処理ではスケジュールが大事です。多くのジョブ管理ツールでは、あるバッチ処理が何月何日に実行されたかというログは残せます。しかしながら、そもそもそのバッチ処理がその日に動くべきものだったのかは証明できません。場合によっては前日のバッチ処理が異常終了していて、この日の処理に影響を与えているかもしれません。その場合には、前日の障害がさらに拡大してしまうかもしれないのです」(結城氏)
A-AUTOは、予定通りにジョブ実行されたか、進捗監視機能で確認することができる。ジョブが稼働した結果が正しいかどうかは、ジョブが実行された際のログからしか証明できないが、A-AUTOでは、ジョブ実行のログは実行されたジョブごとにログファイルとして格納され、加えてジョブが実行された際の各種OSの状況のログ(たとえばWindowsのイベントログやUNIXやLinuxのsyslogなど)も一緒に保存することで、ジョブ実行の証跡管理を実現できる。
さらに、このジョブに関連するシステム全体のログ管理の機能に加え、そもそものジョブの実行計画となるA-AUTOの設定情報のマスタ情報の証跡を管理することができる。これは今回新たに追加された機能だ。
この拡張では、各種マスタファイルに対し、ユーザーIDごとの操作を制限する機能、マスタに対する参照、追加、削除などの操作に対する証跡の情報となるログの取得の可否を設定する機能が追加されている。これらにより、ユーザー管理画面を用い設定した内容が正しく機能しているかの監視と、マスタファイルに対するすべての操作履歴ログを収集が可能となったのだ。
A-AUTOの周辺を固めるソリューションで統合的にIT内部統制をサポート
内部統制の実現において、A-AUTOの機能を強力にサポートするのがLoganizerだ。IT全般統制に対するログ管理ソリューションを提供し、システムのあらゆる場面で発生するどのようなログに対しても、管理・活用が可能なログ管理ツールだ。メインフレームを含む各種OSレベルで発生するログはもちろん、各種アプリケーション、データベースのアクセス、セキュリティのログについても一元管理が可能となる。
また、さまざまなシステムが稼働していれば、管理ツールも複数のものが稼働していることが多い。A-AUTO以外にもTivoliやJP1などのハードウェアベンダーが提供する管理ツールを複数運用している企業も少なくない。システムを1ベンダーのハードウェアに統合できない限り、この状況から脱することは難しい。さらに、昨今では企業のM&Aなども頻繁にあり、IT部門が予測しない形で管理すべき異機種システムが突然増えることもある。
これらの複数の管理ツールでは、システム管理の標準化は実現できても企業全体としての標準化は難しい。これに対するソリューションが、BeXtationだ。異なる運用管理製品をハードウェアに依存することなく、仮想的に運用管理を統合できる。BeXtationを各種の管理ツールに「かぶせる」ことで、同一の操作でコマンド実行できる運用の仮想的な統合を実現し、「たばねる」ことで各種ツールが提供する管理画面を1つに統合する。そして、BeXtationで「つなげる」ことによりノンプログラミングで簡単なシステム連携をも実現できるのだ。
ビーエスピーの内部統制への取り組みは、便利な運用ツール類の提供だけではない。内部統制の実現は、ITの仕組みだけでは解決できず最終的には運用する人の問題に帰着する。システムの運用管理に携わる人に対し、システム運用の技術面だけでなく、むしろシステム運用の実態ケースを想定し、現場のリーダーとしてどう対処すべきかといったマネジメントの教育にも注力している。これはITサービスマネジメントのベストプラクティスであるITILの3要素(Process、People、Product)の、Peopleに対応するものだ。
人に対するビーエスピーの事業活動には、もう1つ面白い取り組みがある。システム運用、管理に携わる人に感謝と敬意を表す「システム管理者感謝の日」だ。
「安定稼動が当たり前、きちんと動かなければ苦情を言われるのがシステム管理者の仕事です。管理者の方々の日々の働きがあってこそ、日常の業務がスムーズに行えているのだということを認識し、改めて感謝しましょうという活動です。毎年7月の最終金曜日を「システム管理者感謝の日」と定め、今年は7月27日(金曜日)に国内初となる大々的なイベントを開催しました。私たちビーエスピーは、ITシステム運用を支えている人たちを積極的に応援しています!」(結城氏)
また、全国主要都市で開催している「BSPフォーラム」も、昨年に引き続き10月開催が決定した。
「今回は『ITサービス to Next Stage、リーディングカンパニーが語るIT最新動向』をテーマに掲げ、著名なゲスト講師もお呼びしてBSPグループが協賛各社とともに盛大に開催予定です。詳細は弊社ホームページをご覧ください。」(結城氏)
ビーエスピーは、システム運用管理における長年の経験と実績で培ってきた高度なノウハウをツールに、そしてコンサルティングや人材教育に注ぎ込むことで、企業の新たな課題となっている内部統制に、システム運用管理のあらゆる面から強力にサポートを続けている。
ホワイトペーパーダウンロード
「ライフサイクル・マネジメント」から実現するITサービスの品質向上
システム開発の全工数の4割はテストなどの「移行作業」にあり。開発後も高いサービスレベルを維持するためには、運用の視点も含めたライフサイクルの考え方が重要である。
システム開発の工程を見ると、最終サービスインするまでのテストやリハーサルなどの移行作業に全工数の4割が費やされていると言われる。本番移行作業を軽減しかつ確実にすることは、頻繁かつスピーディなシステム改善のために益々重要なポイントとなりつつある。
BSPグループが打ち出した新世代の運用コンセプト「LMIS(エルミス)」は、この移行作業の大幅な効率化を進めることにより、サービスレベルの再評価とその後の開発へのフィードバックという一連のサイクルを実現し、システム全体の継続的な改善とトータルコストの最適化を可能とするものである。
このホワイトペーパーでは、内部統制に絡みシステムを中心とした業務処理統制の話題が高まる中、BSPグループの各種パッケージソフトウェアと、コンサルテーション、人材教育などの幅広いサービスがどのようにシステムの品質向上に貢献するか紹介する。
TechTargetジャパン ホワイトペーパー ダウンロードセンターにて入手できます。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社ビーエスピー
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2007年8月31日
ITmediaはアイティメディア株式会社の登録商標です。