COBITの使い方
J-SOX対応(IT統制)のフレームワークとしてCOBITもしくはCOBIT for SOXを参照している企業は多いかと思うが、日々のコンサルティングの中でCOBITを様々な局面で利用している身として、COBITの使い方についてちょっとまとめてみたいと思う。
何故COBITなのか?
細かい定義はさておき、ITガバナンスもしくはITマネジメントと呼ばれる活動において参照されるフレームワークとしては
- COBIT
- ITIL
- ISMS
- システム管理基準
- 情報セキュリティ管理基準
- FISCの安全対策基準 など
ざっと思いつくだけでもこれだけあります。J-SOX対応のみならず、ITガバナンス(マネジメント)を確立しようと考えている企業にとっては何を見れば「網羅性のある」ガバナンスが確立できるのかがよく分からないのではないでしょうか?
COBITを参照する利点は、ITILやISMSなど他のフレームワークを包含した所謂「アンブレラフレームワーク」である(≒網羅性がある)という点と「グローバルスタンダード」であるという2点に集約されるのではないでしょうか。
COBITと他のフレームワークの対応付けはCOBITの関連文書にも掲載されているので、その点ではCOBITを中心に他のフレームワークとの対比は比較的やり易いと思われます。
COBITの問題点
一方で、COBITにも幾つかの問題点があります。私が感じる一番大きな問題点は
「分かりにくい」
これにつきます。私のように日常的にITガバナンスの仕事をしている人間でも、全部の意味を理解するのには相当苦労しました。
これには2つの理由があるように思います。
1つは、アンブレラフレームワークであるが故に、ITILやISMSなどの前提知識がある程度必要になること。加えて複数のフレームワークをやや強引にまとめた感があるために、個々の統制項目の粒度がバラバラであったり一見同じようなことを別の所で言っているように見えたりします。
もう1つは、「日本語訳が分かり辛い」。日本語化に尽力頂いている方々には本当に頭が下がりますが、正直言って英語版と見比べながら読まないと書いてあることの意味を取り違えます。
もう1つ私が感じる問題点は、各プロセスの関連性が見えづらいため、実際にCOBITをベースに「業務手順書」のようなものを作ろうとしても何をインプットにしてそのアウトプットがどこに繋がるのかが分かり辛いということです。
一応、COBITにも各プロセス間の関係は記述されているのですが、あんな細かいものを理解しろというのは実質的には不可能。。。
更に言うと、欧米の労働環境やIT環境をバックグラウンドに書かれているため、日本の環境にはそぐわない点がいくつかあります。(例えば新規開発と運用・保守という日本的なやり方ではなく、開発とITサービスであったり、契約社員の扱い方など)
COBITをどう使うか
ありきたりですが、上記のような点をよく理解して、COBITをそのまま使うのではなく、COBITを「参照資料」としてうまく使い、自社なりのITガバナンス(マネジメント)の方法や手順を取りまとめていくということが重要だと思います。
色々問題点は書きましたが、COBITは、J-SOX対応に留まらないスコープでITガバナンスの向上を目指すには今の所一番網羅性があって使えるのではないでしょうか。ただ気になるのはITILのバージョン3はこれまでよりも更に広い範囲をスコープにしているようなので、ITILの動向にはきちんと目を向けておきつつ、必要があれば自社で作成したものに付加していくというスタンスでよいのではないでしょうか。
- 作者: 船城謙二郎,高浦孝次
- 出版社/メーカー: 日本実業出版社
- 発売日: 2007/04/19
- メディア: 単行本(ソフトカバー)
- クリック: 5回
- この商品を含むブログ (3件) を見る
図解入門ビジネス最新ITILがよ~くわかる本 (How‐nual visual Guide Book)
- 作者: 打川和男,浦名祐輔,小野寺潤,ジェイエムシー
- 出版社/メーカー: 秀和システム
- 発売日: 2005/04/12
- メディア: 単行本
- クリック: 7回
- この商品を含むブログ (10件) を見る