責任範囲を明確にせよ！：シスマネ必携！ 運用管理ルールブック（1/2 ページ）

上手なIT運用管理のノウハウは、豊富な運用実績と的確な情報蓄積、見直しを繰り返してきたプロに聞くのが一番。ITアウトソーシング事業者は、そのノウハウ集の中で、ユーザー側と運用側との明確な職責分離を行うべきだと記している。

[岡田靖，ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

ルール１：管理者の権限（ID）はきちんと管理せよ

　管理者が、必要以上にシステムへアクセスできるようになっていると、ミスや不正が入り込む危険がある。管理者グループ内での権限管理は、厳密に行なわれなければならない。もちろん、この権限管理を容易にするために、適切なID管理ツールを用いることが望ましい。

　もし管理者が個人的な利益のために、あるいは経営者などの不法な命令を受けて、システムに不正を働いたとすればどうなるだろうか。データベースから顧客情報などの機密を抜き出したり、あるいは財務システムなどのデータを改ざんするなど、システムに対して多大な権限を持つ管理者ならではの不正が考えられる。このような環境は、内部統制を考える上で、大きなリスクと言わざるを得ない。管理者自身が潔白だと言い張っても、監査人は納得しないだろう。容易に不正を働くことができないと証明できる、それなりの対策を講じることが必須なのだ。ID管理ツールによるログ取得は有効な方法となるだろう。

　ID管理ツールを使いシステムに対するアクセス記録を取得・保管することで、より積極的な不正抑止も可能となる。管理者の操作が原因で何らかのトラブルが生じた場合にも、操作ログから具体的な操作内容が明らかになる。故意に不正を働いたのか、あるいは単なる操作ミスなのかを究明する材料としても役に立つ。

　このノウハウは主に、管理者の分業体制を取れる、ある程度以上の規模のシステムにかかわるものだ。操作ログの取得に関しては、どの規模でも原則として適用できるが、さすがに現実的ではないかもしれない。

　また、人手が少ないために兼務を余儀なくされる場合にも、細かな権限管理は現実的でない。このような場合は、そもそも人員配置などの体制に不備があるといわざるを得ない。

ルール２：体制やルールは頻繁に見直し、必要に応じて改善すべき

　これもまた、内部統制上の観点から求められるものだ。また、安全・確実なリリース管理は、システムの安定稼働を維持する上でも有益な取り組みである。

　リリース管理においては、適切なツールで不正やミスを防ぐことも大切だが、体制やルール作りも重要な要素である。システムに対してソフトウェアを追加／修正する際のリリースは、誰がどのように行うのか。また、その前にどういった手続きが必要となるのか、ルールを明確にしなければならない。

　体制やルールに関しても、できるだけ標準化すべきである。全社共通とし、システム個別のローカルルールを作らないことが重要だ。例えば担当システムが変わるたびにオペレーターが手続きに迷うようでは、せっかくのルールもむしろ邪魔なもの。ひいては順守されなくなる危険もある。徹底するためには標準化が欠かせないのだ。

　また、ルールはいったん作ってしまえば完成というわけではない。システム環境の変化が激しいのだから、それに追随するためには、PDCAサイクルを通じたルールの改善も重要だ。改善サイクルは、複数のタイムスケールを併用すると良い。小規模な変化を毎月のミーティングで確認し、随時改善していく。大きな体制上の変更に関しては、年間を通じて収集した課題を踏まえ、それを分析した上で的確な変更を加える、といった具合だ。