COBITへの招待

Rod-Amis(2006年3月16日(木))
シェア
COBIT(Control Objectives for Information and related Technology)とは、ITガバナンス、セキュリティー、コントロールの優良事例に関する、国際的なオープン標準の1つである。これは企業全体で行われるIT活動に対して、検証性を備えた監査を行うためのフレームワークを提供するためのもので、内部だけでなく外部の監査員が利用することもできるようになっている。Enron社のスキャンダルおよびその後制定された米国企業改革法が契機となって、企業におけるガバナンス基準の確立および検証性を備えた監査機能を企業内外から利用可能な形に整備することへの関心が呼び起こされているが、それが特に顕著なのがIT管理者達であり、ITガバナンスに対する意識はかつてないレベルにまで高まっている。こうした企業サイドの要求に応える手段の1つがCOBITの導入であるというのが、多くの人間の信じるところである。

COBITはコントロール目標として34の高レベル目標と318の詳細目標から構成されているが、これはリスクを最小限に抑制しつつセキュリティーと収益性を最大化するという事業目標に則したIT活動の展開を目指したものである。

Sandia National LaboratoriesのNetworked Systems Survivability and Assurance Departmentに所属するPhilip L. Campbell氏の言葉を借りると、「その構造としてCOBITは、インフォメーション・テクノロジーに関する一連の“コントロール目標”から構成されており、これらは監査活動を可能にするよう設計されています。ここで言うコントロール目標とは、何を達成するべきかが記述されているという点で、一種の“ガイダンス”と見なせます。個々のコントロール目標そのものは比較的単純な内容であり、特別驚かされる事柄が書かれているわけでもありませんが、注目すべきはCOBITを構成するコントロール目標の数の膨大さで、それ自体がCOBITの存在理由だとも言えるでしょう」ということになる。

つまりCOBITに用意されたコントロール目標は、様々な企業が米国企業改革法およびその他の国際的基準に準拠する際に確立されたものであり、これらを利用することで、管理上の要求事項、技術的な問題、事業のリスクのバランスをとることができる。COBITを構築したIT Governance Institute(ITGI)によれば、COBITのツール・セットを用いることで、ITIL、ISO/IEC 17799、ISO/IEC 13335、ISO/IEC 15408、TickIT、NIST、COSOの定める国際的なITガイダンスの導入および、これらのより積極的な活用が行えるとのことである。COBITは、Information Systems Audit and Control Association(ISACA.org)からダウンロードすることができる。

多数の企業が抱える様々なニーズや事業目標は、単一のITガバナンス用フレームワークでカバーしきれるものではない。そのため個々の企業は、各自が解決すべき課題、到達すべき目標、最終的な目的を把握した上で、どのようなガバナンス用フレームワークが利用できるかを評価して、目標達成にとって最適な機能を有するものを見極める必要がある。最も推奨されるフレームワークとしては3つを挙げることができるが(COBIT、ITIL、ISO)、いずれも得意とするビジネス環境はそれぞれ異なっている。たとえばCOBITが最も得意とするのがコントロール、監査、メトリックであるのに対し、ITILが得意とするのはベスト・プラクティスとプロセスであり、ISOが得意とするのはセキュリティーである。また、各企業独自のニーズに則すよう複数のフレームワークを組み合わせることで、アプローチを最適化できるケースもよくある。

それではCOBITフレームワークを採用するとして、そのメリットは何なのか? まず挙げられるのが、時間とコストの2点だ。多数のIT専門職、監査員、経営者から寄せられた何百もの経験が蓄積されたベスト・プラクティス用の手順とガイダンスが、フリーにダウンロード可能なドキュメント形式にまとめられており、しかもこれらは無料で利用できるため、ベスト・プラクティスを個別に構築するための投資をする必要はない。これは、その場しのぎ的なコントロールや監査ではなく、実績に裏付けられた知識とフレームワークを管理チームが即座に利用できることを意味する。達成すべき目標と従うべきステージの情報が、誰もがすぐに利用できる形で提示されるので、目標の取り違えによる混乱の危険性を最小限に抑えることができるだろう。

COBITの採用による3つ目のメリットは、すでに国際標準や米国企業改革法をクリアーしているものを利用できる点である。これは単に社内管理用の有用なツールというだけでなく、コントロール・ストラクチャーの実装レベルについての監査員や外部の第三者による評価時に利用することもできる。

4つ目のメリットは、COBITフレームワークとして用意されたコントロール・ガイダンスと監査プロセスに関する情報を始め、個々の企業における独自の使用体験を、ユーザ・グループ、専門雑誌、書籍、インターネットなどの媒体を通じて、企業間で共有できることである。様々な新規の発想に触れることや、ソリューションや体験を共有することは、管理チームにとって計り知れない価値を有す資産となるであろう。

COBIT、ITIL、ISOなどのフレームワークは、各国で活動する何百もの企業やIT専門家団体による数十年にわたる実体験を収集した成果である。これらはすべて、国際標準に準拠している。ITガバナンスの分野において、ITの積極的活用による事業の活性化を検討しているCIOにとって、COBITは検討するに値する価値を有していると言えるだろう。