特集　ISO20000多角解剖　情報システム時代の新風！　ITサービスマネジメント規格の全容

ITガバナンスの一環でITILを導入し、ISOのPDCAの仕組みで継続改善

エクセディア・コンサルティング株式会社　シニアコンサルタント　ITコーディネータ・技術士　鈴木　広司　氏

日本版SOX法・会社法で内部統制の構築は待ったなしとなり、ISO20000などのマネジメントシステムへの期待も大きい。そこでitSMF JapanのITガバナンス研究分科会・座長でありITILのコンサルティングも行っている鈴木氏を事務局に訪ね、ISO20000・ITILとITガバナンス・SOX法との関連について聞いた。

ITガバナンスはIT全般統制

本誌：会社法と日本版SOX法により、上場企業のみならず中堅・中小企業まで内部統制が義務化されたこともあって、最近ガバナンスという言葉をよく聞くようになりました。ここでのガバナンスとは、上から見て末端までをこうしなさいと統率していくもので、マネジメントはそれぞれのレベルで水平に見ていくものだという理解でいいのでしょうか。

鈴木：意味的にはそういうことです。ガバナンスは経営者層が外部利害関係者のために構築・運用する戦略レベルの規律であり、内部統制の仕組みも包含しています。一方マネジメントは、業務活動レベルでの規律であり、外部利害関係者のために構築しますが、運用は管理者や従業員が経営者のために行うものです。

本誌：itSMF JapanがITガバナンス研究分科会を設置されていることからも、ITILはITガバナンスに役立つと考えていいわけですね。

鈴木：そうですね。もともとは事例研究分科会の１テーマだったのですが、ITILは現場だけではなくマネジメントにも使えるのでもっと広い視野で研究しようと１年前に立ち上げました。ちょうどITILのISO化の話が出てきて、それまでのベンダー、ユーザーだけでなく、審査登録会社数社も会員として参加いただきました。図１はあくまでイメージとしてとらえていただきたいのですが、日本版SOX法、正確には金融商品取引法という法律の下で内部統制フレームワーク（COSO）があり、IT統制のフレームワークでITガバナンスに相当するCOBITがあり、その中でITILが運用、ISMSがセキュリティの側面で具体的な実現手段を定め、ITSMS（ISO20000）とISMS（ISO27001）が実現のためのマネジメントシステムとして存在しているというのが概要です。

本誌：企業活動からIT分野だけを切り出すと、ITガバナンスはIT全般統制であり、ITマネジメントは業務処理統制だということですね。

鈴木：ええ。IT全般統制は開発、変更、運用管理、セキュリティなど全般の統制であり、業務処理統制は要員、承認、計画の正確性などを個々の業務において統制するものです。

本誌：ITガバナンス研究分科会の活動は。

鈴木：基本的に、以下の三つをテーマに活動しています。

・ITガバナンスの一環としてのITILの位置づけを明確化する
・SOX法などへの具体的な対応策としてのITILの利用法について研究する
・COBIT、ISMSなどとの関連性を分析し、より統合的、網羅的な視点からITILを研究する

ITガバナンス（COBIT）の一環としてのITILの位置づけ

本誌：先ほど、ITガバナンスではCOBITを使うというお話でしたが。

鈴木：現段階ではITガバナンスの基準はCOBITと考えていいでしょう。COBITは、IT活動を表１のように四つの領域（ドメイン）と34のITプロセスで定義し、それぞれのプロセスについてCSF／KGI／KPIを定義し、さらにその成熟度レベルをレベル０～レベル５の６段階で示すものです。

上表右の計画と組織、調達と導入は戦略や統制環境的なものであり、左のサービス提供とサポート、モニタリングのところがITILにかかわる部分です。COBITは2005年12月にVer.4が出ましたが（現在和訳中）、だんだんITILに近づいているようにも見えます。

本誌：COBITとITILの関係は。

鈴木：要はITILで実装したプロセスをCOBITの視点で評価するということです。ITILには具体的な実装の中味が整理されています。一方、COBITはCSF、KGI、KPI、成熟度レベルという測定指標を持ちますが具体的な実装の中身はありません。

したがってこの二つを組み合わせる流れになっているのです。

なお、セキュリティ分野についてはISMSも組み合わせて使用できます。

SOX法対応とITILの利用

本誌：SOX法対応では、金融庁の実施基準がまだ出ていませんが。

鈴木：当面はITガバナンス協会（ITGI）がCOBITのSOX法にかかわる部分をまとめた「IT Control Objectives for Sarbanes-Oxley」（以下COBIT for SOX）を参考にするのが良いでしょう。これはCOSOとCOBITの位置づけを明確にし、米国SOX法順守に重要といわれる12プロセスに対してIT統制の例とテストの例を示したものです。

したがってCOBIT for SOXの実証にITIL、ISMSを活用するという結びつきが考えられ、ベンダー、コンサル、ユーザーを問わず広く読まれています。

本誌：SOX法は上場企業と子会社・関連会社が対象でしたね。

鈴木：その他で大きいのが、iDC（データセンター）のようなアウトソーシング、外注先企業ですね。

例えばSOX法に対応する会計システムに変えてくれといわれても、複数の企業から受託している場合、コストや人員の点で、会計システムをいくつも導入するわけにはいきません。

本誌：SOX法騒動の当初は、IT部門の人が会社中の業務プロセスを可視化するコントロールマトリックスを描くツールが必要とか、米国SOXで使えたERPパッケージや会計パッケージが必要不可欠だとか、何かとIT部門は大変だといわれていました。

鈴木：今は一段落して、最終的に監査法人などが行う内部統制監査がどんなものなのか、ということにポイントが移ってきています。おそらく監査というものは人によって違うでしょうし、どのように監査が行われ、ITILやISOの仕組みがどう評価されるか、気になるところです。

本誌：SOX法とISO20000の関係は。

鈴木：ITILはあくまで実装する仕組みですから、SOX法対応はITILさえやっておけば大丈夫ですとはいいにくいのですが、有効であることは間違いありません。先ほども申しましたCOBITとの組み合わせでITILを使い、ISO20000というシステムでPDCAサイクルを回して改善する仕組みを持っておくと、毎年行われるSOX法監査にも当然生きてくるでしょう。そこで、私ども分科会ではSOXとITILのマッピング作業を行ったのです。

ITILとCOBIT、ISMSとの関連性

本誌：まずは変更管理から。

鈴木：そうです。表２がCOBIT　for SOXとITIL、そしてISMSではJISQ27002のマッピングです。一番上のプログラム変更などの統制では5.1.1 の文書化された変更管理手続きの存在、維持などをテストします。証明文書は設計文書で、ITILでは変更管理＆リリース管理の図8.3a/ｂ、図8.4、8.5活動9.6活動を参照し、JIS Q27002では10.1.1　操作手順書12.5.1　変更管理手順g）を参照します。

本誌：ITILとISO20000では若干違いもありますが、その部分は。

鈴木：そこも考え、ITILとISO20000のマッピングも行いました（表３図）。

本誌：残りの分野については。

鈴木：分科会では2006年度下期の活動内容としてSOX法実施基準とITILについての研究を予定していましたがまだ出ませんので、代わりに変更管理以外のマッピング作業を今行っているところです。

本誌：企業のISO認証取得は。

鈴木：ITILを実装したつもりでも、それっきりでは意味がありません。そこでISOのPDCAによる改善の仕組みが役立ちます。もちろん、ネットワーク上でITサービスのビジネスを行う新しい会社の場合、ISO認証取得というお墨つきがあることも大きいでしょう。

本誌：ISO20000は、今のところヘルプデスクやサポートを行っている企業中心に認証を取得していますが、今後電子商取引を行っている多くの企業が認証取得していきますか。

鈴木：非IT事業でもWebの活用や電子商取引などでIT部門のようなところができてきて、黒字化してプロフィットセンターとなっていけばISO20000の導入が有効になります。その辺を整理しますと、図２のようになります。非IT事業、例えば製造業のIT部門では、ISO9001の事業基盤上にISO20000が運用、ISO27001がセキュリティという側面で乗ってきます。事業そのものがITサービスの場合にはISO20000の事業基盤上に品質のISO9001とISO27001が乗ってきます。

本誌：自動車メーカーなどは非IT事業ですが、ネット通販部門はITサービスですね。IT関係でも、例えばPCハードウェアメーカーなどは非ITサービス業になりますね。

鈴木：そうですね。業種を限っているわけではないので。もっとも両方をやっているところも少なくないですね。ただし、ISO20000とそのベースであるITILは、まだまだ一般には知られていません。また、サービスサポートの中でインシデント、問題管理、変更管理、構成管理までは理解できても、リリース管理のDSL（最終ソフトウェアライブラリ）とDHS（確定版ハードウェアの保管庫）はとっつきにくく、デリバリプロセスでもサービスレベル管理、可用性管理、キャパシティ管理を除く財務管理、ITサービス継続性管理といった分野はなじみが薄いこともあります。

本誌：SLAなどの考え方は。

鈴木：SLA、SLMといった契約的な考え方の理解もメーカーなどでは少ないですね。また、メールなどのITサービスに対して対価を支払うという意識も希薄かもしれません。

本誌：やはりISO27001が先で、そのあとにISO20000となりますか。

鈴木：セキュリティはお金の問題でなく「まずやらなければならない」と考える人が多いようですね。ただし、採算管理までを含むISO20000のニーズも少なくはありません。

本誌：コンサルティングでは、まずITIL導入を勧めるのですか。

鈴木：小規模な企業では、属人的なやり方をしていても、それで回らないわけではありません。そういうところにISO20000の認証を取ろうといってもハードルが高いですから、IT統制の視点から少しずつITILを活用したプロセス整備を進めていくのが良いと思われます。

本誌：ITILを実装してきちんと運用していけば認証は取得できると。

鈴木：私どもの立場では、認証取得を必ずしもお勧めしているわけではありませんが、将来お客様の側から認証を取得したいといわれた時に、二度手間にならないよう、最初から将来の認証取得に対応できるような形でITILを導入するように心がけています。すなわちISO20000に基づいて共通部分を整え、その上でITILのベストプラクティスを業種・企業の特性に応じて採用することでトータルのマネジメント環境を構築していくということです。

本誌：ISO20000はユニークですね。

鈴木：ISO9001、ISO27001といった「まず規格ありき」というものではなく、長年のベストプラクティスを規格化したものですから、より実践的なマネジメントシステムといえます。逆に、審査員の力量も問われることになるでしょう。

本誌：今後の分科会の活動は。

鈴木：先ほど申し上げたCOBIT　for SOXとITIL、JISQ27002のマッピングに続き、年明け１～３月には実施基準とITILの関係、そしてITILの海外での SOX対応事例などを研究したいと考えています。

本誌：本日はご多忙の中、貴重なお話をお聞かせいただき有難うございました。（取材：アイソムズ編集室）