COBITの成熟度モデルでITILを裏付ける:体験的ITIL攻略法(3)(2/4 ページ)
COBITの構成要素とITILとの関係
続いて、COBITプロセスを構成する要素について説明する。
COBITの各プロセスに対しては、以下の要素が定義されている。
- ITプロセスの定義と目標
- ビジネス目標の達成を確実にするためにITプロセスをコントロールするための方法
- 関連するIT資源(後述)
- 関連する情報要請規準(後述)
- 主要成功要因(CSF:Critical Success Factor) - マネジメントがITプロセスのコントロールを達成するための最も重要な事項あるいは行動のこと
- 重要目標達成指標(KGI:Key Goal Indicator) - ITプロセスがビジネス目標を達成したかどうかを事後的に示すための評価尺度のこと
- 重要成果達成指標(KPI:Key Performance Indicator) - ビジネス目標を達成できるように、ITプロセスがいかに有効に機能しているかを評価するための評価尺度のこと。ビジネス目標が達成される可能性を示す先行指標である。
図2 COBITの成熟度モデル(COBIT第3版マネジメントガイドライン日本版を基に作成)独立したツールとして、個々のITプロセスを管理するための成熟度モデルが定義されている。この成熟度モデルは、ソフトウェア工学研究所のCMMに基づいており、以下の項目に関して6レベルでスコアリングすることができる。
- 組織の現在のポジションの把握
- 業界内のベストプラクティスとの比較
- 国際標準との比較
- 組織が目指すポジションの把握
情報要請規準 |
定義 |
IT資源 | 定義 |
有効性 |
該当するビジネスプロセスに関係する適切な情報であること。またそれらの情報がタイムリーで正確かつ矛盾がなく、使用可能な状態で提供されること。 |
アプリケーション | |
効率性 |
情報の提供が資源の最適な(最も生産的かつ経済的な)利用により行われること。 |
情報 | ビジネスで使用される、任意の形式で情報システムに入力、処理、出力されるデータのこと。 |
機密性 |
機密情報を不正な開示から保護すること。 |
インフラストラクチャ | アプリケーションによる処理を可能にする技術および設備のこと。 |
インテグリティ |
情報の正確性と網羅性、およびビジネスの価値と期待に基づく情報の妥当性のこと。 |
要員 | 情報システムとサービスの計画、編成、調達、導入、提供、サポート、モニタリング、および評価に必要な要員のこと。
|
| 可用性 | 現在および将来においてビジネスプロセスで必要な情報が利用可能であること。また、そのために必要な資源および関連する能力の保全を考慮すること。 |
||
| コンプライアンス | ビジネスプロセスが従うべき法律、規制、および契約条項の順守、すなわち外部から課せられるビジネス基準と社内ポリシーを順守すること。 |
||
| 信頼性 | マネジメント層が企業を運営し、受託者としての責任とガバナンス責任を果たせるように、適切な情報を提供すること。 |
| 成熟度レベル | 定義 |
|---|---|
| 0 不在 | 識別可能なプロセスが完全に欠落している。企業は、対応すべき問題が存在することすら認識していない。 |
| 1 初期/その場対応 | 企業は、対応が必要な問題の存在について認識している。ただし、標準化されたプロセスは存在せず、対応は、個人的に、または場合に応じて場当たり的に行われている。総合的な管理方法は体系化されていない。 |
| 2 再現性はあるが直感的 | 同じ仕事に携わる複数の要員において同等の手続が行われる段階にまで、プロセスが進歩している。標準的な手続に関する正式な研修や周知は行われておらず、実行責任は個人に委ねられている。個人の知識への依存度が高く、そのため、誤りが発生しやすい。 |
| 3 定められたプロセスがある | 手続は標準化および文書化されており、研修により周知されている。ただし、このプロセスに従うかどうかの判断は個人に委ねられ、プロセスからの逸脱はほとんど発見されない。手続自体は、既存の実践基準を正式化しただけのものであり最適化されてはいない。 |
| 4 管理され、測定が可能である | 手続の順守状況をモニタリング、測定でき、プロセスが効果的に機能していないと判断された場合に対処が可能である。プロセスの改善が常時図られており、優れた実践基準を提供している。自動化やツールの活用は、限定的または断片的に行われている。 |
| 5 最適化 | 継続的改善、および他社との比較による成熟モデルの結果、プロセスがベストプラクティスのレベルにまで最適化されている。ITは統合され、ワークフローが自動化されている。これにより品質と有効性を改善するツールが提供され、企業の迅速な環境適応に貢献している。 |
| 表4 一般成熟度モデル(COBIT4.0日本語版を基に作成) | |
ここでは、COBIT4とCOBIT3の内容が混在していることをお断りしておく。これからCOBITを勉強される方はもちろん最新版であるCOBIT4を読んで頂きたいのだが、CSF、KGI、KPIについてはCOBIT4の記述がやや難解になっていると筆者は感じている。そのため、COBIT3にも目を通すことをお奨めする。
なお、COBIT4.0日本語版、COBIT第3版マネジメントガイドライン日本語版とも、ITガバナンス協会のホームページから無償でダウンロードできるようになっている。米国SOX法対応におけるIT統制の整備にCOBITフレームワークが標準的に使用されたことを受けて、日本国内でもCOBITの認知度は高まりつつある。今後、ITにかかわる要員は、ITILに加えてCOBITもある程度理解しておくことが必要な時代になっていくだろう。
今回のテーマである成熟度モデルは、表4で示したようにレベル0からレベル5までの6段階で定義されている。ITILを活用してITサービスマネジメントにかかわるプロセスが定義された状態はレベル3(定められたプロセスがある)に相当すると考えられ、さらに、ISO20000を取得して、プロセスのマネジメントサイクルが確立した状態は、レベル4(管理され、測定が可能である)だといえる。
また、図2で示したように、COBITはITプロセスをどのように導入すれば良いのかを説明しているのではなく、導入されたITプロセスをどのようにコントロールすれば良いのか、どんな指標で評価すれば良いのか、あるいはどのようなレベルにあるのか、などについてのガイドを提供している。筆者はITILとCOBITについて、以下のような利用方法を提唱している。
- 具体的なプロセスの導入には、ベストプラクティスであるITILを活用する
- 導入したプロセスの評価、改善にはCOBITの指標および成熟度モデルを活用する
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Microsoft 365のTeamsセット売り中止、裏にあった規制と競合の圧力
- VMware買収の真の狙いは? Google Cloud Nextで見えたBroadcomのビジョン
- 2023年に最も狙われたリモートデスクトップツールは?
- “心のアタックサーフェス”を保護せよ 巧妙化するサポート詐欺の対策を考える
- Dropboxがサイバー攻撃で不正アクセスされる 個人情報漏えいか
- 検出困難なマルウェア「BirdyClient」とは? MS Graph APIも悪用することが判明
- 生成AI vs. 人 フィッシングメールの質が高いのはどちらか? Splunkの研究成果
- 経産省、SBOM導入手引のバージョン2.0に関する意見公募を開始
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「子会社系SIer」で深刻化する“忙し過ぎ問題” 最も不足している意外なIT人材とは?
ITmediaはアイティメディア株式会社の登録商標です。