ポイント:日本版SOX法、COBIT、SOA、サービス志向アーキテクチャ、ITIL、ITインフラストラクチャ・ライブラリ、EA、エンタープライズアーキテクチャ、CMMI、ソフトウェアプロセス成熟度モデル、ISO27000、ITガバナンス
日本版SOX法と関連ITキーワード
ITガバナンスの確立
日本版SOX法関連の話題が続きますが、まだ金融庁の実施基準も出ていない今、分る範囲で準備をしていくしかありません。以前、SOX法は企業のIT統制(「ITによる対応」と表現)を要求しており、ITキーワードとの関わりがいろいろとあり、理解が私の頭ではついていかないと書いた。実際その通りで、調べれば調べると関連しそうなITキーワードは増えてくる。
日経コンピュータの2/6号に、「ITガバナンスの確立」という図表があり、そこに沢山のキーワードが体系的にのっていた。ただ、個々のキーワードの説明まではないので、一度調べておきたいと思う。なお、体系図は日経コンピュータ2/6号の「ITガバナンスの確立」という図表を参考に、私が特に関係が深いと思うキーワードを抜き出して再構成したものである。
SOX法関連キーワードの整理(その1)
図表にあるようにいくつかのITキーワードが登場している。特に重要度が高いと思うのはCOBIT、SOA、ITILだと思う。今回のキーワード調査にはIT用語辞典 e-Wordsや@IT情報マネジメントでの調査と独自に調べた内容を記述した。以前のコラムで書かせていただいたものもあるが、今回は私の恣意的なものはいれずに記載を行う。
COBIT
米国の情報システムコントロール協会が提唱するITガバナンスの成熟度を測るフレームワーク。システム監査の基準としても使われる。2000年には、第3版が発行され、「ITガバナンスの成熟度モデル」という概念が取り入れられている。
COBITでは、IT戦略立案から導入・運用までの一連の流れを「プロセス」「IT資源」「情報基準」という3つの視点から評価する。内容的には、エグゼクティブ・サマリ、フレームワーク、コントロール項目、監査ガイドライン、管理ガイドライン、導入ツールセットという6つのコンポーネントで構成される。
COBITは、ITの企画から運用に至るまでのフローを4つ管理プロセスと34のITプロセスとして定義し、それぞれのプロセスについて、CSF(主要成功要因)/KGI(重要目標達成指標)/KPI(重要業績達成指標)と、その成熟度レベルを6段階で定義する。
- レベル5:最適化されている。標準プロセスを改善・改良し、常に最適化された状態を維持している
- レベル4:管理されている。定義された標準プロセスに従って業務が進められているかモニタリングしている(また、その体制がある)
- レベル3:定義されている。標準プロセスがきちんと定義され、組織としてそれを認証している
- レベル2:反復可能。標準プロセスがあり、ほとんどがそのプロセスに従って業務をこなしているが、遵守は個人に依存している
- レベル1:初歩的。場当たり的な対処
- レベル0:存在しない。ルールや問題についての認識がない
SOA(サービス指向アーキテクチャ)
大規模なシステムを「サービス」の集まりとして構築する設計手法。サービスとは、外部から標準化された手順によって呼び出すことができる一まとまりのソフトウェアの集合であり、単体で人間にとって意味のある単位の機能を持つものを指す。アプリケーションソフト自体に他のソフトウェアとの連携機能を持たせたものと考えても良い。
ソフトウェアを部品化して呼び出し規約を標準化し、その組み合わせでシステムを構築していく手法は分散オブジェクト技術など従来から存在するが、部品化の単位はより細かいプログラム上の機能であり、また、システム全体がある程度共通の技術基盤に基づいて構築されることを前提としていることが多い。
SOAでは、個々のアプリケーションの開発言語や動作環境などは問題とされず、共通のメッセージ交換インターフェースに対応していればそれでよい。また、アプリケーションの一部をサービスとすることもできるし、複数のアプリケーションをまとめて一つのサービスとすることもできる。
SOAを実現する具体的な技術基盤の標準として「Webサービス」が有望視されている。ソフトウェアをWebサービス化することにより、各サービスがXMLで記述されたメッセージをSOAPでやり取りし、連携して動作する。
ITIL(ITインフラストラクチャ・ライブラリ)
イギリス政府が策定した、コンピュータシステムの運用・管理業務に関する体系的なガイドライン。1980年代、同政府はITへの投資に対して期待した効果が得られなかったことから、プロジェクトチームを結成してIT活用の先進事例を調査し、模範的な事例(ベストプラクティス)を収集、「ITを活用して業務の遂行を援助する」方法論として体系化した。これがITILである。
ITILでは、コンピュータシステムとその運用管理を、業務の遂行を手助けする「ITサービス」ととらえ、サービスを要求に応じて適切に提供すること、高い投資対効果で継続的に改善していくことを目指している。こうした視点から、運用管理業務を、日常的にユーザが必要なサービスを利用できるようサポートする「サービスサポート」と、サービスを高い投資効率で長期的に改善していく「サービスデリバリー」の2つに分けて考える。そして、両者をそれぞれ5〜6個のプロセスに分割し、模範的な事例を示している。
ITILは包括的なガイドラインであり、何をどのように行なうか詳細に記述されているわけではない。導入にあたっては実際の業務に照らして独自にプロセスを定める必要がある。
SOX法関連キーワードの整理(その2)
関連性は先の3つより低いかもしれないが見逃せないキーワードとしてEA、CMMI、ISO27000などがあげられている。
EA(エンタープライズアーキテクチャ)
大企業や政府機関などといった巨大な組織の業務手順や情報システムの標準化、組織の最適化を進め、効率よい組織の運営を図るための方法論。あるいは、そのような組織構造を実現するための設計思想・基本理念のこと。何らかのコンピュータシステムのアーキテクチャを示す用語ではない。
EAでは、組織を構成する「人的資源」「業務内容」「組織」「社内で有する技術」などの要素を整理し、階層構造化することで、組織全体に対する組織の一部分の構成要素の関係、組織の一部分同士の相互関係を明確にする。その上で、業務プロセスや取り扱うデータの標準化を行なう。
EAを導入する事で、巨大な組織内で複数の業務システムが別個に運用されていたものが標準化され、導入・運用コストの削減、重複した業務内容の統合を通じて組織の運営コストの削減が可能となる。
日本政府も、2003年7月に策定した「電子政府構築計画」の中で、2005年度末までに「業務システムの最適化計画」の名称でEAの概念を取り込んだ情報システムの構築を行なうことを発表している。これに呼応して、国内SIベンダもEAコンサルティングサービスの提供を開始している。
CMMI
組織(企業・チーム)のソフトウェアプロセスの成熟度を示すリファレンスモデル。組織におけるソフトウェア開発などの能力を向上させるためのモデルであり、またその能力を客観的に判断するための指標として利用される。組織の能力はレベル1〜5で示され、各レベルで持つべきプロセスを規定している。
ソフトウェア開発能力の成熟度を測る「ソフトウェア能力成熟度モデル:SW-CMM」から派生して、ソフトウェア調達の能力を測る「SA-CMM」や人材開発能力の成熟度モデル「P-CMM」、統合プロダクト開発成熟度モデル「IPD-CMM」などさまざまなCMMが生まれてきた。そのため1999年に、これら種々のCMMを統合した「CMMI:CMM Integration」が発表された。
通常CMMといった場合、このソフトウェア能力成熟度モデルを指すことが多い。ソフトウェア開発のプロセス改善(SPI)のための指標として、全世界で採用されている。ちなみに同研究所では、各組織のレベルを評価する「アセスメント」も行っている。
各レベルの概要は以下の通り。
- レベル1:プロセスが確立されていない初期段階
- レベル2:特定のプロジェクトリーダーや技術者に依存している状態
- レベル3:首尾一貫したプロセスを標準として持っている段階
- レベル4:標準化されたプロセスを定量的に測定し、洗練化していく状態
- レベル5は技術・要件環境の違いによって、標準プロセスを最適化して用いられる段階
ISO27000シリーズ
情報セキュリティのマネジメント規格の国際標準である。もともと、英国では、BS7799という情報セキュリティのマネジメント規格ある。BS7799は、必要条件といえるパート1というガイドライン的なものと、十分条件といえるパート2の規格に分かれている。
BS7799のパート1がISO17799である。但し、ISO17799はあくまでガイドラインであり、審査会社から認証を取得するものではなく、一般的に認証を受けるものとしてISMSの存在がり、これはBS7799のパート2のことである。そして、BS7799のパート2もISO化する事が正式に決定した。それを含んだものがISO27000シリーズである。
■ISO27000シリーズの内容
- ISO27001 日本ではISMSと知られているBS7799のパート2 要求基準
- ISO27002 ISO17799 (BS7799のパート1) 付属書
- ISO27003 リスクマネジメント
- ISO27004 管理策の測定
- ISO27005 導入ガイド
参考
日経コンピュータ2/6号
IT用語辞典 e-Words
@IT情報マネジメント
関連コラム
ヒトの性質で見た内部統制の限界とは 2006年10月23日記述
日本版SOX法が中小企業へ与える影響は? 2006年10月16日記述
日本版SOX法(金融商品取引法)の本質って? 2006年10月09日記述
「J-SOX実施基準の見通し」について思うこと 2006年08月28日記述
金融商品取引法の理解の第一歩 2006年07月24日記述
日本版SOX法(金融商品取引法)の動向で思うこと 2006年07月03日記述
ソフトウェア取引の新会計ルールの公開 2006年06月05日記述
ドキュメント管理への取組み−電子文書の役割 2006年04月24日記述
日本版SOX法に関するソリューション提供 2006年04月17日記述
内部統制の強化は「金融商品取引法案」に 2006年03月27日記述
金融庁「内部統制の監査基準」の要約 2006年03月06日記述
日本版SOX法と関連ITキーワード 2006年02月20日記述
日本版SOX法とSOAの関係 2006年02月13日記述
日本版企業改革法(J-SOX法、日本版SOX法)の情報整理 2006年02月06日記述
SOX法とITILの融合って? 2006年01月23日記述
ERPソフトとは 2006年01月02日記述
SOX法の基礎知識 2005年12月12日記述
IT業界にはびこる一式契約の見直し 2005年11月07日記述
内部統制の強化の促進−日本版SOX法− 2005年9月26日記述
2006年02月20日 宿澤直正 記
Copyright (C) 2005 宿澤経営情報事務所