ITガバナンスを定義してみる：今日から学ぶCOBIT（2/2 ページ）

[谷誠之，ITmedia]

COBITとは

　COBITとはControl Objectives for Information and related Technologyの略であり、コビットと発音する。ISACA（Information Systems Audit and Control Associationの略。イサカと読む）とITGI（IT Governance Instituteの略。これは素直にアイティージーアイと読んで欲しい）が1992年に作成を開始したITガバナンスに関するベストプラクティス集である。

　ISACAはボランティアで活動している非営利団体であり、情報システムの高度な監査ができると認定される国際資格である「公認情報システム監査人」（CISA：Certified Information Systems Auditor）や情報セキュリティに関する高度な知識を有していると認定される国際資格である「公認情報セキュリティマネジャー」（CISM：Certified Information Security Manager）などを認定している。

　対してITGIは営利団体であり「企業戦略遂行と目標達成を支えるものとしてITが十分に機能することについて、その責任を担っている企業のリーダーたちをITGIが援助することによって、企業に利益をもたらすこと」を目的としている（ITGIの資料より）。COBITに関しては、書籍を作成するのがISACA、その書籍の版権を管理するのがITGI、ととらえればよい。

　さて、話をCOBITに戻そう。COBITはそもそも、IT監査を目的として1996年に作られた。その後拡張が続けられ、2005年にITガバナンスの内容を盛り込んだ第4版が発表された。COBIT4.0の日本語版はこちらからダウンロードできる。また現在の最新版はCOBIT4.1である。現在は英語版しか存在しないが、同じページからダウンロードできる。COBIT 4.1 の日本語版は、年内に無償ダウンロードを目指して、ITGI が鋭意翻訳中である。

　COBITは、ITガバナンスのベストプラクティス集である。ITガバナンスをそのライフサイクルに注目して4つのドメイン（計画と組織、調達と導入、サービス提供とサポート、モニタリングと評価）に分け、それぞれにいくつかのプロセスを定義している。

　プロセスは全部で34個ある。詳細は今後本連載の中で述べていくが、34個すべてのプロセスを導入する必要はない。COBITは業界や商習慣、ビジネス領域に特化しているわけではないので、そのままでは導入が難しい。また、具体的な手法について述べているわけでもない。経営者的立場からITガバナンスを包括的に、最上流から、ふかんする形でまとめられている。セキュリティ管理であればISO/IEC 17799の方が詳しいし、ITインフラの整備であればITILの方がより具体的である。

　COBITとISO/IEC 17799やITILは排他的なものではなく、互いに補完し合う関係である。COBITがより経営者の立場に立って説明しているのに対し、ISO/IEC 17799やITILはどちらかというと担当者の立場に立って説明している、と考えればよいだろう。

資格としてのCOBIT

　COBITに対する理解度を測る資格が、COBIT Foundationである。2007年現在で、世界で約2,000名の資格取得者がいる（うち、日本では約100名）。ITIL Foundationが国内で約3万人なので、COBITはまだ発展途上だといえる。しかし、いわゆる日本版SOX法の導入が差し迫った現在「コーポレートガバナンス、ITガバナンスについてよく知りませんでした…」では済まされない。ITなくしてビジネスは語れない。企業がITとどう向き合うべきなのか。経営者はどのようにITをとらえればよいのか。運用担当者は経営者に何を期待すればいいのか。COBITの視点を通じ、連載の中で明らかにしていきたい。

"COBIT"とCOBITのロゴは、米国及びその他の国で登録された、ITガバナンス協会（IT Governance Institute 本部：米国イリノイ州：www.itgi.org)の商標（trademark）です。COBITの内容に関する記述は、ITガバナンス協会に著作権があります。本文中では、Copyright、TM、Rマーク等は省略しています。なお、COBIT及び関連文献はITGI Japan(日本ITガバナンス協会）のWebサイト（www.itgi.jp/download.html）を経由して入手することが出来ます。