内部統制におけるコンピュータの運用とEUC：セキュリティツールで作る内部統制（10）（2/3 ページ）

[中島 浩光，＠IT]

基盤側はITILのサービスサポートの枠組みが有効

　次に、基盤側に近いプロセスに関しては、ITIL（Information Technology Infrastructure Library）のサービスサポートで定義されているプロセスが該当します。

ITILサービスマネジメントの構成

　これらのプロセスの中で、変更管理、リリース管理については前回解説した「プログラム変更」にかかわるものです。今回説明するコンピュータ運用に関しては、それ以外の構成管理、問題・インシデント管理といったプロセスもきちんと整備していく必要があります。

　構成管理は、本番環境におけるハードウェア、ソフトウェア、ネットワークなどの構成や設定情報の完全性を担保する重要なプロセスに当たります。また、変更管理やセキュリティ管理とも関係が深く、構成管理をきちんと整備することはこれらの業務の実行にも大きく影響します。

　そのため、構成管理作業においては「対象となるシステムに関するハードウェア、ソフトウェア、ネットワークの構成や設定情報が、業務システムの正常な稼働を保証するような適切な構成・設定になっているか」、また「その構成・設定の完全性を阻害するような活動（許可されていないソフトウェアの利用、不正アクセス、ウイルス感染など）から守るようになっているか」といったことが重要になります。

　問題・インシデント管理において重要なのは、「システムの障害や不具合などが発生した場合に、インシデント・問題を解決する標準的なプロセスが存在するか」という点です。業務システムにおいては、大抵「インシデント」と呼ばれる、障害や不具合、あるいはユーザーの操作ミスやパスワード忘れなど、サービス品質を阻害あるいは低下させるかもしれないイベントが発生します。残念ながら現実的には、こうしたインシデントがまったくなしに運用が継続されるということはあり得ません。

　これらのインシデントを記録、分析、解決をするのが問題・インシデント管理のプロセスであり、また、その入り口としてのITILのサービスデスクのプロセスなのです。内部統制においては、問題や不備を発生させないことも重要なのですが、発生した問題や不備を発見し解決することも同様に重要です。逆に、問題や不備が発見されなかったり、解決できなかったりする、ということは内部統制上重大な不備があると見なされるのです。