特集　ISO20000多角解剖　情報システム時代の新風！　ITサービスマネジメント規格の全容

ITサービスマネジメントの管理プロセスを詳細解説、
ISO20000要求事項理解のポイント

日本電気株式会社　マーケティング本部　シニアエキスパート（ISO/IEC JTC1 SC7/WG25国内委員・ISO20000JIS原案作成委員会WG主査）　大畑　毅　氏

前項ではISO20000の理解に先立ち、原典であるITILについて解説した。その内容を踏まえ、ISO20000では要求事項として、どの程度の達成レベルが求められるのだろうか。本項では、ISO20000要求事項のうち、６章「サービスデリバリプロセス」以降、10章を中心とした各管理プロセスの内容、そしてシステム構築のポイントについて、JIS原案作成委員会WG主査も務めるNECの大畑氏に解説をお願いした。

ISO20000とITILの関係

ITILはISO20000のような抽象度の高い規格類と、日常実際に使われるプロセスや手順のちょうど中間に位置する具体性を有している。特定のサプライヤに依存しないモデルであることから、あらゆるIT環境に合致させることが可能であり、よりよいITサービスマネジメント実現のヒントとなりうる。この特徴はISO20000を適用しようとする組織にとっても有効に働くと考えられ、ITILの理解はそのままISO20000及び本稿の理解の助けとなろう。ITILとISO20000との対応関係を図１に示す。

ISO20000はITILの多くのプロセスをカバーし、内容的にはITILのエッセンスになっているが、残念ながらプロセス間の関係性についての緻密な記述には乏しい。ISO20000からだけでは、この規格が想定しているITサービスマネジメントの全体像を想像することは困難であろう。

ISO20000の内容

ISO20000は次の2部構成となる。

＊ISO20000-1（仕様：Specification）：本規格が求める要求事項
＊ISO20000-2（実践のための規範：Code of Practice）：ISO20000-1実現のためのガイドライン

本稿ではISO20000-1を取り上げ（ISO20000-2でも章段落の大枠は同じ）、特に第６章以降を中心に内容の解説を試みる。

◎序文～第5章

序文：ITサービスを効果的に提供するため、ISO20000ではプロセスに注目したアプローチを採用している。サービスマネジメントは、リソースを使い、入力を出力に変換するために管理された活動であり、プロセスとみなすことができる。サービスマネジメントのプロセスを統合して運用することによって、継続的な改善をともなう管理が可能である。

範囲：ISO20000はサービスを提供するプロバイダーに対する規格であり、顧客がサービスを調達する際の入札の条件としての利用や、組織内にサービスを提供している部門の内部プロセスのアセスメント基盤での活用が考えられる。ISO20000で扱うプロセスは図2に示される。

用語と定義：ISO20000で使用する用語は、ITIL用語であると考えてよい。ITILに詳しい諸氏は規格では厳密に区別される「文書（document）」と「記録（record）」の定義に、諸規格に精通した読者はISO20000では特殊な定義になっている「ベースライン」などに特に注意を払うとよい。

マネジメントシステムへの要求事項：すべてのITサービスを効果的に管理し、実施できるようにするためのポリシー及び枠組みを含むマネジメントシステムを提供するためには、「経営者の関与」「文書化」「教育・トレーニング」が重要である。

サービスマネジメントの計画立案及び導入：PDCAとしてしられる改善サイクルを、サービスマネジメントに適用した場合の各フェーズの定義が記載されている。

新規または変更したサービスの計画立案及び導入：新規のサービス及びサービスに対する変更が、合意したコスト及びサービス品質でデリバリ及びマネジメントされることを目的としている。

新規サービスまたはサービスの変更はコスト、組織、技術、業務のインパクトを検討し、実施にあたっては計画し承認を受け、資金、リソースを割り当てる。

また本番環境に導入される前にサービスプロバイダーの承認を受け、導入後には結果を報告し、導入後のレビューを実施する。

◎第6章：サービスデリバリプロセス

サービスレベル管理：サービスレベルを定義、合意、記録及び管理することを目的とする。

SLAはサービスマネジメント全体の根幹といえ、サービスレベル管理は最重要なプロセスである。

SLAは、サポートサービスの合意書、サプライヤの契約書、これに対応した手順とともに関係者と合意、記録する。変更管理プロセスのコントロール下に置き、関係者による定期的なレビューによって維持する。サービスレベルは対象に対する監視、報告を行い、現状と予測を示す必要がある。

サービス報告：充分な情報に基づく意思決定及び効果的な連絡のために、合意され、タイムリーで、信頼できる正確な報告を作成することを目的とする。

本プロセスはITILの中では明確な定義がなく、ISO20000という「規格」が重要視する文書化の一例と考えられる。各サービス報告には、文書識別、目的、報告対象者、データソースの詳細を明記し、特定されているニーズと顧客の要求事項が満たされるよう作成する。またパフォーマンス、不適合事項、問題点、負荷特性、重大イベント後のパフォーマンス、傾向情報、満足度分析を含める。

サービス継続性及び可用性管理：顧客に対する合意したサービス継続性及び可用性のコミットメントが、どのような状況においても確実に満たされることを目的とする。

可用性管理はITシステムの平常時における可用性に関する管理であり、サービス継続性管理は広域災害などの非日常的な状況下における可用性管理である。可用性及びサービス継続性の要求要件は、ビジネス計画、SLA、リスク評価をもとに特定する。可用性及びサービス継続性計画は、正常から重大なサービス損失までのいかなる状況でも要求事項が合意したとおりに満たされることを確実にし、最低年に１度は見直しを行う。顧客から要求された合意は、確実に反映されるよう計画を維持し、重大な変更のたびに再テストする。

ITサービスの予算管理及び会計：サービス提供のコストのための予算を管理し、会計処理を行うことを目的とする。

IT資産、共有リソース、間接工数、外部の供給サービス、人、保険、ライセンスを含む全コンポーネントのための予算及び会計、サービスに対する間接費の割り当てと直接費の配分、効果的な財務コントロールと承認に関するポリシー及びプロセスを明確にする。コストは充分詳細に予算計上し、効率的な財務コントロール及び意思決定を可能とする。サービスプロバイダーは予算に照らしたコストを監視、報告し、財務予測をレビューし、管理する。

キャパシティ管理：サービスプロバイダーは常に顧客のビジネスニーズに関し、現在及び将来の合意された要求を満たすことができるよう、充分なキャパシティを持っていることを確実にすることを目的とする。

ITILではリソース、サービス、ビジネスという三つのキャパシティ管理を明記しており、ISO20000でも同じであると考えられる。キャパシティ管理では、キャパシティ計画を作成、維持し、現在及び予測されるキャパシティ及びパフォーマンス要求、サービスのアップグレードに対する期間、閾値、コストの認識、今後予想されるサービスアップグレード、変更要求、新技術、新手法の効果の評価、外部からの変更で予想されるインパクト、予測分析を可能にするデータ及びプロセスを含むビジネスニーズに対応する。

情報セキュリティ管理：全サービス活動で、効果的に情報セキュリティを管理することを目的とする。

ISO17799を参照しており、情報セキュリティの「詳細管理策」が本プロセスの実現の手引きとなることが示されている。適切な権限を持つ管理者が情報セキュリティのポリシーを承認し、全関係者に連絡する。セキュリティ管理策は文書にし、運用、維持方法、関連したリスクを記載する。セキュリティインシデントは、インシデント管理の手順に沿って報告、記録し、調査、管理措置をとる手順を定め、機能不全のタイプ、規模、インパクトを定量化して監視する。

◎第7章：関係プロセス

ビジネス関係管理：顧客及びビジネスの推進要因に対する理解に基づき、サービスプロバイダーと顧客の間の良好な関係を確立、維持することを目的とする。

ISO20000ではビジネスと顧客は同じものと示しており、本プロセスは顧客関係管理と読み替えることができる。サービスプロバイダーは、サービスの利害関係者及び顧客を認識し、文書化する。サービスプロバイダーと顧客は少なくとも年１回、サービス範囲、SLA、契約、ビジネスニーズに対する変更を検討するサービスレビューに参加し、合意した間隔でパフォーマンス、成果、問題、行動計画を検討し、文書化する。クレーム処理プロセスを用意し、正式なサービスクレームの定義を顧客と合意し、記録、調査、対処、報告し、正式にクローズする。定期的な顧客満足測定からのフィードバックを入手、対応するプロセスを用意する。

サプライヤ管理：シームレスで良質なサービスの提供を確実にするために、サプライヤを管理することを目的とする。

サプライヤはサービスプロバイダーに対してサービスを提供する立場にあり、この間のサービスレベルの維持は顧客に対するサービスの品質にとって重要である。サービスプロバイダーは、文書化したサプライヤ管理プロセスを持ち、各サプライヤに契約マネージャーを置く。サプライヤによって提供される要求事項、範囲、サービスレベル、連絡プロセスはSLAに記載し、全当事者で合意の上、顧客とのSLAと整合を取る。少なくとも年１回、契約または正式な合意書を広範囲にレビューするプロセスを定め、ビジネスニーズと契約上の義務が依然満たされることを確実にする。

◎第8章：解決プロセス

インシデント管理：顧客に対して合意したサービスをできる限り速やかに復旧、またはサービス要求に応えることを目的とする。

ISO20000はプロセスアプローチをとるので、ITILにおいて「機能」として定義しているサービスデスクについての詳説はない。本プロセスではすべてのインシデントを記録し、インパクトを管理する手順を用意する。手順では、全インシデントの記録、優先度づけ、ビジネスインパクト、分類、更新、エスカレーション、解決及び正式なクローズを定義する。顧客には、報告したインシデントの進捗を通知し、もしサービスレベルが満たせず、措置の合意が得られなければ、前もって注意を喚起する。

問題管理：インシデントの原因に関してプロアクティブに識別し、分析し、また問題をクローズするまで管理することでビジネスの中断を最小限に抑えることを目的とする。

インシデント管理で「問題」と判断されたインシデントは問題管理に移され、真の原因の追究が行われる。本プロセスではすべての問題を記録し、インパクトを特定し、最小化、回避する手順を用意する。手順では、全問題の記録、分類、更新、エスカレーション、解決及び正式なクローズを定義する。問題の根底にある原因の是正のため要求される変更は、変更管理プロセスに伝える。

◎第9章：コントロールプロセス

構成管理：サービス及びインフラストラクチャのコンポーネントを定義、コントロールし、正確な構成情報を維持することを目的とする。

構成管理は資産管理と混同されがちであるが、構成管理は資産間の関係性も含めて管理する点が違う。構成要素とは何か、ということに関するポリシーや各要素で記録する情報は定義し、効果的なサービスマネジメントに必要な関係や文書を含めておく。

構成管理ではサービス及びインフラの識別可能なコンポーネントのバージョンを特定、コントロール、追跡するメカニズムを提供する。デジタルな構成要素のマスターコピーは、セキュアな物理的もしくは電子的なライブラリ中でコントロールし、構成記録に関連づける。すべての構成要素は一意に識別可能で、CMDB（構成管理データベース）に記録し、更新アクセスは厳密にコントロールし、信頼性と正確性を検証する。

変更管理：すべての変更が、コントロールされた方法で評価、承認、実装、レビューされることを確実にすることを目的とする。

ISO20000においては、各プロセスで生じた変更は変更管理を経て行うことと明記してある。サービス及びインフラの変更は、範囲を明確に定義及び文書化し、すべての変更要求は記録し、分類する。変更管理プロセスには、失敗時に戻すか修復する方法を含める。変更は承認を受けた後チェックし、導入はコントロールされた方法で行い、成功及び導入後にとった措置に関してレビューする。緊急変更の承認と導入をコントロールするポリシーと手順を用意する。変更レコードは定期的に分析し、変更の増加レベル、頻出するタイプ、新たな傾向、その他関係情報を指摘し、記録する。

◎第10章：リリースプロセス

リリース管理：リリースにおいて、一つまたは複数の変更を本番環境内へデリバリし、配付し、追跡することを目的とする。

変更管理では実際の変更作業は行われず、リリース管理プロセスに委ねられる。リリースの頻度、タイプを記述するリリースポリシーを文書化し、合意する。サービスプロバイダーは、顧客とともにサービス、システム、ソフトウェア、ハードウェアのリリースを計画し、どう展開するかという計画は、関連する当事者によって合意、承認する。そのプロセスには、失敗時には戻すか修復する方法を含める。

緊急リリースは、緊急変更管理プロセスへのインタフェースとなる定義済みプロセスによって管理する。インストール、取扱い、パッケージ、デリバリの間にハードウェア、ソフトウェアの完全性が維持されるよう、設計、導入し、リリースの成功、失敗を測定する。

最後に

現代においては、ビジネスのみならず日常生活さえもがITに支えられており、社会全体がITシステムとは無関係ではない。気がつくことは少ないが、どのITシステムも誰かによって運用されているのである。これまで「運用」のプロセスに関しては、開発やセキュリティ、プロジェクト管理などと比較して、ワールドワイドでの考え方の基軸といったものを欠いていた感がある。こうした状況は、今やITILやISO20000の登場によって大きく変わりつつあるといってよいだろう。運用の重要性について言をまたない以上、ITILやISO20000の普及がより健全なIT社会の実現に寄与することに期待したい。