新Senju Familyで予防的統制と発見的統制を実現!NRI「IT全般統制対応実践セミナー」レポート

11月30日、野村総合研究所(NRI)によるセミナー「IT全般統制対応実践セミナー」が開催された。会場では、「IT全般統制への対応を最適化する手法とその事例」をテーマに、IT全般統制の方向性、「Senju Family」を活用したソリューション、事例など5つのセッションが行われた。

» 2007年12月19日 10時00分 公開
[PR/ITmedia]
PR

IT全般統制の課題を解決するソリューションを提供

photo NRI 千手・アウトソーシング営業部 部長 渡辺浩之氏

 セミナーの先陣を切って挨拶に立ったNRI 千手・アウトソーシング営業部の渡辺浩之部長は、「Senju Family」を中心としたIT全般統制への対応を解説しつつ、NRIが10月に開設した横浜のデータセンターにも触れ、事業継続性が求められる現在、最高水準のTier4ファシリティ設備を持つデータセンターの重要性を強調した。



ITサービスの効率性向上にはユーザー部門とIT部門との関係強化が不可欠

photo NRI 産業ITマネジメントコンサルティング部 上級システムコンサルタント 川浪宏之氏

 最初のセッションは、産業ITマネジメントコンサルティング部上級システムコンサルタントの川浪宏之氏による「NRIが考えるIT全般統制のあるべき姿 〜法対応後の次の一手〜」である。

 日本版SOX法のおさらいとして、目的や統制活動におけるITの役割を解説した川浪氏は、「IT全般統制では“システム開発、保守にかかる管理”“システム運用・管理”“内外からのアクセス管理などシステムの安全性の確保”“外部委託に関する契約の管理”の4つのポイントに対し、COBITで示された変更管理や構成管理、問題管理などの13プロセスが重要になります」と、統制活動のポイントを指摘。その参考として、COBITやITILの関係、親和性などを解説した。

 日本版SOX法への企業の取り組みが、内部統制の文書化から統制の有効性評価に主眼が移りつつある中で、IT全般統制の整備のポイントは、「『根拠(規定)』『活動(業務フロー)』『証跡』を文書化して共有することが重要です。その中でもIT統制の目標である信頼性、正当性、正確性、完全性と関連が深い、変更・リリース管理、ID管理が肝になります」と川浪氏は語る。

 また、IT全般統制の有効性評価は、評価結果だけでなく、評価方針や手続き、評価体制、判断基準など、評価過程の妥当性が問われる。さらに、有効性の評価にかかる負荷は文書化と同程度と労力を要するため、整備時点からのツール導入の必要性を説いた。

 川浪氏は、NRIの提言として、「有効性評価を意識した内部統制の整備が重要です。日本版SOX法に対応するのは最優先課題ですが、その先にあるITサービスの有効性、効率性を高めていくためには、ユーザー部門の役割を再認識してもらい、サービスレベル管理を通じてユーザー部門とIT部門との信頼関係を構築する。そして、事業・業務の関係性を整理し、ITサービスの優先度との適合を行うことが大切です」と締めくくった。

新生Senju familyがもたらす顧客への価値

 続くセッションは、「IT全般統制への対応を最適化する新生Senju Family」と題し、千手・アウトソーシング営業部の應和周一氏が行った。

photo NRI 千手・アウトソーシング営業部 應和周一氏

 IT全般統制で何をやらないといけないか、その答えとして應和氏は、13プロセスの中の「アクセス管理などのセキュリティ対策」「変更管理」「運用管理」の3つを挙げる。

 さらに「監査事項例や事例に基づいて、NRIの考える必要項目としては『アクセス管理・ID管理』『インシデント管理・問題管理』『変更管理・構成管理』があります」と述べた。

 また應和氏は、戦略に基づいたアプローチが重要と語る。

 「戦略が無いIT統制は、現場とプロセスの乖離が起こりやすく、標準化、最適化されない仕事のやり方も増えます。つまり、戦略に整合したプロセスや仕事のやり方を定義し、システム化する一貫性が求められるのです。NRIでは多くの実績を持つコンサルティングとシステム運用に耐えうるSenju Familyを融合したIT全般統制ソリューションを提供しています」と、NRIの強みをアピールした。

最重要課題の変更管理、アクセス管理の負荷を軽減する手法は?

 應和氏による製品紹介を受けて、壇上に立った運用設計開発部の大平亮氏は、「Senju Service Manager(Contact Cafe SP)V3.0にて実現する予防的統制」について語った。

 「運用の現場では、インシデント管理や問題管理、変更管理、サービスデスクに関する課題が集中しています。これらの課題を解決するためには、ルールの整備、予防的統制が必要です」と大平氏は現状の問題点を指摘した。そうした課題解決の最適解となるのが、ITILに基づいたサービスデスクを構築できるWebベースのパッケージソリューション「Senju Service Manager V3.0」であるという。

photo NRI 運用設計開発部 大平亮氏

 「Senju Service Manager V3.0は、ユーザーからの問い合わせやシステムから検出されたアラートのインシデント管理を実施し、内容に応じて問題管理へエスカレーションする、変更要求として変更管理として処理するなどの対処を行ないます。その際、既知のエラーやよくある問い合わせをナレッジとして共有することで、迅速に障害の把握や原因の究明、解決への対応を行うことができます」。

 主要機能の解説に移ると、インシデント管理や問題管理、定常的な申請に対して行うサービス要求、変更によるシステムへの影響を統制する変更管理、サービスデスク業務を支援する画面カスタマイズ機能、システムごとに変更が可能なユーザー権限など、管理者や利用者の負担を軽減する機能が相次いで紹介された。

また、「Senju Enterprise Navigator」との連携による運用管理ツールからのインシデント入力の自動化、遠隔管理機能を備えた「Senju RKVM Controller」との連携による本番環境へアクセス制御など、Senju Family製品との連携による予防的統制、証跡管理の実現をアピールした。

 大平氏は、Senju Service Manager V3.0によるソリューションの適用シーンを取り上げ、インシデント管理・問題管理や変更管理、アクセス管理などにおいて、ルールの順守の容易さ、自動化の実例を紹介し、統制の実現にSenju Service Manager V3.0とSenju Family製品が貢献すると結んだ。

IT全般統制を左右する「チェック」の精度を向上させる

 続けて行われたセッションは、運用設計開発部の石井信一郎氏による「Senju Operation Conductor(eXsenju)V3.0にて実現する発見的統制」である。

 石井氏は「発見的統制は、ログの記録や変更データの自動蓄積など、取得した情報の蓄積と活用が大きなポイントになるため運用管理が重要になります。しかし、ITを支える運営統制者やサーバ維持管理者、運用管理者、開発担当者の負荷は増大しており、スムーズに連携していないケースが少なくありません」と、システム運用の問題点を挙げる。

photo NRI 運用設計開発部 石井信一郎氏

「Senju Operation Conductor V3.0で新たに加わったのがコンフィグレーション機能です。サーバのインベントリやユーザー、ログイン情報や構成情報など収集した情報を一元管理できます。また、変更した情報をドリルダウンして容易に確認できます。さらに検索、表示した情報をダウンロードすることも可能です」と石井氏。

さらに、新機能として追加したジョブ管理にも追求し、「ジョブ定義の変更履歴の蓄積や不正、誤りの追跡が可能です。特に注目してほしいのは、ジョブモニタの強化、トリガの稼働履歴の参照、自動遅延監視、ジョブの棚卸などに利用可能な項目一覧作成といった、NRIで実際に活用している中から生まれた強化ポイントです」とアピールする。

最後に石井氏は「IT全般統制に対応する重要なポイントは、短期間でツール導入ができ、導入効果の見込めるところから着手することです。システム運用を広範囲にカバーするSenju Operation Conductor V3.0の導入が今後のシステム運用を支援します」と強調した。

東京海上日動システムズが語るITサービスマネジメントの実践

最後のセッションは、「ITサービスマネジメントは会社に応じて。リスク管理ベースの実践的ITサービスマネジメント」をテーマに、東京海上日動システムズの常務取締役 島田洋之氏が行った。

photo 東京海上日動システムズ 常務取締役 島田洋之氏

島田氏の講演は、冒頭、「本講演は、Senjuユーザーとしての事例を話すわけでもなく、また、IT全般統制についての話をするわけでもない」との断りから始まり、東京海上日動システムズの実践的なITサービスマネジメントの説明に入った。

まず、損害保険ビジネスとITの関係に触れ、保険ビジネスがITシステムへの依存度を高める中で、「IT にかかわるマネジメントの成熟度を今までの延長線上ではなく、飛躍的に高めていく必要が生じている」と島田氏は語り、同社における今日的な“実践的なIT サービスマネジメント”を説明していった。

島田氏が最初に強調した点は、システム運用をITサービスの提供として捉えることの重要性であり、次のように語った。

「『システム運用』は、情報システムが業務で有効に活用できるように、情報システムを適正なコストで日々稼動させ、またシステムの安定性や継続性、正確性を妨げるあらゆる脅威を排除し続けることが求められます。当社では、システム運用業務を単なるコンピュータの運行・運用として捉えるのではなく、情報システムがビジネスに有効に活用できるよう情報システムの機能を安定的・正確に提供し続ける『ITサービスの提供』として捉えるべきと考えています。」

そして、IT サービスマネジメント実践の具体的なプロセスとして、同社がシステム障害発生時に、被害の極小化、早期復旧に向けて取り組む「FFA(Fire Fighting Action)」について説明し、「危機管理プロセス」の重要性、特にリスク管理の観点からの情報の迅速な伝達・共有について語った。

さらに、具体的なプロセスとして、開発したシステムを稼動させるか否かを評価する同社の「移管プロセス」についても触れた。

「我々は、開発半年、運用10年と言っています。ビジネス目的の達成に向けて、開発フェーズに多額の投資をしたシステムが、当初想定した効果を発揮させるか否かは運用フェーズにかかっていると言っても過言ではありません。開発時の熱狂的なエネルギーを持続性のある冷静なエネルギーに変換すること。そして長期にわたって安定的・正確にシステム機能を提供し続けることが必要です。」と島田氏は語り、特に「移管プロセス」はシステムの安定稼動、安全性を担保するための”最後の砦的な機能”と、強調した。

こういった具体的なプロセスは、同社の定義するITサービスマネジメントの中に組み込まれ、網羅的に確実に実施されている。同社で定義するITサービスマネジメントをまとめると、「お客様起点をベースに」「2徹底したリスクコントロールを意識し」「安定的に信頼性の高いサービスを適正コストで継続的に提供する」ということになる。

島田氏は次のように説明する。「まず、お客様へ提供するITサービスを明確化、定義する。リスクの認識と評価を行い、その最小化に向けたプロセスの構築を図る。そして、その確実な実行、評価と改善といった基本動作の徹底を継続的に実現していく。その、継続性や説明責任を組織担保する観点から、独自性や属人性を極力排除するように標準や規格を意識したプロセスやスキームを構築する。極力、再現性や客観性の確保できるような科学的なアプローチを目指しています」

参考にしている標準や規格は、IT内部統制の標準的なフレームワークであるCOBITや、ITサービスマネジメントのベストプラクテイスであるITILだ。また、「ITサービスマネージメントスキーム」は「ISO/IEC20000」に、「セキュリティ管理」は「ISO/IEC27001」に準拠させ、実効性高いPDCAサイクル(改善活動)を回すことでマネジメントの成熟度を一層高めている。

同社の取り組みで特筆すべき事項として、「モニタリング」が挙げられる。「運用業務とは、何事も起こさないことに向けての小さな業務の積み重ねです。一つひとつの業務の確実性について、運用部門では説明責任を有している以上、モニタリングは不可欠です。しかも継続的に同じ視点で評価され続ける必要があります。また昨今の社会動向を踏まえ、何も起こさないことに加えて、『何事も起こしていないことの証明』を重要視しています」と島田氏は語る。「モニタリング」はPDCAサイクルを実効性高く回す要なのである。

さらに、各作業の妥当性を証明するエビデンスの重要性や、組織の内部統制システムとして機能させることの重要性についても強調した。また、ITサービスマネジメントを回し続ける重要な要素として、「組織・体制」「企業の成熟度・文化」「技術」「人材」を、ITSMを回し続けるためのITSMプラットフォームとして位置づけ、特に「人材」の重要性を強調した。

最後に、同社の現在の業務運営スタイルは、時間をかけてようやくここまで出来上がってきたこと。その過程では次のようなステップを踏みそのスパイラルを回していることを説明し、一朝一夕に作り上げられるものではないことを力説した。

  • 守るべきものを明らかにする(リスクコントロール設計)
  • 守り方を明らかにする(プロセス設計)
  • 役割と分担を明らかにする(組織)
  • 実行結果を認識し、評価する基準を明確にする(モニタリング設計)
  • それぞれの役割を全うし、確実に実行する(基本動作の徹底)
  • 実行結果を継続的に評価し、必要な改善を図る(モニタリング&コントロール)

そして、「自分を知ること、そして改善目標を定め、できることから着実に実行していくことが大事。身の丈にあった、地に足のついた取り組みを目指しましょう」と締めくくった。

ホワイトペーパーダウンロード

監査事項と事例を基に、IT全般統制への対応を解説

IT全般統制への対応を最適化する手法と事例について述べる。2007年11月に野村総合研究所で行われたIT全般統制対応実践セミナーの資料。IT全般統制は何からやるべきか?ソリューションと併せて解説する。

 「IT全般統制への対応の最適化」を実践するためには、「ITILの活用によるプロセス標準化」および「業務負荷を最小にするための自動化」は必須である。特に、アクセス管理や変更管理におけるプロセス標準化、および自動化は最優先課題となる。

 本ホワイトペーパーは、野村総合研究所が2007年11月に行ったIT全般統制対応実践セミナーの資料である。「IT全般統制への対応の最適化」に向けて、事例や新製品「NRI Senju Family」を活用した実践的な手法を紹介する。



TechTargetジャパン ホワイトペーパー ダウンロードセンターにて入手できます。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社野村総合研究所
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2008年1月28日