Comments
Transcript
MOF と COBIT/Val IT の比較および クロスインプリメンテーションガイド
MOF と COBIT/Val IT の比較および クロスインプリメンテーション ガイド COBIT/Val IT 環境で MOF を活用する方法 Version 1.02 発行: 日本語訳 Version 1.00 2009 年 6 月 執筆者: Patrick Voon、CGEIT、CISA、CISSP Senior Governance, Risk and Compliance Subject Matter Expert Edgile Inc. Javier Salido、M.Sc.、MBA.、CIPP Senior Program Manager, Data Governance Trustworthy Computing Group、Microsoft Corporation 最新の情報については、 www.microsoft.com/datagovernance (英語) を参照してください。 Copyright © 2008 Microsoft Corporation. All rights reserved. お客様ご自身の責任において、適用される著作権関連の法 律を順守してください。このドキュメントに関するフィードバックを使用または提供することにより、下記の使用許諾契約書に同意するもの とします。 このドキュメントをお客様が所属する企業または組織内において、商業用以外の目的のために内部で使用する場合のみ、クリエイティブ コモンズ ライセンス (Creative Commons Attribution-Non Commercial License) に基づいて、お客様にこのドキュメントの使 用が許諾されます。本ライセンスのコピーをご覧になるには、http://creativecommons.org/licenses/by-nc/2.5/ (英語) を参照 するか、クリエイティブ コモンズ (543 Howard Street, 5th Floor, San Francisco, California, 94105, USA) まで書面でご連 絡ください。 このドキュメントに記載されている内容は情報提供のみを目的としており、完全に現状のままで提供されるものです。このドキュメントは、 ユーザーの特定の環境に基づいて特定のユーザー向けに Microsoft Corporation が構築したカスタマイズ サービスと情報を代用す るものとして使用することはできません。法律で認められている範囲内において、マイクロソフトはいかなる種類の保証も行わず、一切の 明示的保証、黙示的保証、および法定的保証を放棄し、これらの資料または資料内の知的所有権に関連するいかなる種類の損害につ いても一切責任を負わないものとします。 マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、またはその他の知的財産権を有する場合があ ります。マイクロソフトの契約上で別途規定のない限り、このドキュメントはこれらの特許、商標、またはその他の知的財産に関するいか なる権利もお客様に許諾するものではありません。 URL やその他のインターネット Web サイトの情報など、このドキュメントに記載されている情報は、将来予告なしに変更することがあり ます。別途記載のない限り、このドキュメントで使用している会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、出来 事などの名称は架空のものです。 Microsoft、Active Directory、Excel、SharePoint、SQL Server、Visual Studio、Windows、および Windows Server は、米 国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。 記載されている会社名、製品名には、各社の商標のものもあります。 お客様はマイクロソフトに対して、このドキュメントに関連するいかなる提案、コメント、またはその他のフィードバック (以下、「フィードバッ ク」) を提供する義務はないものとします。ただし、お客様がマイクロソフトに対してフィードバックを提供する場合は、方法や目的を問わ ず、フィードバックを使用、共有、および商品化する権利を無償でマイクロソフトに提供するものとします。また、フィードバックを含むマイ クロソフトのソフトウェアやサービスの特定部分を使用し、あるいはこれと連携して使用するサード パーティの製品、テクノロジ、およびサ ービスに必要なあらゆる特許権を無償でサード パーティに供与するものとします。マイクロソフトがお客様のフィードバックを取り入れた ことにより、マイクロソフトがサード パーティに対しソフトウェアまたはドキュメントの使用許諾が必要なライセンスの対象となるフィードバ ックについては、提供を控えてください。 Copyright. This publication includes COBIT 4.1, which is used by permission of ITGI. ©1996-2007 IT Governance Institute (ITGI). All rights reserved. COBIT is a registered trademark of Information Systems Audit and Control Association (ISACA) and ITGI 著作権。このドキュメント内の COBIT 4.1 に関する内容は ITGI の許可を得て使用しています。©1996-2007 IT Governance Institute (ITGI). All rights reserved. COBIT は、Information Systems Audit and Control Association (ISACA) およ び ITGI の登録商標です。 Trademark. COBIT is a registered trademark of the Information Systems Audit and Control Association (ISACA) and the IT Governance Institute (ITGI). All rights reserved 商標。COBIT は、Information Systems Audit and Control Association (ISACA) および IT Governance Institute (ITGI) の登録商標です。All rights reserved. Neither ISACA nor ITGI endorse, sponsor, or are otherwise affiliated with this publication. Microsoft assumes sole responsibility for the use, reference, or inclusion of COBIT 4.1 and the accuracy of the use, reference, or inclusion of the COBIT 4.1 materials. Neither ISACA nor ITGI makes any representations or guarantees regarding the accuracy of the use, reference, or inclusion of COBIT 4.1 in this publication. Neither ISACA nor ITGI is affiliated in any manner with this publication or Microsoft. ISACA および ITGI はいずれも、このドキュメントを保証、支援するものではなく、いかなる関係もありません。COBIT 4.1 の使用、参 照、または包含、および COBIT 4.1 関連資料の使用、参照、または包含の正確性は、マイクロソフトが単独の責任を負うものとします。 ISACA および ITGI はいずれも、このドキュメントでの COBIT 4.1 の使用、参照、または包含の正確性に関して、いかなる表明また は保証も行いません。ISACA および ITGI はいずれも、このドキュメントまたはマイクロソフトとはいかなる関係もありません。 This publication is translated into Japanese from the English language version by Microsoft. このドキュメントは、マイクロソフトによって英語版から日本語に翻訳されたものです。 謝辞 このガイドは、ガバナンス、リスク、コンプライアンス (GRC) に関する専門家、監査人、コンサル タント、およびそれぞれの組織で複雑な GRC の要件に取り組んでいる技術コミュニティのメン バーの校閲を受けています。校閲にご協力くださった次の方々に深く感謝いたします。 John Howie 氏 Sr. Director Risk Program Management Global Foundation Services Group、Microsoft Corporation Djalma Andrade 氏 Security Manager Microsoft Brazil Jose Campos 氏 Director Worldwide Security Communities Trustworthy Computing Group、Microsoft Corporation Michael Kranawetter 氏、CISA、CISM、CIPP Chief Security Advisor Microsoft Germany Douglas Lee 氏 Architect Microsoft Corporation Jeffrey Miller 氏、CGEIT、CISSP Senior Technical Program Manager Microsoft Corporation Roin Nance 氏、CPA、CISA COO and GRC Service Leader Edgile, Inc. Betsy Norton-Middaugh 氏 Practice Manager Microsoft Corporation Andy Shell 氏 Practice Manager Edgile, Inc. Jerry J. Trammel 氏、MBA/MHA、CISSP、CHC Director of Privacy and Security Compliance Kaiser Permanente 目次 謝辞................................................................................................................. iii I. はじめに ....................................................................................................... 5 概要.................................................................................................................. 5 IT 価値提供の定義(バリュー・プロポジション) .................................................................. 5 概要とポイント ...................................................................................................... 5 II. フレームワークの説明 ........................................................................................ 7 Val IT .............................................................................................................. 7 COBIT ............................................................................................................. 8 MOF .............................................................................................................. 10 III. 各フレームワークの関係 ................................................................................... 13 MOF と Val IT ................................................................................................. 14 MOF と COBIT ................................................................................................ 15 IV. MOF を活用する方法 ..................................................................................... 16 V. まとめ ........................................................................................................ 23 付録 A – MOF インターフェイスと Val IT の詳細なマッピング .......................................... 24 付録 B – MOF コンポーネントと COBIT の詳細なマッピング ........................................... 33 付録 C – 用語集 ................................................................................................ 45 付録 D – リファレンス ........................................................................................... 48 I. はじめに 概要 この『MOF と COBIT/Val IT の比較およびクロスインプリメーションガイド』では、IT 運用マネー ジャーおよび IT 運用担当者が、MOF 4.0 における COBIT 4.1 (Control Objectives for Information and related Technology) および Val IT 2.0 ガバナンス フレームワークとの整合 性やサポートの状況を理解できるようにすることを目的としています。具体的には、MOF 4.0 を 活用して、COBIT 4.1 および Val IT 2.0 フレームワークで定義されているガバナンス、リスク、コ ンプライアンス (GRC) の目標を達成する方法に関するヒントやテクニックを紹介します。 IT 価値提供の定義(バリュー・プロポジション) IT 運用マネージャーや担当者は、日常的に高品質で信頼性の高い IT サービスを管理し提供 する責任があります。IT は、日常の運用業務に加えて、企業のポリシーや標準、SOX、GLBA、 European Union Data Protection Directive などの法的要件、PCI DSS などのレギュレーショ ン、および ISO 27001 などのセキュリティ標準に準拠するためにも、そのニーズが高まってい ます。 IT の運用は、このような多くの要件への準拠を証明しながら、サービスを管理しなければならな いという課題に常に直面しています。これらの要件は、本質的にガバナンス、リスク、コンプライ アンス (GRC) に分類されますが、多くの組織では、COBIT および Val IT ガバナンス フレーム ワークを採用して GRC のニーズに対処しています。しかしこれらのフレームワークは、一般的 な企業や IT のガバナンスの指針を示すように設計されているため、IT の運用に必要な具体的 な運用上および技術上の指針は示していません。MOF が品質と信頼性の高いサービスの提 供という日常的な IT 運用に GRC の機能を統合する重要な役割を果たせるのが、このような 分野です。つまり、MOF によって、全体的なサービス管理ライフ サイクルに GRC 機能を組み 込むための要素が IT 運用にもたらされます。GRC に専念する IT 技術者は、マイクロソフトが Web サイトを通じて提供している実践的で関連性の高い MOF ベースのサポート資料、ツール、 およびベスト プラクティスを使用することにより、GRC 機能を実装することができます。その結 果、運用の優位性やコンプライアンスを実現するための作業を簡素化することができます。この ドキュメントの目的は、このようなフレームワークの MOF へのマッピングを COBIT や Val IT の 知識を有する IT 技術者に示し、彼らが MOF のサポート資料、ツール、およびベスト プラクティ スを活用できるようにすることです。 概要とポイント COBIT および Val IT のガバナンス フレームワーク以外に、MOF は ITIL サービス管理フレー ムワークとも密接に関連しています。概念的に、MOF は "基盤となる運用フレームワーク" であ り、Val IT や COBIT を、さらには ITIL (それ自体が運用フレームワーク) を支えるものである、 と見ることができます。つまり、MOF は、"戦略的な" 概念と "戦術的な" 方針を "運用" サービス 環境に導入することによって、COBIT および Val IT を直接サポートしています。図 1 は、この概 念を表しています。 6 はじめに 図 1 - MOF、Val IT、COBIT、および ITIL このガイドでは、Val IT および COBIT の MOF へのマッピングに重点を置いています。MOF と ITIL はいずれも運用層のフレームワークであるため、そのマッピングについては別のガイドで 説明します。セクション II では、Val IT、COBIT、および MOF フレームワークの一般的な説明を 示します。そして、セクション III では、Val IT および COBIT の MOF との関連性について説明し ます。セクション IV では、MOF を活用するためのヒントとテクニックを示すことにより、Val IT お よび COBIT のコンテキストにおいて GRC のニーズに対応できるようにします。MOF の活用方 法の説明にはシナリオを使用しています。推奨されるリソースへのリンクなどの参考資料一覧を 「付録 D」に記載しています。 付録には、MOF と Val IT、あるいは COBIT との詳細なマッピングもあります。 II. フレームワークの説明 ここでは、検討する 3 つのフレームワーク (Val IT 2.0、COBIT 4.1、および MOF 4.0) のそれぞ れについて説明します。これにより、各フレームワークの用途や構造が全体的に把握できるよう になります。各フレームワークの関連性を詳細に検討するには、各フレームワークの基本を理 解する必要があります。 Val IT Val IT は、Information Systems Audit and Control Association (ISACA) 傘下の独立系非営 利研究団体である IT Governance Institute (ITGI) によって開発および保守されています。Val IT は、IT価値提供の定義(バリュー・プロポジション)プロセスのグッド プラクティスを設定するフ レームワークの必要性を認識した ITGI によって、COBIT に続いて開発されました。これは、IT 投資によって実現したビジネス価値の測定、監視、および最適化に必要な構造が企業に提供さ れることによって実現されました。したがって、Val IT フレームワークは、世界中の実務者や研 究者から集められた経験、既存および新規のプラクティスや手法、および急速に増加する研究 に基づいて開発されました。 Val IT は、総合的で実用的に組織されたフレームワークであり、IT 対応の投資によるビジネス 価値の創造を可能にします。COBIT と協調し補完するように設計されている Val IT によって、 実証済みの実践的なガバナンスの原則、プロセス、プラクティス、およびサポート ガイドラインが 統合されます。それにより、取締役会、経営管理チーム、その他の企業リーダーは、IT 投資に よる価値の実現を最適化できるようになります。つまり Val IT は、企業が適切な投資をしている かどうかを把握し、投資から最大限の収益を得られているかどうかを判断するのに役立ちます。 COBIT は、そのような投資の結果開始されたプロジェクトが IT の観点から適切に実施されてい るかどうかを企業が把握するのに役立ちます。ビジネスおよび IT の意思決定者は、Val IT と COBIT とを組み合わせることによって、総合的なフレームワークを獲得し、高品質な IT ベース サービスを提供するという価値を生み出せるようになります。 Val IT の原則は次のとおりです。 • IT 関連の投資は、投資のポートフォリオとして管理する。 • IT 関連の投資には、事業価値を達成する上で必要となるアクティビティが全て含まれ る。 • IT 関連の投資には、経済的なライフサイクル全体を通じて管理する。 • 価値の提供の施策は、投資にさまざまな分類があるので、評価と管理の方法をそれぞ れ変えて行う。 • 価値提供の施策では、主要な測定指標を定義し監視して、どのような変更や逸脱にも 迅速に対応できるようにする。 • 価値提供の施策では、能力の提供と事業面の効果が実現されるように、すべての利害 関係者を関与させ、適切な説明責任を割り当てる。 • 価値提供の施策は、継続的に監視、評価、および改善を行う。 8 フレームワークの説明 Val IT の原則は、価値を最大化するために以下の 3 つのドメインに適用されます。 • 価値ガバナンス - バリューマネジメント手順が企業内に確実に組み込まれ、経済的ラ イフサイクル全体を通じて、IT 関連の投資から、最適な価値を確実に創出できるように することです。 • ポートフォリオ管理 - IT 関連の投資のポートフォリオを通じて、企業が最適な価値を確 実に創出できるようにすることです。 • 投資管理 - 企業の個々の が、最適な価値に確実に貢献できるようにすることです。 各ドメインにおいて Val IT プロセスが定義されます (図 2 を参照)。 図 2 - Val IT のドメインとプロセス Val IT は、各プロセスのサポートに必要となる一連の主要管理プラクティスを識別することによ って、各プロセスを定義します。すべての主要管理プラクティスの一覧について は、www.itgi.org/valitdownloads (英語)または、 http://itgi.jp/download.html(日本語)からダ ウンロードできる Val IT 2.0 のドキュメントを参照してください。 Val IT は、さらに、企業がその環境において価値管理プロセスを設定および管理するための管 理ガイドラインを提供します。各 Val IT プロセスについて、Val IT 管理ガイドラインには次のも のが含まれます。 • プロセスの入力と出力 • 役割と責任の明確化に役立つ RACI (実行責任、説明責任、コンサルティング、周知) チャートを含む、アクティビティの説明 • 戦略、戦術、および運用レベルでの目標および測定基準 COBIT COBIT は、1996 年 4 月に ITGI によって最初に発行されました。それ以降、3 回の更新が行わ れ、2007 年にリリースされた Edition 4.1 が最新バージョンになります。COBIT は、協会のメン バー、業界の専門家、およびコントロールやセキュリティのプロフェッショナルの専門知識を集め て作成されています。その内容は、IT のグッド プラクティスに関する最新の研究に基づいてい ます。継続的に保守されることにより、経営幹部、マネージャー、IT 管理者、および監査人にと フレームワークの説明 9 って客観的で実用的なリソースになっています。COBIT の詳細については、全 COBIT 4.1 ドキ ュメントを www.isaca.org/cobit (英語)または http://itgi.jp/download.html(日本語)からダウン ロード (無償) することをお勧めします。 Val IT が価値創造のプロセスに寄与する "目的地" のグッド プラクティスを設定するのに対し、 COBIT は "道のり" のグッド プラクティスを設定します。COBIT の目的は、基本的に、IT ガバナ ンスをサポートするために、以下のことを実現する一般的なコントロール フレームワークを提供 することにあります。 • IT とビジネスの整合性がある。 • IT によってビジネスが実現され、収益が最大化される。 • IT リソースが、責任を持って使用されている。 • IT リスクが、適切に管理されている。 このような目的を果たすために、COBIT は、ビジネス重視、プロセス指向、コントロール ベース、 および測定ドリブンという主な特性を持つよう構成されています。それにより、このフレームワー クによって参照プロセス モデルおよび共通の言語が提供され、企業内のすべてのユーザーが IT アクティビティを表示し、管理できるようになっています。このフレームワークのプロセス モデ ルは、次の 4 つのライフサイクル ドメインで構成されています。 • 計画と組織 (PO) - 調達と導入 (AI) およびサービス提供とサポート (DS) ドメインに指 針を与えます。 • 調達と導入 (AI) - ソリューションを提供し、これをサービスに展開できるようにします。 • サービス提供とサポート (DS)。 - ソリューションを取得し、エンド ユーザーが利用でき るようにします。 • 監視と評価 (ME) - 提供した指針が順守されるようにすべてのプロセスを監視します。 COBIT では、これら 4 つのドメイン全体で、IT 組織で一般的に使用される 34 の IT プロセスを 特定します。これら 34 のプロセスそれぞれについて、サポートされるビジネス目標および IT 目 標へのリンクが作成されます。目標の測定方法、重要なアクティビティや主要な成果物、および これらの責任者に関する情報も提供されます。 COBIT では、34 のすべてのプロセスについてコントロール目標を定義すると共に、包括的なプ ロセスや業務処理のコントロールも定義します。コントロール目標は、経営陣が考慮する必要が あるすべての要件を提供し、各 IT プロセスが効果的に管理できるようにします。コントロール目 標には、次のような特長があります。 • ビジネス価値を高め、リスクを削減するための管理上のアクションのステートメントであ る • ポリシー、手続き、プラクティス、および組織構造で構成されている • ビジネス目標が達成され、望ましくないイベントが防止または発見され、修正されること を合理的に保証するように設計されている コントロール目標の詳細については、COBIT 4.1 のドキュメントを参照してください。 企業においてその IT システムの状況を理解し、提供する必要のある管理およびコントロールの レベルを決定するために、COBIT では以下の測定手法を使用します。 • ベンチマーク評価を行い、必要な能力向上を特定できるようにする成熟度モデル • バランススコアカードの基準に照らして IT プロセスがビジネスと IT の目標をどう達成 しているかを測定する、IT プロセスの目標および測定基準 • 各プロセスにおいて、プロセスを実行し、パフォーマンスを測定するための活動目標 これらの測定手法の詳細は、COBIT 4.1 のドキュメントに記載されています。図 3 は、COBIT フ レームワークのコンポーネントをまとめたものです。 10 フレームワークの説明 図 3 - COBIT フレームワーク MOF Microsoft® Operations Framework (MOF) は、IT ソリューションおよびサービスの信頼性を得 るための包括的なガイドラインとなる統合されたベスト プラクティス、原則、およびアクティビティ で構成されます。MOF では、質問ベースのガイダンスが提供されるため、現在組織で必要なも のや、将来 IT 組織を効率的で効果的に運用し続けるためのアクティビティを判断できます。 Microsoft Operations Framework のガイダンスには、IT サービスの管理に関連するすべての アクティビティとプロセス (概念、開発、運用、保守、および最終的には廃止) が含まれています。 MOF では、これらのアクティビティとプロセスがサービス管理機能 (SMF) としてまとめられ、IT サービスのライフサイクルを反映したフェーズにグループ化されています。各 SMF はライフサイ クルのフェーズ (計画、提供、運用、および管理層) に関連付けられており、そのフェーズの目 11 フレームワークの説明 的をサポートする固有の目標と成果のセットが含まれています。IT サービスのあるフェーズから 次のフェーズへの移行は、管理レビューによって確認されるので、目標が適切な形で達成され、 IT の目標と組織の目標の整合性が保証されます。図 4 は、MOF の IT サービス ライフサイク ルのフェーズと、関連する SMF (箇条書きの項目) および管理レビュー (ひし形) を表していま す。 図 4 - MOF のサービス ライフサイクルおよび SMF ビジネス/ITの連携 信頼性 ポリシー 財務管理 サービス アラインメント ポートフォリオ 運用の健全性 運用 サービス監視と制御 顧客サービス 問題管理 ポリシーと 制御 ガバナンス、 リスク、 コンプライアンス 変更と設定 チーム 可視化 プロジェクト計画 プロジェクト計画 承認 構築 安定化 展開 出荷作業 MOF の目標は、IT サービスの作成、運用、およびサポートに役立つガイダンスを IT 組織に提 供すると共に、許容レベルのリスクの下で予測されたビジネス価値を IT 投資が生み出せるよう にすることです。 MOF の目的は、効率と効果を向上させるプロセスや標準的な手続きを定義するプロアクティブ なモデルを使用して、ビジネスと IT が運用面での成熟に向けて協調できる環境を構築すること です。MOF によって、意思決定やコミュニケーション、および IT サービスの計画、展開、サポー トに対する論理的なアプローチが促進されます。MOF は http://microsoft.com/mof (英語) で 公開されており、ダウンロードすることができます。 III. 各フレームワークの関係 前のセクションでは、COBIT が価値創造のプロセスに寄与する "道のり" のグッド プラクティス を設定し、Val IT が IT 投資から生まれるビジネス価値の最適化という "目的地" のグッド プラ クティスを設定することを説明しました。MOF は、IT サービスの計画、提供、運用、および管理 の基本的要素を処理する運用フレームワークです。Val IT は、基本的に、企業ガバナンスの最 終状態と深い関係があり、COBIT は、その最終状態の達成に必要な IT コントロールに重点を 置いています。また、MOF は目的の企業ガバナンスの最終状態の達成に必要な IT コントロー ルの運用面での実装 (サービス管理) の詳細を設定します。図 5 は、この関係を表しています。 図 5 - MOF、COBIT、Val IT の関係 図 5 では、Val IT が戦略 (適切なことを実施しているか) および評価 (利益が得られているか) という問題に対処し、COBIT が戦術的なレベルでアーキテクチャ (適切な方法で実行している か) および提供 (適切に提供されているか) の問題に対処するという、各フレームワークの目的 が明確に説明されています。それに対して、MOF は運用的な実装の問題 (必要な最終状態の 14 各フレームワークの関係 1 機能を実現しているか) に対処します。 MOF で取り上げられる問題に対処するために、MOF の SMF および Val IT のプロセスやプラクティスとのインターフェイスがどのようになっているか、 またSMF が COBIT のプロセスやコントロールにどのようにマップされているかを見てみましょう。 MOF と Val IT 次のセクションで説明するように、MOF の SMF は、対応する COBIT のプロセスおよびコントロ ール目標に直接マップできますが、Val IT には直接マップできません。Val IT と MOF には重な る機能がなく、MOF の SMF は、結果を入力として Val IT のプロセスに提供することにより、 Val IT のインターフェイスになります。MOF の SMF プロセスのサブセットのみが Val IT プロセ スとのインターフェイスになります。図 6 は、高レベルのインターフェイスを表しています。 図 6 - MOF と Val IT の高レベルのインターフェイス 1 John Thorp 氏が著書『The Information Paradox』(富士通との共著、1998 年初版発行、2003 年改訂) で説明している「4 つの領域」に基づく 15 各フレームワークの関係 黒字で示されている SMF のみが Val IT とのインターフェイスになり、灰色で表示されている SMF はインターフェイスにはなりません。MOF と Val IT の詳細なインターフェイスの対応につ いては、「付録 A」を参照してください。 MOF と COBIT プロセスのライフサイクルの観点から、MOF の 3 つのライフサイクル フェーズ (計画、提供およ び運用) は、COBIT の 4 つのドメイン (計画と組織、調達と導入、サービス提供とサポート、およ び監視と評価) に対応しています。同時に、MOF の管理層および管理レビューは、COBIT の 4 つのドメインすべてに対応しています。ただし、MOF と COBIT の各フレームワークは、互いに 他方には含まれていない IT 管理の側面にも対応しているので、完全に重なり合うものではな いことに注意してください。図 7 は、高レベルのマッピングを表しています。 図 7 – MOF と COBIT の高レベルのマッピング MOF の運用フェーズは、COBIT の監視と評価ドメインの一部にもマップすることがわかります。 MOF の 3 つのライフサイクル フェーズのそれぞれおよびその管理層において、SMF は各 COBIT ドメイン内の対応する COBIT のプロセスやコントロール目標にマップします。MOF と COBIT の詳細なマッピングについては、「付録 B」を参照してください。 IV. MOF を活用する方法 MOF と COBIT および Val IT との関係について理解したので、次に、組織の COBIT および Val IT 環境において MOF ベースのガイダンスやツールを活用する方法について説明します。この ガイドの冒頭で、IT 運用部門において、関連性の高い、実践的な MOF の資料、ツール、およ びベスト プラクティスを使用することによって GRC 機能を実装できると説明しました。ここでは、 シナリオのほか、付録 A および B の相互参照の対応表を使用し、マイクロソフトからのヒントや テクニックを交えながら、MOF の活用方法を詳しく説明します。 シナリオ MOF 自体および前述のツールやガイダンスを活用して、"ユーザー アカウント管理" など、特定 の IT サービスでの運用の優位性やコンプライアンスを実現できます。 ここで仮定するのは、経営管理部門において、新しい従業員が業務の遂行に必要な IT リソー スにアクセスするための専用個人情報が整備されるまでに数週間かかっている、というシナリオ です。新しい従業員は、ビジネス部門から多数の苦情を受けています。この問題を回避するた めに、その従業員は、既存の従業員の個人情報を共有するよう勧められています。これは、内 部監査では、個人の説明責任に関する企業ポリシーと外部規制に違反しており、問題であると 考えられています。また社外監査人は、「異動した従業員が、以前に割り当てられていたアクセ ス権限を保持している」という深刻な調査結果を提出しています。「3 か月以上前に退職した従 業員のシステム アカウントがアクティブなままになっている」という調査結果も出ています。 IT 組織にはこのような問題を解決する責任があります。しかし、残念ながら、IT 部門では、提供 するサービスとしての "ユーザー アカウント管理" が明確に定義されておらず、このサービス領 域でパフォーマンスを測定できていません。"ユーザー アカウント管理" に関連する運用の多く は、文書化されていない、IT 組織内での常識に基づいています。どこから、どのようにして、こ のような問題を解決していけばよいのでしょうか。 MOF の活用 運用、戦術、および戦略のレベル (MOF と COBIT と Val IT) を向上させるために、まず、MOF 自体をどのように活用できるかを見ていきます。MOF 4.0 を参照すると、IT 部門では、サービ スの識別とマッピングのビジネス/IT 連携 SMF プロセスを調べることによって、計画フェーズを 開始できます。この SMF プロセスにおいて、IT 部門が "ユーザー アカウント管理" サービスの サービス マップ作成の目標を設定できることがわかります。このサービス マップを、IT 組織全 体で使用することによって、SLA (サービス レベル アグリーメント)、OLA (運用レベル アグリー メント)、テクノロジ、顧客、およびサービス提供への影響の間にある依存関係を明確にすること ができます。サービス マップによって、サービス カタログに記述されているサービスの提供に必 要なリソース、サービスの提供者、およびサービスの利用者を識別することができます。 サービス マップは、ビジネスとユーザーの観点から見た各サービスを表します。次の 5 つのセ クションに分かれています。 • 顧客.サービスを使用する個人やグループの分類されたリスト。 • ハードウェア.サービスの提供に必要なハードウェア プラットフォーム。 MOF を活用する方法 • • • 17 アプリケーション.サービスで必要なオペレーティング システムおよびその他のアプリ ケーション。 設定.サービスが機能するために必要な設定。 内部/外部サービス.サービスの可用性を保証するコンポーネント。 このサービス マップを作成する際には、以下のアクティビティをお勧めします: • サービスと所有者を識別する。 • 主な顧客とユーザーを識別する。 • 主なサービス コンポーネント グループとサービス所有者をレビュー、区別、および分類 する。 • サービス マップを公開する。 このような各アクティビティにおいて、主な質問、各アクティビティの入力と出力、およびベスト プ ラクティスなどのガイダンスが IT 部門に提供されます。たとえば、サービスと所有者を確認する ために、IT 部門では以下のことを検討する必要があります。 主な質問: • ビジネス部門ではこのサービスを何と呼んでいますか? • IT 部門では、だれがビジネス サービスの説明担当ですか。そのサービスのビジネス担当 者はだれですか? • IT サービス担当者は、IT 部門のサービス所有者がこのサービスに依存していることを知っ ていますか? 入力: • 既存の責任のマトリックス - 実行責任/説明責任/コンサルティング/周知 (RACI) チャートな ど • ビジネス アプリケーションとサービスのリスト • インフラストラクチャ サービスのリスト • 構成管理システム (CMS) • サービス ポートフォリオ、サービス カタログ 出力: • ビジネスおよび IT の担当者を含む、サービスおよびサービス所有者のリスト • IT に依存するすべてのサービス所有者のリスト • RACI マトリックス ベスト プラクティス: RACI、CMS、およびビジネスの連続性/障害回復 (BC/DR) 計画により、他の方法では確認で きないサービスおよび所有者を確認します。 このようなアクティビティは、プロセスへの入力となる特定の資料が利用できるかどうかに依存し ます。そのため、このような資料が存在せず、作成する必要があることが明らかになる場合があ ります。これは、人に依存した知識(社会的な知識)を保守管理が可能なドキュメントやプラクテ ィスに変換するのによい機会になります。 基本的な成果物の作成に役立つテンプレートなど、関連する作業支援資料も IT 部門に提供さ れます。たとえば、計画フェーズの SMF では、OLA、SLA、およびサービス カタログ テンプレー トなどの作業支援資料を利用できます。 このような基本的な成果物の作成に加えて、"ユーザー アカウント管理" サービスのグラフィック 表現をサービス マップの形式で作成する必要があります。図 8 は、"ユーザー アカウント管理" サービスのサービス マップのサンプルを表しています。 18 MOF を活用する方法 所有者 • ITサービスオーナー • ビジネスオーナー ユーザーアカウント 管理サービス 顧客 ハードウェア 内部顧客 • ビジネスユニット • IT • ボランティア サーバー • Dell サーバー • AS/400 外部顧客 • 契約社員 • ベンダー • パートナー ワークステーション • Dell デスクトップ • Dell ラップトップ アプリケーション Identity Lifecycle Manager 必要なサービス 設定 Active Directory GPO Windows Server 2008 Remedy Workflow SQL Server 2005 PeopleSoft Workflow Core Network Infrastructure Services SMTP 図 8 - "ユーザー アカウント管理" サービスのサービス マップのサンプル MOF と COBIT ここでは、前述のシナリオで MOF のガイダンスを使用して COBIT をサポートする方法について 説明します。「付録 B」の MOF と COBIT のマッピングを参照すると、COBIT の PO1 IT 戦略計 画の策定プロセスにマップする、計画フェーズにおけるビジネス/IT の連携 SMF の サービスの 識別とマッピングのプロセスの結果が、PO1.2 ビジネスと IT の整合および PO1.5 IT 実行計 画に関連付けられているコントロール目標を達成していることがわかります。"ユーザー アカウ ント管理" サービスに関連する問題を解決するには、残りの MOF フェーズおよび管理層にわた る他のさまざまな SMF も当然必要になります。ここでは、説明を簡潔にするために、潜在的に 適用されるすべての SMF について考察するのではなく、"ユーザー アカウント管理" サービス に直接関係する COBIT の 2 つのコントロール目標、つまり、DS5.3 ID 管理と DS5.4 ユーザー アカウントの管理について説明します。再度、「付録 B」で MOF と COBIT のマッピングを参照 することにより、これら 2 つのコントロール目標が、それぞれ MOF の運用フェーズ、運用 SMF、運用作業の計画、運用作業の実行といったプロセスにマップされていることがわかります。 このため、IT 部門では、コントロール目標を直接満たすような結果 (たとえば、ユーザー アカウ ント管理の運用ワークフローの手続きなど) を作成するために、これら 2 つの MOF SMF プロ セスのアクティビティ ガイダンスに特に注意する必要があります。運用 SMF には、運用とサー ビスの説明テンプレートというサポート資料があります。このシナリオでは、このテンプレートを 使用して非公式な知識をすべて文書化することにより、その使用を標準化および共通化するこ MOF を活用する方法 19 とができます。このドキュメントの内容によって、サービスの利用者、サポート チーム、サービス/ サポートの可用性、サービス レベルの目標 (アカウントの準備や準備解除など)、測定基準、監 視、およびレポートも識別されます。このような要素の多くは、COBIT の関連するコントロール目 標の達成に役立ちます。 MOF と Val IT Val IT の場合も同様に、「付録 A」を参照することにより、Val IT の VG3 ポートフォリオの特性 の定義にマップされる、計画フェーズにおけるビジネス/IT の連携 SMF の サービスの識別とマ ッピング プロセスが、VG3.1 ポートフォリオの種類の定義および VG3.2 カテゴリ (ポートフォリ オ内) の定義に関連付けられる主要管理プラクティスのインターフェイスになることがわかりま す。たとえば、MOF のサービスの識別とマッピングの結果によって、"ユーザー アカウント管理" サービスが "共有サービス ポートフォリオ" の一部として識別される場合があります。さらに、こ のサービスが必須として分類される場合もあります。 IT 部門が COBIT や Val IT の要件を満たそうとしているかどうかに関係なく、MOF リソースを 活用することにより、定義、文書化、および保守管理できるプロセス、ポリシー、標準、手続き、 ガイドライン、および補助的な成果物を通してこれらの要件を満たすことができます。MOF は SMF ごとに選択して使用できるように設計されていますが、このシナリオからわかるように、 SMF の間には入力/出力の依存関係があります。問題をより複雑にしているのは、IT 部門が、 競合および変化するいくつもの要件に直面しているということです。このような課題に対して、こ こで紹介するヒントやテクニックを使うことによって、COBIT や Val IT 環境のサポートに MOF 関連リソースを活用する際に、GRC 機能を円滑に実装できるようになります。 固有環境への適合 どのようなフレームワークにおいても、"そのまま" の (組織の文化やニーズに合わせて調整しな い) 純粋な実装では意図されたメリットを完全に実現できないことは、ほぼ明らかです。MOF、 COBIT、Val IT のいずれの場合も、組織では各フレームワークを十分に評価し、組織固有の環 境に適合させる必要があります。 組織で COBIT および Val IT フレームワークを採用している場合は、その実装が継続的に発生 する組織のビジネス目標と一貫性を保つように、これらのフレームワークの要素がカスタマイズ されている可能性があります。したがって、これらのフレームワークと連携して MOF およびマイ クロソフト関連のガイダンスを活用する場合は、GRC の専門家 (SME) に相談し、どのような変 更が行われているのか、およびフレームワークがどのように適用されているのかを理解すること が重要です。たとえば、組織で運用されている実際のプロセスに合わせるために、COBIT のコ ントロール目標をあるプロセスから別のプロセスに再配置することを選択している可能性があり ます。このような場合には、「付録 A」に示されているコントロール目標のマッピングを、変更内 容に合わせて修正する必要があります。そして、新しく関連付けられる SMF プロセスを、このよ うなコントロール目標に合わせて調整する必要があります。 組織での現在の COBIT または Val IT の実装に合わせて MOF ガイダンスを調整することに加 え、SMF を評価し、現在の運用状況に従って調整することも不可欠です。または、SMF プロセ スに合わせて現在のプロセスのリエンジニアリングをすることも選択できます。たとえば、冗長な プロセスを 1 つのプロセスにまとめることにより、既存のプロセスを改善できる可能性が見つか る場合があります。逆に、運用状況に合わせて、複雑なプロセスをより小さく管理が容易なコン ポーネントに分解することが必要になる場合もあります。 20 MOF を活用する方法 優先順位の設定 IT 部門は、COBIT および Val IT の要件をサポートするために、関連するガイダンスを評価およ び調整することに加え、急激に変化するビジネスおよびテクノロジ環境で競合するプロジェクトを 処理しなければならない、という継続的な課題に直面しています。このような場合、MOF のガイ ダンスを実践してみることができます。計画フェーズのビジネス/IT の連携 SMF、需要の識別と ビジネス要求の管理プロセスから検討してください。次に、管理層の GRC SMF、IT ガバナンス の確立およびリスクの評価、監視、および管理プロセスを検討してください。このような SMF プ ロセスのアクティビティに従うことにより、実行されるすべての作業がビジネスの優先順位に従っ ていること、経営陣によって承認されていること、必要なリソースが提供されること、リスクに基 づいて管理されていることが確実となります。 リスク ベースの優先順位付けを確認する方法として、たとえば、"リスク エクスポージャ" のレベ ルを、リスクを緩和または排除するために必要な "作業および複雑さ" と比較することができま す。比較をする際には、図 9 のようにマップを使用すると内容が明確になります。 図 9 - リスク ベースの優先順位付けマップ 図の縦軸はリスク 測度のレベルを表し、横軸はリスク測度を緩和または排除するために必要な 作業と複雑さのレベルを表しています。このヒート マップは、次の 4 つの一般的な領域に分類 されます。 • 実行しない- リスク測度が低く、緩和するために必要な作業や複雑さのレベルが高いこ とを表します。リスクを解決するために必要な作業のコストがリスク測度 エクスポージ MOF を活用する方法 • • • 21 ャ自体のコストよりも高い状態です。この作業を行うことにビジネス上の意味はありま せん。 低い優先順位- リスク測度が低く、必要な作業や複雑さが最小限であることを表します。 この領域に分類される作業は、スケジュールしておいて、都合のよいときに完了するこ とができます。 クイック ヒット- リスク測度が高く、必要な作業や複雑さが最小限であることを表します。 この領域に分類される作業は、すぐに価値の高い利益、たとえば直接の投資回収率 (ROI) などを生み出すので、優先順位を高く設定する必要があります。 戦略的な投資- リスク測度が高く、必要な作業や複雑さのレベルが高いことを表します。 この領域に分類される作業は、通常、長期的な性質を持ち、複数のフェーズで発生し ます。この作業は、優先順位を中から高に設定すると共に、戦略の達成に向けた進捗 状況を確認できるように公式なスケジュールを設定して監視および調整する必要があ ります。 作業を目標としてこのようなカテゴリにまとめることによって、各目標の優先順位および順序を 示すロードマップを作成できます。 計画 ロードマップができたら、次のステップは各目標に対する行動計画を作成することです。多くのク イック ヒットの目標については、プロジェクト計画は単純なものになります。一方、戦略的な投資 の目標では、通常、より複雑なマスター プロジェクト計画と、その下位の計画が必要になります。 MOF ガイダンスを活用する場合は、プロジェクト計画で文書化されるタスクの相互依存関係を 正確に見極めるために、各プロセス アクティビティの入力と出力を入念に評価します。各プロジ ェクトについて、MOF の提供フェーズの可視化およびプロジェクト計画 SMF で提供されるガイ ダンスの使用を検討します。提供フェーズで利用可能な関連する作業支援テンプレートとして、" ビジョン スコープ" テンプレートと "機能仕様" テンプレートがあります。このような作業支援資料 は、プロジェクトの目標、目的、前提条件、制約、依存関係、受け入れ基準 (重要な成功要因)、 機能の要件や機能以外の要件を文書化するのに最適です。 最後に、プロジェクト管理オフィス (PMO) などの中心的な機能では、複数のプロジェクトを調整 する監視機能を想定しておく必要があります。これにより、組織では進行中のすべてのプロジェ クトの全体像を把握し、プロジェクト間の問題やリソースの競合を回避または迅速に解決できま す。さらに、PMO ではすべてのプロジェクトのステータスを追跡し、上級管理者にレポートする ことができます。 成功の鍵 MOF を適切に活用するための鍵は、典型的な誤りを避けることです。たとえば、技術的なリス クに甘んじている組織では、より多くのことをより早く取り入れる傾向があります。利益とリスクの 比較や、適切なプロジェクト計画を行わずに、多くの目標を積極的にクイック ヒットとして分類す る可能性があります。通常、このような場合は目標を達成できません。前の「優先順位の設定」 と「計画」で説明されているヒントに従うことにより、このような望ましくない結果を回避し、成功を 保証することができます。 間違いやすいもう 1 つの点は、プロセス間の相互依存関係や COBIT や Val IT のサポートとの 関連を考慮しないで、断片的に MOF ガイダンスを検討することです。MOF はモジュール化さ れた形でも活用できますが、他のプロセスへの影響や他のプロセスからの影響を考慮しないと、 MOF を活用する方法 22 後で大幅な修正が必要になる可能性があります。これは、前の「調整」で説明されているヒント に従うことによって、回避することができます。 これ以外にも、次のような成功へステップがあります。 十分に検討した企業文化との統合- 組織にとって最も大きな落とし穴の 1 つは、変化 が企業文化にうまく統合されないことでしょう。全社的に変化が受け入れられるように するには、経営陣が変化の理由とメリット、変化が各個人にどのように影響するか、お よび各個人が変化の成功にどのように寄与できるかを明確に示す効果的なコミュニケ ーション計画を作成する必要があります。これには、変化のプロセスを通じて、タイムリ ーなコミュニケーションと意味のある内容を提供する必要性を認識し、企業文化に沿っ た形式で示す必要があります。 明確な役割と責任- 役割と責任をあいまいにするのではなく、明確に定義、伝達、およ び認識されるようにします。 意味のある測定基準- 測定基準を定義するときには、測定基準が収集可能で、関連性 があり、定義された目標や目的に従ってパフォーマンスを測定することに意味があるこ とを確認します。 持続可能なプロセス- 高度に複雑なプロセスでは、持続するために多くの労力とリソー スが必要になります。プロセスを管理しやすく、持続可能にするために、分解し、簡素 化することを検討します。 一貫性のある実施- 確固としたポリシー、標準、手続き、およびプロセスが設定されて も、その順守を強制する方法がなければ、コントロールは意図したとおりに機能してい るという錯覚に陥ります。これを回避するには、MOF の管理レビューおよび管理層の SMF を検討します。 マイクロソフト テクノロジ環境における GRC 機能の活用のヒントとガイダンスについては、マイ クロソフトの IT ガバナンスとコンプライアンス ソリューション アクセラレータの Web ページ (http://www.microsoft.com/compliance) (英語) を参照してください。 特に、GRC ガイダンスについては、「IT コンプライアンス管理ガイド (英語)」を参照してください。 このガイドは、MOF に基づくアプローチによって GRC の要件と組織全体のガバナンス構想に 対処するのに役立ちます。このガイドのダウンロードには、IT Compliance Management Resources.xlsx という名前の Excel ブックが含まれています。このブックには、GRC 業務が割 り当てられた IT 部門に適用される高度な目標を一覧表示するワークシートが含まれています。 別のワークシートには、GRC 目標と、これらの目標を達成するための関連するマイクロソフト製 品の構成ガイダンスが含まれています。また、GRC 管理インベントリ ワークシートには、GRC 管理ガイダンスと GRC ソリューションを管理するための追加の製品ガイダンスが含まれていま す。 有益な別の Microsoft Solution Accelerator には、「セキュリティ リスク管理ガイド」もあります。 このガイドは、あらゆるユーザーが適切なセキュリティ リスク管理プログラムを計画、構築、およ び保守できるようになるのを支援します。このガイドも前述の URL の Web サイトで入手できま す。 V. まとめ COBIT および Val IT 環境のサポートにおいて MOF が提供する価値を説明するために、この ガイドでは、各フレームワークの基本事項、MOF と COBIT や Val IT との関係、このような関係 の相互参照マップ (付録 A と B)、および MOF と補助的なマイクロソフトのガイダンスの活用方 法に関するヒントを提供してきました。 各フレームワークが、それぞれ異なる観点から、異なる目的のために設計されていることを説明 しました。Val IT の重点は企業ガバナンス (戦略) に、COBIT の重点は IT コントロール (戦術) に、MOF の重点はサービス管理 (運用) にあります。MOF の SMF プロセスは COBIT のコント ロール目標に直接マップできますが、Val IT に直接マップすることはできません。Val IT の場合、 MOF の SMF プロセスの一部だけが Val IT のプロセスおよび主要管理プラクティスのインター フェイスになります。 次に、事例のシナリオを使用して、MOF ガイダンスについて少し詳しく説明しました。このガイダ ンスには、主な質問事項、アクティビティの入力と出力、およびベスト プラクティスなど、各 SMF プロセスの詳細なアクティビティが含まれていることを示しました。各 MOF フェーズでは、カスタ マイズが容易で、実際に使用できるドキュメントおよびワークシート テンプレートなどのサポート 資料やツールを利用できます。 また、MOF リソースを活用する際の調整、優先順位の設定、計画、および成功の鍵についての ヒントやテクニックも示しました。これらのヒントやテクニックを使用することにより、各組織の環 境で MOF ガイダンスを適切に活用できるようになります。マイクロソフトは、IT ガバナンスとコ ンプライアンス ソリューション アクセラレータの Web サイトでも、MOF に基づく特定の GRC ガ イダンスを提供しています。 このような全体的な情報に基づき、それぞれの IT 環境において MOF を活用し、マイクロソフト のガイダンスに従うことによって、実践的なメリットを得ることができるでしょう。特に、組織にとっ ての主なメリットは、COBIT および Val IT 要件のサポートする際の IT 運用で GRC 機能を有 効にできることにあります。 付録 A – MOF インターフェイスと Val IT の 詳細なマッピング この付録の表は MOF のフェーズごとにまとめられており、関連する Val IT コンポーネント (該当する場合) にマップされた個々の SMF インターフェイスをすべて示しています。MOF と Val IT には重なる部分がなく、すべての SMF プロセスが Val IT プロセスへのインターフ ェイスを持つわけではないことに留意してください。インターフェイスのない SMF プロセスは、 表内では、グレーの背景色のセルに "該当なし" と記載されています。 MOF フェーズ SMF Val IT プロセス ドメイン プロセス 主要管理プラクティス PM1.1 事業戦略と達成目標の IT サービス 戦略の定義 ポートフォリ オ管理 PM1 戦略的方針を策 定し、投資ミックスの目 標を設定する。 明確さをレビューし、確認 する。 PM1.2 IT が事業戦略にもたらす 影響と支援の機会を特定する。 PM1.4 ビジネス戦略と目標を IT 戦略と目標に変換する サービスの 識別と 価値ガバナ ンス VG3 ポートフォリオの特 性を定義する マッピング 計画 ビジネス/IT の連携 PM1 戦略的方針を策 定し、投資ミックスの目 標を設定する。 VG3.1 ポートフォリオの種類を定 義する VG3.2 分類(ポートフォリオ内)を定 義する PM1.3 適切な投資ミックスを定義 する PM4.1 プログラムのビジネスケー スを評価し、相対的点数を付ける。 需要の識別 とビジネス要 求の管理 ポートフォリ オ管理 PM4.2 投資ポートフォリオの全体 概要を作成する。 PM4 資金投入するプロ グラムを評価し、選択す る。 PM4.3 投資の意思決定を行い、伝 達する。 PM4.4 選択したプログラムの節目 を定め、資金を割り当てる。 PM4.5 事業目標、予測、予算を調 整する。 付録 A – MOF インターフェイスと Val IT の詳細なマッピング MOF フェーズ SMF Val IT プロセス ドメイン 主要管理プラクティス VG3.3 個々の分類ごとに評価基 準を策定し、伝達する。 IT サービス ポートフォリ オの作成と評 価 ビジネス/IT の連携 プロセス VG3 ポートフォリオの特 性を定義する 価値ガバナ ンス サービス レ ベル管理 VG3. 基準を重み付けする。 VG3.5 個々の分類ごとに節目での レビューとその他のレビューに関す る要件を定義する。 VG5.1 主要な測定指標を特定す る。 VG5 有効なガバナンス 監視を確立する。 VG5.2 情報収集のプロセスとアプ ローチを定義する。 VG5.3 報告の方法と技法を定義 する。 計画 信頼性 実装 ポートフォリ オ管理 PM6 投資ポートフォリオ の成果を最適化する。 計画の監視 と改善 PM6.1 投資ポートフォリオの成果 を最適化する。 PM6.2 投資ポートフォリオの優先 順位を見直す。 VG2.2 現行プロセスの品質と適用 範囲を評価する ポリシーが必 要な領域の 決定 VG2.3 プロセス要件を特定し、優 先順位を付ける。 計画 ポリシーの作 成 VG2 プロセスを定義し、 導入する。 ポリシーの検 証 VG2.4 プロセスを定義し、文書化 する ポリシー ポリシーの公 開 VG2.5 役割、実行責任、説明責任 を定め、実施し、伝達する。 価値ガバナ ンス ポリシーの適 用および評 価 VG2.6 組織構造を確立する VG5 有効なガバナンス 監視を確立する。 VG5.4 成果改善策を明確化し、監 視する ポリシーのレ ビューおよび 保守 VG4.1 主要な測定指標を特定す る 財務管理 サービス要件 の確立およ び予算計画 VG4 バリューマネジメン トと企業財務計画を整 合し、統合する。 VG4.2 情報収集のプロセスとアプ ローチを定義する VG4.3 報告の方法と技法を定義 する。 サービス要件 の確立およ び予算計画 財務管理 計画 PM2 資金源と調達可能 性を特定する。 PM2.1 投資資金全体を確定する VG4 バリューマネジメン トと企業財務計画を整 合し、統合する。 VG4.4 バリューマネジメントのため の最適な財務計画手順を導入す る。 VG5 有効なガバナンス 監視を確立する。 VG5.4 成果改善策を明確化し、監 視する。 財務管理 IT アカウント およびレポー トの実行 管理レビュ ー ポートフォリ オ管理 サービスの連 携 価値ガバナ ンス 25 付録 A – MOF インターフェイスと Val IT の詳細なマッピング MOF フェーズ SMF Val IT プロセス ポートフォリ オ管理 ドメイン ポートフォリ オ管理 プロセス 主要管理プラクティス PM5 投資ポートフォリオ の成果を監視し、報告 する。 PM5.1 投資ポートフォリオの成果 を監視し、報告する。 PM6 投資ポートフォリオ の成果を最適化する。 PM6.1 投資ポートフォリオの成果 を最適化する。 PM6.2 投資ポートフォリオの優先 順位を見直す。 26 付録 A – MOF インターフェイスと Val IT の詳細なマッピング MOF フェーズ SMF Val IT プロセス ドメイン プロセス コア チーム の組織 可視化 主要管理プラクティス IM1.1 投資機会を認識する。 ビジョン/スコ ープ ドキュメ ントの作成 IM1 初期段階のプログ ラムコンセプトに基づく ビジネスケースを作成 し、評価する。 IM1.2 初期段階のプログラムコン セプトに基づくビジネスケースを作 成する。 製品とテクノ ロジの評価 IM2 候補となるプログラ ムと導入オプションを理 解する。 IM2. 候補となるプログラムについ て明確で完全な理解を得る。 機能仕様の 作成 IM4 ライフサイクル全体 のコストと効果を策定す る。 ビジョン/スコ ープ ドキュメ ントの承認 IM1.3 初期段階のプログラムコン セプトに基づくビジネスケースを評 価する。 IM2.2 代替案の分析を実施する。 IM4.1 ライフサイクル全体の プロジェク ト計画 マスター プロ ジェクト計画 のパッケージ 化 マスター スケ ジュールの作 成 提供 IM5 候補となるプログラ ムの詳細なビジネスケ ースを作成する。 プロジェクト 計画の承認 されたマイル ストーンのレ ビュー 投資管理 コストと効果を特定する。 IM4.2 効果実現計画を策定する。 IM4.3 適切なレビューを実施し、承 認を得る。 IM5.1 プログラムの詳細なビジネ スケースを作成する。 IM5.2 明確な説明責任と担当責任 を割り当てる。 IM3 プログラム計画を 策定する。 IM3.1 プログラム計画を策定する。 IM5 候補となるプログラ ムの詳細なビジネスケ ースを作成する。 IM5.3 適切なレビューを実施し、承 認を得る。 IM6 プログラムを開始 し、管理する。 IM6.2 プログラムを管理する 開発の準備 ソリューション の開発 構築 リリースの準 備 スコープ完成 マイルストー ンのレビュー リリース候補 の安定化 安定化 パイロット テ ストの実施 リリース準備 マイルストー ンのレビュー 展開 コア コンポー ネントの展開 27 付録 A – MOF インターフェイスと Val IT の詳細なマッピング MOF フェーズ SMF Val IT プロセス ドメイン プロセス 主要管理プラクティス IM6 プログラムを開始 し、管理する。 IM6.2 プログラムを管理する。 IM7 運用 IT ポートフォ リオを更新する IM7.1 運用 IT ポートフォリオを更 新する。 IM8 ビジネスケースを更 新する。 IM8.1 ビジネスケースを更新する。 サイトの展開 展開の安定 化 展開 提供 管理レビュ ー 展開完成マイ ルストーンの レビュー プロジェクト 計画承認 リリースの準 備 投資管理 IM6 プログラムを開始 し、管理する。 IM6.2 プログラムを管理する。 28 付録 A – MOF インターフェイスと Val IT の詳細なマッピング MOF フェーズ SMF Val IT プロセス ドメイン プロセス 主要管理プラクティス 該当なし 該当なし 該当なし 運用作業要 件の定義 運用作業指 示の構築 運用作業の 計画 運用 運用作業の 実行 運用作業指 示の保守 運用作業の 管理 VG5.1 主要な測定指標を特定す る サービス監視 要件の定義 価値ガバナ ンス VG5 有効なガバナンス 監視を確立する。 VG5.2 情報収集のプロセスとアプ ローチを定義する VG5.3 報告の方法と技法を定義 する 新しいサービ スの実装 サービス監 視と制御 継続的な監 視 運用 制御とレポー ト 該当なし 該当なし 該当なし 価値ガバナ ンス VG5 有効なガバナンス 監視を確立する。 VG5.4 成果改善策を明確化し、監 視する ポートフォリ オ管理 PM5 投資ポートフォリオ の成果を監視し、報告 する。 PM5.1 投資ポートフォリオのパフ ォーマンスを監視およびレポートす る 価値ガバナ ンス VG5 効果的なガバナン スの監視を確立する VG5.4 パフォーマンス向上アクショ ンを識別および監視する ポートフォリ オ管理 PM5 投資ポートフォリ オのパフォーマンスを監 視およびレポートする PM5.1 投資ポートフォリオのパフ ォーマンスを監視およびレポートす る 該当なし 該当なし 該当なし 投資管理 IM9 プログラムを監視 し、報告する。 IM9.3 運用(サービス提供)の成果 について監視し、報告する。 該当なし 該当なし 該当なし 投資管理 IM9 プログラムを監視 し、報告する。 IM9.3 運用(サービス提供)の成果 について監視し、報告する。 ユーザーの 要求の記録 ユーザーの 要求の分類 顧客サービ ス 要求の解決 解決の確認 と要求処理 の完了 適切なサービ スの実施 問題の文書 化 問題管理 問題のフィル ター処理 問題の調査 運用 問題管理 成果の調査 29 付録 A – MOF インターフェイスと Val IT の詳細なマッピング MOF フェーズ SMF 管理レビュ ー Val IT プロセス ドメイン プロセス 主要管理プラクティス PM5 投資ポートフォリオ の成果を監視し、報告 する。 PM5.1 投資ポートフォリオの成果 を監視し、報告する ポートフォリ オ管理 稼働状態 PM6 投資ポートフォリオ の成果を最適化する。 投資管理 IM9 プログラムを監視 し、報告する。 PM6.1 投資ポートフォリオの成果 を最適化する PM6.2 投資ポートフォリオの優先 順位を見直す。 IM9.3 運用(サービス提供)の成果 について監視し、報告する。 30 付録 A – MOF インターフェイスと Val IT の詳細なマッピング MOF フェーズ SMF Val IT プロセス ドメイン プロセス 主要管理プラクティス VG1.1 IT の意義とガバナンスの 役割に関する理解を得る。 VG1.2 有効な指揮命令系統を確 立する。 VG1 情報に裏付けられ た確固たるリーダーシッ プを確立する。 VG1.3 指導者層のフォーラムを設 立する。 VG1.4 企業にとっての価値を定義 する。 VG1.5 主要なビジネス達成目標に 基づき事業と IT 戦略の整合およ び統合を確保する。 VG2.1 価値ガバナンスのフレーム ワークを定義する。 IT ガバナン スの確立 管理層 価値ガバナ ンス VG2.2 現行プロセスの品質と適用 範囲を評価する。 VG2 プロセスを定義し、 導入する。 ガバナン ス、リスク、 コンプライ アンス VG2.3 プロセス要件を特定し、優 先順位を付ける。 VG2.4 プロセスを定義し、文書化 する。VG2.5 役割、実行責任、説 明責任を定め、実施し、伝達する。 VG2.6 組織構造を確立する。 VG5.1 主要な測定指標を特定す る。 VG5 有効なガバナンス 監視を確立する。 VG5.2 情報収集のプロセスとアプ ローチを定義する。 VG5.3 報告の方法と技法を定義 する。 VG5.4 成果改善策を明確化し、監 視する。 リスクの評 価、監視、お よび管理 PM5 投資ポートフォリオ の成果を監視し、報告 する。 ポートフォリ オ管理 PM6 投資ポートフォリオ の成果を最適化する。 PM5.1 投資ポートフォリオの成果 を監視し、報告する。 PM6.1 投資ポートフォリオの成果 を最適化する。 PM6.2 投資ポートフォリオの優先 順位を見直す。 IM9.1 プログラム(ソリューション提 供)の成果について監視し、報告す る。 ガバナン ス、リスク、 コンプライ アンス リスクの評 価、監視、お よび管理 IM9 プログラムを監視 し、報告する。 投資管理 IM9.3 運用(サービス提供)の成果 について監視し、報告する。 管理層 変更と構成 IM9.2 ビジネス(効果/成果)の成果 について監視し、報告する。 IM10 プログラムを終了 する。 IM10.1 プログラムを終了する。 指示の順守 該当なし 該当なし 該当なし 構成のベー スラインの定 義 該当なし 該当なし 該当なし 変更の開始 31 付録 A – MOF インターフェイスと Val IT の詳細なマッピング MOF フェーズ SMF Val IT プロセス ドメイン プロセス 主要管理プラクティス 変更の分類 変更の承認 とスケジュー ル 変更の作成 とテスト 変更のリリー ス 変更の検証 とレビュー PM3.1 事業部門の人的資源の一 覧を作成し、維持する PM3.2 (事業部門の人的資源につ いて)現在および将来の需要を理 解する PM3.3(事業部門の人的資源につ いて現在および将来の需要間の) 不足状況を特定する PM3.4 (事業部門の人的資源につ いて)戦術計画を作成し、維持す る。 チーム 必要な変更 の識別 ポートフォリ オ管理 PM3 人的資源の調達 可能性を管理する。 PM3.5 (事業部門の要員配置を) 監視、レビュー、調整する PM3.6 IT 関連の人的資源の一覧 を作成し、維持する PM3.7 (IT 関連の人的資源につい て)現在および将来の需要を理解 する PM3.8 IT 関連の人的資源につい て現在および将来の需要間の)不 足状況を特定する PM3.9 (IT 関連の人的資源につい て)戦術計画を作成し、維持する 実行責任の 割り当て チーム 役割の割り 当て ポートフォリ オ管理 管理層 管理レビュ ー ポリシーと制 御 価値ガバナ ンス PM3 人的資源の調達 可能性を管理する。 PM3.10 (IT 部門の要員配置を)監 視、レビュー、調整する。 VG6 バリューマネジメン ト手順を継続的に改善 する VG6.1 得られた教訓を取り入れ る。 32 付録 B – MOF コンポーネントと COBIT の詳 細なマッピング この付録の表は MOF のフェーズごとにまとめられており、関連する COBIT コンポーネント (該当する場合) にマップされた個々の SMF をすべて示しています。一部の SMF プロセス は、対応する COBIT ドメインではなく、別の COBIT ドメインにマップされています。たとえば、 計画フェーズのビジネス/IT の連携 SMF の サービス レベル管理プロセスは、COBIT のサ ービス提供とサポート ドメインの DS1 プロセスにマップされています。逆に、特定の COBIT プロセスが対応する MOF フェーズにマップされていない場合もあります。たとえば、COBIT の PO10 プロジェクト管理プロセスは、MOF の計画フェーズの SMF ではなく、MOF の提 供フェーズの 可視化と プロジェクト計画の SMF にマップされています。このような項目に ついて、各 MOF フェーズの表の最後に記載しています。 MOF フェーズ SMF COBIT プロセス ドメイン IT サービス 戦略の定義 プロセス PO1 IT 戦略計画の策 定 コントロール目標 PO1.1 IT 価値の管理 PO1.2 ビジネスと IT の整合 PO1.4 IT 戦略計画 サービスの識 別とマッピン グ 需要の識別 とビジネス要 求の管理 ビジネス/IT の連携 PO1 IT 戦略計画の策 定 計画と組織 PO1 IT 戦略計画の策 定 IT サービス ポートフォリ オの作成と評 価 PO1.2 ビジネスと IT の整合 PO1.5 IT 実行計画 PO1.2 ビジネスと IT の整合 PO1.5 IT 実行計画 PO1.3 現在の能力と成果の評価 PO1 IT 戦略計画の策 定 DS1.1 サービス レベル管理フレー ムワーク 計画 サービス レ ベル管理 サービス提 供とサポート DS1 サービス レベルの 定義と管理 DS1.2 サービスの定義 DS1.3 サービス レベル アグリーメ ント DS1.4 オペレーショナルレベル・ア グリーメント PO2.1 企業の情報アーキテクチャ モデル PO2 情報アーキテクチ ャの定義 信頼性 計画 計画と組織 PO2.2 企業データ ディクショナリ およびデータ構文規則 PO2.3 データ分類体系 PO3.1 技術指針計画の策定 計画 信頼性 実装 計画と組織 PO3 技術指針の決定 PO3.2 技術インフラストラクチャ計 画 PO2 情報アーキテクチ ャの定義 PO2.4 インテグリティの管理 PO3 技術指針の決定 PO3.4 技術標準 PO3.5 IT アーキテクチャ委員会 34 付録 B – MOF コンポーネントと COBIT の詳細なマッピング MOF フェーズ SMF COBIT プロセス ドメイン プロセス コントロール目標 PO3 技術指針の決定 PO3.3 将来の動向および規制の モニタリング PO8.1 品質管理システム PO8.2 IT 標準および品質の実践 基準 計画の監視 と改善 PO8 品質管理 PO8.3 開発および調達基準 PO8.4 顧客中心 PO8.5 継続的改善 PO8.6 品質の測定、監視、および レビュー PO6 マネジメントの意 図と指針の周知 PO6.1 IT ポリシーおよび統制環 境 PO6.2 企業の IT リスクおよび内 部統制のフレームワーク PO9.1 IT リスクマネジメントとビジ ネスリスクマネジメントの整合 ポリシーが必 要な領域の 決定 PO9.2 リスクをめぐる状況の明確 化 PO9 IT リスクの評価と 管理 PO9.3 イベントの特定 PO9.4 リスク評価 PO9.5 リスクへの対応 ポリシー ポリシー 財務管理 PO9.6 リスク対応実行計画の維持 およびモニタリング ポリシーの作 成 PO6 マネジメントの意 図と指針の周知 PO6.3 IT ポリシーの管理 ポリシーの検 証 PO6 マネジメントの意 図と指針の周知 PO6.3 IT ポリシーの管理 ポリシーの公 開 PO6 マネジメントの意 図と指針の周知 PO6.3 IT ポリシーの管理 ポリシーの適 用および評 価 PO6 マネジメントの意 図と指針の周知 PO6.3 IT ポリシーの管理 ポリシーのレ ビューおよび 保守 PO6 マネジメントの意 図と指針の周知 PO6.3 IT ポリシーの管理 サービス要件 および計画 予算の確立 PO5 IT 投資の管理 PO6.4 ポリシー、標準、および手 続きの展開 PO5.1 IT 財務管理フレームワーク PO5.2 IT 予算内での優先順位の 決定 計画と組織 財務管理 PO6.5 IT 目標と指針の周知 PO5 IT 投資の管理 PO5.3 IT 予算編成 PO5.4 コスト管理 計画 IT アカウント およびレポー トの実行 管理レビュ ー PO5 IT 投資の管理 PO5.4 コスト管理 PO5.5 便益管理 サービスの連 携 サービス提 供とサポート DS1 サービス レベルの 定義と管理 DS1.5 サービス レベル達成状況 の監視と報告 ポートフォリ オ管理 計画と組織 PO1 IT 戦略計画の策 定 PO1.6 IT ポートフォリオの管理 付録 B – MOF コンポーネントと COBIT の詳細なマッピング 注: COBIT の PO4 IT プロセスと組織およびそのかかわりの定義のプロセス、およびコント ロール目標は、MOF の管理層の GRC SMF にマップされます。 COBIT の PO7 IT 人材の管理のプロセスおよびコントロール目標は、MOF の管理層 の チーム SMF にマップされます。 COBIT の PO10 プロジェクト管理のプロセスおよびコントロール目標は、MOF の提供 フェーズの 可視化および プロジェクト計画 SMF、および管理層の IT ガバナンスの確 立 SMF にマップされます。 35 36 付録 B – MOF コンポーネントと COBIT の詳細なマッピング MOF フェーズ SMF COBIT プロセス ドメイン プロセス コア チーム の組織 可視化 ビジョン/スコ ープ ドキュメ ントの作成 コントロール目標 PO10.4 利害関係者の関与 PO10.5 プロジェクト範囲の記述 計画と組織 PO10 プロジェクト管理 ビジョン/スコ ープ ドキュメ ントの承認 PO10.6 プロジェクトの各フェーズ の開始 AI1.1 ビジネスの機能的および技 術的要件の定義と保守 AI1 コンピューター化対 応策の明確化 AI1.3 実現可能性調査および代替 対応策の策定 AI1.4 要件および実現可能性の決 定および承認 製品とテクノ ロジの評価 AI2 アプリケーション ソ フトウェアの調達と保守 提供 AI3 技術インフラストラ クチャの調達と保守 プロジェク ト計画 AI1.2 リスク分析報告 調達と導入 機能仕様の 作成 AI1 コンピューター化対 応策の明確化 AI2.1 概要設計 AI3.1 技術インフラストラクチャの 調達計画 AI3.2 インフラストラクチャ資源の 保護と可用性 AI1.1 ビジネスの機能的および技 術的要件の定義と保守 AI2.2 詳細設計 AI2 アプリケーション ソ フトウェアの調達と保守 AI2.9 アプリケーション要件の管理 AI2.10 アプリケーション ソフトウェ アの保守 AI5.1 調達のコントロール AI5 IT 資源の調達 マスター プロ ジェクト計画 のパッケージ 化 AI5.3 サービスプロバイダの選択 AI5.4 IT 資源の調達 AI7 ソリューションおよ びその変更の導入と認 定 マスター プロ ジェクト計画 のパッケージ 化 提供 プロジェク ト計画 マスター スケ ジュールの作 成 プロジェクト 計画承認マイ ルストーンの レビュー AI5.2 サービスプロバイダとの契約 の管理 AI7.2 テスト計画 AI7.3 導入計画 AI7.5 システムおよびデータの変 換 PO10.7 統合プロジェクト計画 PO10.8 プロジェクトの資源 PO10 プロジェクト管理 計画と組織 PO10 プロジェクト管理 PO10.9 プロジェクトのリスク マネ ジメント PO10.10 プロジェクトの品質計画 37 付録 B – MOF コンポーネントと COBIT の詳細なマッピング MOF フェーズ SMF COBIT プロセス ドメイン 開発の準備 プロセス コントロール目標 AI3 技術インフラストラ クチャの調達と保守 AI3.3 インフラストラクチャの保守 AI7 ソリューションおよ びその変更の導入と認 定 AI7.4 テスト環境 AI3.4 実現可能性テスト環境 AI2.3 業務処理統制および可監査 性 AI2.4 アプリケーションのセキュリ ティおよび可用性 調達と導入 ソリューション の開発 AI2 アプリケーション ソ フトウェアの調達と保守 構築 AI2.5 調達したアプリケーション ソ フトウェアの構成および導入 AI2.7 アプリケーション ソフトウェア の開発 AI2.6 既存システムの大幅なアッ プグレード リリースの準 備 スコープ完成 マイルストー ンのレビュー AI2.8 ソフトウェアの品質保証 サービス提 供とサポート DS7 利用者の教育と研 修 DS7.1 教育と研修のニーズの特 定 計画と組織 PO10 プロジェクト管理 PO10.9 プロジェクトのリスク マネ ジメント 調達と導入 AI7 ソリューションおよ びその変更の導入と認 定 リリース候補 の安定化 安定化 パイロット テ ストの実施 リリース準備 マイルストー ンのレビュー 計画と組織 PO10 プロジェクト管理 AI7.6 変更のテスト AI7.7 最終受け入れテスト PO10.9 プロジェクトのリスク マネ ジメント AI4.1 運用上のソリューションの計 画 展開 コア コンポー ネントの展開 調達と導入 AI4 運用と利用の促進 AI4.2 ビジネス部門の管理者への 知識の移転 AI4.3 エンド ユーザーへの知識の 移転 AI4.4 運用スタッフおよびサポート スタッフへの知識の移転 コア コンポー ネントの展開 サービス提 供とサポート DS7 利用者の教育と研 修 展開 調達と導入 提供 管理レビュ ー DS7.3 受講研修内容の評価 AI7.8 本番環境への移行 サイトの展開 展開の安定 化 DS7.2 教育と研修の実施 AI7 ソリューションおよ びその変更の導入と認 定 AI7.6 変更のテスト 展開完成マイ ルストーンの レビュー AI7.9 導入後レビュー プロジェクト 計画承認 PO10.6 プロジェクトの各フェーズ の開始 計画と組織 リリースの準 備 PO10 プロジェクト管理 PO10.9 プロジェクトのリスク マネ ジメント 付録 B – MOF コンポーネントと COBIT の詳細なマッピング 注: COBIT の AI6 変更管理のプロセスおよびコントロール目標は、MOF の管理層の 変更 と構成 SMF にマップされます。 38 39 付録 B – MOF コンポーネントと COBIT の詳細なマッピング MOF フェーズ SMF COBIT プロセス ドメイン プロセス 運用作業要 件の定義 コントロール目標 DS13.1 オペレーション手続きと指 示 運用作業指 示の構築 DS13 オペレーション管 理 DS13.2 業務のスケジュール策定 DS13.3 T インフラストラクチャのモ ニタリング DS13.4 機密文書と出力デバイス DS13.5 ハードウェアの予防的保 守 DS4 継続的なサービス の保証 DS4.1 IT 継続フレームワーク DS4.1 IT 継続計画 DS4.3 重要な IT 資源 運用 運用 運用作業の 計画 DS5.1 IT セキュリティの管理 サービス提 供とサポート DS5 システム セキュリ ティの保証 DS5.2 IT セキュリティ計画 DS5.3 ID 管理 DS5.6 セキュリティ インシデントの 定義 DS6 費用の捕捉と配賦 DS11 データ管理 DS12 物理的環境の管 理 DS6.1 サービスの定義 DS11.1 データ管理におけるビジ ネス要件 DS11.6 データ管理におけるセキ ュリティ上の要件 DS12.1 サイトの選定と配置 DS13.2 業務のスケジュール策定 運用作業の 実行 DS13 オペレーション管 理 DS13.3 IT IT インフラストラクチャ のモニタリング DS13.4 機密文書と出力デバイス DS13.5 ハードウェアの予防的保 守 DS4.4 IT 継続計画の保守 DS4.5 IT 継続計画のテスト DS4.6 IT 継続計画に関する研修 運用 運用 運用作業の 実行 サービス提 供とサポート DS4 継続的なサービス の保証 DS4.7 IT 継続計画の配布 DS4.8 IT サービスの復旧および 再開 DS4.9 遠隔地におけるバックアッ プ保管施設 40 付録 B – MOF コンポーネントと COBIT の詳細なマッピング MOF フェーズ SMF COBIT プロセス ドメイン プロセス コントロール目標 DS5.4 ユーザー アカウントの管理 DS5.5 セキュリティのテスト、監 視、モニタリング DS5.7 セキュリティ技術の保護 DS5 システム セキュリ ティの保証 DS5.8 暗号鍵の管理 DS5.9 不正ソフトウェアの阻止、発 見、および是正 DS5.10 ネットワークのセキュリテ ィ DS5.11 機密データの交換 DS6.2 IT 財務管理 DS6 費用の捕捉と配賦 DS6.3 費用モデルの策定と費用 請求 DS11.2 データの保管と保持の調 整 DS11 データ管理 DS11.3 メディア ライブラリ管理シ ステム DS11.4 廃棄 DS11.5 バックアップと復元 DS12 物理的環境の管 理 DS12.2 物理的なセキュリティ対策 DS12.3 物理的アクセス DS12.4 環境的要因からの保護 運用作業指 示の保守 運用作業の 管理 運用 運用作業の 管理 運用 サービス監視 要件の定義 サービス提 供とサポート DS13 オペレーション管 理 DS13.1 オペレーション手続きと指 示 DS4 継続的なサービス の保証 DS4.10 再開後のレビュー DS5 システム セキュリ ティの保証 DS5.5 セキュリティのテスト、監 視、モニタリング DS6 コストの捕捉と配 賦 DS6.4 費用モデルの保守 DS12 物理的環境の管 理 DS12.5 物理的施設の管理 DS13 オペレーション管 理 DSIT インフラストラクチャのモニタ リング DS1 サービス レベルの 定義と管理 DS1.2 サービスの定義 DS2 サードパーティの サービスの管理 DS2.1 すべてのサービスプロバイ ダとのリレーションシップの特定 DS1.3 サービスレベル・アグリーメ ント DS3.1 性能とキャパシティの計画 策定 サービス監 視と制御 DS3 性能とキャパシテ ィの管理 新しいサービ スの実装 継続的な監 視 DS3.2 現状の性能とキャパシティ DS3.3 将来の性能とキャパシティ DS3.4 IT 資源の可用性 DS1 サービス レベルの 定義と管理 DS1.5 サービスレベル達成状況の モニタリングと報告 41 付録 B – MOF コンポーネントと COBIT の詳細なマッピング MOF フェーズ SMF COBIT プロセス ドメイン プロセス コントロール目標 DS2 サードパーティの サービスの管理 DS2.4 サービスプロバイダの成果 のモニタリング DS3 性能とキャパシテ ィの管理 DS3.5 モニタリングと報告 DS1 サービス レベルの 定義と管理 制御とレポー ト DS2 サードパーティの サービスの管理 DS3 性能とキャパシテ ィの管理 ユーザーの 要求の記録 DS2.2 サービスプロバイダとのリ レーションシップ管理 DS2.3 サービスプロバイダにかか わるリスクの管理 DS3.5 モニタリングと報告 DS8.2 顧客からの問い合わせの 登録 DS8 サービス デスクと インシデントの管理 要求の解決 解決の確認 と要求処理 の完了 顧客サービ ス DS1.6 サービスレベル・アグリーメ ントと請負契約の見直し DS8.1 サービス デスク ユーザーの 要求の分類 顧客サービ ス DS1.5 サービスレベル達成状況の モニタリングと報告 DS8.3 インシデント エスカレーショ ン DS8.4 インシデントのクローズ 適切なサービ スの実施 DS8 サービス デスクと インシデントの管理 DS8.5 報告と傾向分析 問題の文書 化 DS10.1 問題の特定と分類 問題のフィル ター処理 問題管理 DS10 問題管理 問題の調査 DS10.2 問題の追跡と解決 DS10.3 問題のクローズ 成果の調査 サービス提 供とサポート 運用 管理レビュ ー DS10.4 構成管理、インシデント管 理、および問題管理の統合 DS13 オペレーション管 理 DS1 サービス レベルの 定義と管理 稼働状態 DSIT インフラストラクチャのモニタ リング DS1.5 サービスレベル達成状況の モニタリングと報告 DS1.6 サービスレベル・アグリーメ ントと請負契約の見直し DS3 性能とキャパシテ ィの管理 DS3.5 モニタリングと報告 DS8 サービス デスクと インシデントの管理 DS8.5 報告と傾向分析 42 付録 B – MOF コンポーネントと COBIT の詳細なマッピング MOF フェーズ SMF COBIT プロセス ドメイン プロセス コントロール目標 ME1.1 モニタリングアプローチ ME1.2 モニタリングデータの定義 と収集 監視と評価 ME1 IT 成果のモニタリ ングと評価 ME1.3 モニタリング方法 ME1.4 成果評価 ME1.5 取締役会と経営層への報 告 ME1.6 是正措置 注: COBIT の DS7 利用者の教育と研修のプロセスとコントロール目標は、MOF の提供フ ェーズの 構築および 展開 SMF にマップされます。 COBIT の DS9 構成管理のプロセスおよびコントロール目標は、MOF の管理層の 変 更と構成 SMF にマップされます。 43 付録 B – MOF コンポーネントと COBIT の詳細なマッピング MOF フェーズ SMF COBIT プロセス ドメイン プロセス コントロール目標 PO4.1 IT プロセス フレームワーク PO4.2 IT 戦略委員会 PO4 IT プロセスと組織 及びそのかかわりの定 義 PO4.3 IT 運営委員会 PO4.4 組織における IT 部門の配 置 PO4.5 IT 組織の構造 PO4.6 役割と責任の確立 計画と組織 PO4.15 リレーションシップ PO10.1 プログラム管理フレーム ワーク IT ガバナン スの確立 PO10 プロジェクト管理 管理層 PO10.2 プロジェクト管理フレーム ワーク PO10.3 プロジェクト管理のアプロ ーチ ガバナン ス、リスク、 コンプライ アンス ME4.1 IT ガバナンス フレームワ ークの確立 ME4 IT ガバナンスの提 供 ME4.2 戦略との整合 ME4.3 価値の提供 ME4.4 資源の管理 ME4.5 リスクの管理 ME2.1 内部統制フレームワークの モニタリング 監視と評価 ME2.2 監督レビュー リスクの評 価、監視、お よび管理 ME2.3 コントロールの例外事項 ME2 内部統制のモニタ リングと評価 ME2.4 コントロールセルフ評価 ME2.6 サードパーティにおける内 部統制 ME2.7 是正措置 指示の順守 ME2.5 内部統制の保証 ME3.1 外部法律、規制、および契 約のコンプライアンス要件の特定 ガバナン ス、リスク、 コンプライ アンス ME3.2 外部要件への対応の最適 化 指示の順守 監視と評価 ME3 外部要件に対する コンプライアンスの保証 ME3.3 外部要件に対するコンプラ イアンスの評価 ME3.4 コンプライアンスの積極的 な保証 ME3.5 報告の統合 管理層 DS9.1 構成リポジトリとベースライ ン 変更と構成 構成のベー スラインの定 義 サービス提 供とサポート DS9 構成管理 DS9.2 構成管理アイテムの識別と 保守 DS9.3 構成のインテグリティのレビ ュー 変更の開始 調達と導入 変更の分類 AI6 変更管理 AI6.1 変更の標準と手続き AI6.2 影響評価、優先順位付け、 44 付録 B – MOF コンポーネントと COBIT の詳細なマッピング MOF フェーズ SMF COBIT プロセス ドメイン プロセス コントロール目標 変更の承認 とスケジュー ル および認可 変更の作成 とテスト AI6.5 変更の終了および文書化 AI6.3 緊急変更 AI6.4 変更の状況追跡および報告 変更のリリー ス 変更の検証 とレビュー PO4 IT プロセスと組織 およびそのかかわりの 定義 PO4.12 IT スタッフの配置 PO4.13 主要 IT 担当者 PO7.1 要員の募集および保持 チーム 必要な変更 の識別 PO7.2 要員の能力 計画と組織 PO7.3 役割に応じた人材配置 PO7 IT 人材の管理 PO7.4 要員の研修 PO7.5 個人に対する依存 PO7.6 要員の人事認可手続き PO7.7 従業員の業績評価 PO7.8 職務の変更および解雇 PO4.6 役割と責任の確立 PO4.7 IT の品質保証の責任 実行責任の 割り当て チーム PO4. リスク、セキュリティ、および コンプライアンスに関する責任 計画と組織 PO4 T プロセスと組織 及びそのかかわりの定 義 PO4.9 データおよびシステムのオ ーナーシップ PO4.10 監督 PO4.11 職務の分離 管理層 PO4.14 契約社員に関するポリシ ーおよび手続き 役割の割り 当て 管理レビュ ー ポリシーと制 御 監視と評価 ME2 内部統制のモニタ リングと評価 ME2.1 内部統制フレームワークの モニタリング ME2.3 コントロールの例外事項 ME2.7 是正措置 注: COBIT の ME1 IT 成果の監視と評価のプロセスとコントロール目標は、MOF の運用フ ェーズの 稼働状態管理レビュー SMF にマップされます。 付録 C – 用語集 Control Objectives for Information and related Technology (COBIT) Information Systems Audit and Control Association (ISACA) 傘下の Information Technology Governance Institute (ITGI) によって作成および公開された IT ガバナンス のコントロール フレームワーク。COBIT は、ドメインやプロセス フレームワーク全体のグッド プラクティスを提供し、管理しやすい論理的な構造でアクティビティを示します。COBIT のグ ッド プラクティスは専門家のコンセンサスを表しています。これらのプラクティスは、実行より もコントロールに大きな重点を置いています。これらのプラクティスによって、IT 化投資を最 適化し、サービスの提供を保証し、適切に機能していない場合には、それを判断するため の手段を提供することができます。 EUDPD (European Union Data Protection Directive: 欧州連合データ保護指令) 個人データの処理に関する個人の保護および当該データの自由な移動に対する欧州連合 (EU) の指令 95/46/EC。1995 年に欧州委員会によって施行されました。 GLBA (Graham-Leach-Bliley Act: グラム リーチ ブライリー法) Gramm-Leach-Bliley Financial Services Modernization Act (グラム リーチ ブライリー金 融サービス近代化法), Pub.L. 106-102, 113 Stat. 1338 とも呼ばれる、1999 年 11 月 12 日に米国議会によって制定された法律。Glass-Steagall Act of 1933 (1933 年グラス ステ ィーガル法) の一部を廃止し、銀行、証券会社、保険会社の競争が認められました。コンプ ライアンスに関する、この法律の下での主な規則には、金融機関による顧客の個人的な金 融情報の収集と開示について定めた "The Financial Privacy Rule (金融プライバシー規 則)" があります。この規則は、金融機関であるかどうかに関係なく、このような情報を受け 取る企業に適用されます。"Safeguards Rule (セーフガード規則)" では、すべての金融機 関に対して、顧客情報を保護するためのセーフガードを設計、実装、および維持することが 求められています。 GRC ガバナンス (IT) – IT ガバナンスは、上級管理職によって主導されます。その構成するアク ティビティによって、決定権限を持つ担当者が明確になり、アクションの説明責任と成果の 実行責任が特定され、予測されたパフォーマンスの評価方法が決定されます。 リスク – ビジネスまたは IT 目標に対する悪影響の可能性。リスクは、影響の大きさと可能 性で測定されます。 コンプライアンス – 政府による規制、法律、および企業固有のポリシーに対する IT の準拠 を保証するためのリスク管理を適用すること。組織が実行すると宣言した内容を実際に実 行していることを保証するための手段です。 ITIL (Information Technology Infrastructure Library) ITIL は、情報技術 (IT) のインフラストラクチャ、開発、および運用を管理するための概念お よびポリシーをまとめたものです。ITIL は、それぞれが IT 管理トピックに関する一連の書 籍として発行されました。ITIL および IT Infrastructure Library は、英国 OGC (Office of Government Commerce: 政府商務局) の登録商標です。ITIL には、多くの重要な IT プラ 付録 C – 用語集 46 クティスの詳細な説明と共に、それぞれの IT 組織に合わせて調整できる総合的なチェック リスト、タスク、および手続きが示されています。 Information Systems Audit and Control Association (ISACA) 教育、リソース、共有、提唱、および専門的なネットワーキングによって、専門家のメンバー をサポートすることにより、IT ガバナンスおよびコントロールの標準やプラクティスの普及を 促進する非営利団体。 Information Technology Governance Institute (ITGI) IT 資産のガバナンスに関連する問題について、世界のビジネス コミュニティにガイダンスを 提供する非営利の独立系研究団体。ITGI は、1998 年に、非営利の会員団体である ISACA によって設立されました。その目的は、企業の目標に沿った形で IT が価値を生み 出し、そのリスクを軽減できること、IT リソースが適切に割り当てられること、および IT のパ フォーマンスを測定できるようにすることです。 Microsoft Operations Framework (MOF) MOF は、IT プロフェッショナルに対し、IT ライフサイクル全体にわたってガイダンスを提供 するために、マイクロソフトによって作成されました。2008 年初めに完成した MOF 4.0 で は、コミュニティで生成されたプロセス、ガバナンス、リスク、コンプライアンスのアクティビテ ィ、管理レビュー、およびベスト プラクティスが統合されています。MOF のガイダンスには、 IT サービスの管理に関連するすべてのアクティビティおよびプロセス (概念、開発、運用、 保守、および廃止) が含まれています。 運用レベル アグリーメント (OLA) サービス レベル アグリーメント (SLA) に定められた用件をサポートする 1 つ以上の IT チ ーム間での内部アグリーメント。 PCI DSS (Payment Card Industry Data Security Standard) PCI DSS は、Payment Card Industry Security Standards Council (PCI SSC) によって 策定された世界的なセキュリティ基準です。PCI セキュリティ基準は、カード決済を処理す る組織が、クレジット カードの不正使用、ハッキング、その他のセキュリティの脆弱性や脅 威を回避できるようにするために策定された、技術面および運用面での要件です。この基 準は、カード所有者のデータを保存、処理、または転送するすべての組織に適用されます。 そこには、これらのトランザクションで使用されるアプリケーションやデバイスのソフトウェア 開発者および製造元に対するガイダンスも含まれています。カード所有者のデータを処理、 保存、または転送する企業は、PCI DSS に準拠している必要があります。 RACI 担当者が実行責任 (Responsible)、説明責任 (Accountable)、コンサルティング (Consulted)、または周知 (Informed) の役割を持つアクティビティの一覧。 投資回収率 (ROI) 投資した金額に対する投資による収益または損失の割合。ROI は、どのプロジェクトを遂 行するべきであるかを評価し、プロジェクト遂行中に利益予測を管理することによって、実 現される利益を予測された利益に近づけるために使用されます。 付録 C – 用語集 47 リスク エクスポージャ 関連する脅威と脆弱性に基づいて、リスクの影響の大きさと可能性を組み合わせたもの。 サービス カタログ IT 組織によって保守および公開される、ビジネスの優先順位や対応する SLA を含む、総 合的なサービスの一覧。 サービス レベル アグリーメント (SLA) 要求されるサービスのレベルを文書化した書面でのアグリーメント。SLA は IT サービス プ ロバイダーとビジネス部門、または IT サービス プロバイダーとサード パーティのプロバイ ダーとの間で結ばれます。SLA は、両者が成功を定義するために使用する測定基準と手 段の一覧である必要があります。 サービス管理機能 (SMF) MOF の中核となる機能であり、コンピューティング環境で情報技術アプリケーション用に採 用されているマイクロソフト テクノロジについての運用ガイダンスを提供します。SMF によ って、ミッションクリティカルなシステムにおける IT ソリューションの信頼性、可用性、サポー ト性、および管理性を実現することができます。 Solution Accelerators Microsoft Solution Accelerator は、IT プロフェッショナルが積極的に IT システムを計画、 統合、および運用できるようにする、信頼できる無償のリソースです。メインのホーム ペー ジは http://technet.microsoft.com/ja-jp/solutionaccelerators/default.aspx です。 SOX (Sarbanes-Oxley Act: サーベンス オクスリー法) Sarbanes-Oxley Act of 2002 は、Public Company Accounting Reform and Investor Protection Act of 2002 (上場企業会計改革および投資家保護法) とも呼ばれますが、一 般的には Sarbanes-Oxley、Sarbox、または SOX と呼ばれ、頻発する大企業の不正会計 問題に対応するために 2002 年 7 月 30 日に制定された米国連邦法です。この法律によっ て、新しい準公共機関である公開会社会計監視委員会 (PCAOB: Public Company Accounting Oversight Board) が設立されました。PCAOB は、公開企業の監査人として の役割を持つ会計事務所に対して、監視、規制、調査、および懲戒を行います。同法の第 404 条は、監査人の独立性、コーポレート ガバナンス、および内部統制の評価などの問題 にも対応しています。 Val IT Val IT は、ISACA 傘下の非営利研究機関である ITGI によって作成および保守されてい ます。ITGI が COBIT を作成した際に考えたのは、IT 投資によるビジネス価値の実現を測 定、監視、および最適化するための必要な構造を企業に提供する必要があること、また、そ のことを通じて価値創造のプロセスのグッド プラクティスを策定するフレームワークを作成 する必要があることでした。 Val IT はその結果、作成されました。Val IT は、世界中の実務 者や研究者から集められた経験、既存および新規のプラクティスや手法、および急速に増 加する研究に基づいて開発された、実践的で実証済みのガバナンスの方針、プロセス、プ ラクティス、およびサポート ガイドラインを統合しています。 付録 D – リファレンス IT Governance Institute、『COBIT 4.1 Edition』、米国、2007 年、www.itgi.org (英語) 日本ITガバナンス協会、『COBIT 4.1 日本語版』、日本、2008 年、http://itgi.jp/download.html (日本語) IT Governance Institute、『Val IT 2.0 Edition』、米国、2008 年、www.itgi.org (英語) 日本ITガバナンス協会、『Val IT Framework Version 2.0 日本語版』、日本、2010 年、http://itgi.jp/download.html (日本語) Microsoft Corporation、『MOF Version 4.0』、米国、2008 年、www.microsoft.com/mof (英 語。ベスト プラクティス、作業支援資料、およびツールを含む) マイクロソフトの IT ガバナンスおよびコンプライアンス ソリューション アクセラレータの Web ペ ージ: www.microsoft.com/compliance (英語。『IT コンプライアンス管理ガイド (英語)』、『セキ ュリティ リスク管理ガイド (英語)』、その他のベスト プラクティス、およびツールを含む) Microsoft Operations Framework (日本語のサイト MOF Version 3) http://technet.microsoft.com/ja-jp/solutionaccelerators/dd285682.aspx Pultorak D.、Henry, C.、Leenards P、『MOF 4.0 Pocket Guide』、Van Haren Publishing、 米国、2008 年