2014年7月のブログ記事一覧(3ページ目)-組織のITガバナンスを120％向上させる米国公認ITコーディネータ元村憲一の公式ブログ

COBIT5フレームワーク　その48

2014-07-21 19:24:01 | GEIT

【資格】
・ITコーディネータ
・公認情報システム監査人
　Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
　Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
　Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)

■Facebook
https://www.facebook.com/kenichi.motomura.1/

■公式ブログ
http://blog.kazatsukuri.jp/

■Ameblo
http://ameblo.jp/motomuranet/

■Twitter
https://twitter.com/motomuranet/

■YouTube
https://www.youtube.com/user/motomuranet/

■まぐまぐ
http://www.mag2.com/m/0001626008.html

ベネッセの個人情報漏洩について

2014-07-20 19:07:39 | 時事

皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。

「おっ！　何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。

─────────────────────────────
本題に入る前にPRです。

まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。

このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。

まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊！)
─────────────────────────────

ブログの第168回目は、新聞・ニュースの報道でも大きく取り上げられている情報セキュリティ事件について、お伝えします。

ベネッセホールディングス(HD)の個人情報漏洩問題が、連日報道機関等で大きく取り上げられて、波紋を広げていますね。

ベネッセコーポレーションは、2014年7月9日(水)に、同社の以下の通信教育サービス等に関する顧客情報が、約760万件、外部に漏洩した事を確認したと発表しました。

　・こどもちゃれんじ
　・進研ゼミ
　・東大・京大特講

確認できていない分も含めると、最大で約2,070万件の個人情報が、漏洩した可能性があるとされています。

漏洩が確認された個人情報は、同社の顧客、または過去に顧客だった世帯の約760万件で、以下の項目となります。
(過去に顧客でなかった世帯は含まれない)

　・郵便番号
　・住所
　・電話番号
　・保護者の名前(漢字)
　・保護者の名前(フリガナ)
　・子供の名前(漢字)
　・子供の名前(フリガナ)
　・子供の生年月日
　・子供の性別

クレジットカード番号、銀行口座情報、成績情報等の漏洩は、確認されていないとされています。

お～！　家の子供たちも、しまじろうの「こどもちゃれんじ」やっていたよな (*_*;

もう下の娘も就職して、22歳になっているから、DBにデータ残っていなかったか？　たとえ残っていたとしても、引っ越しもしているし、子供の年齢を考えても、あまり価値はないと思われますが・・・

直接問い合わせたら、漏洩したかどうか分かるのかな？

また、1世帯を1件とカウントしているため、少なくとも保護者1人と子供1人が含まれているので、人数は件数の2倍以上となって、1,520万人～2,000万人分の個人情報が漏洩した計算となります。

漏洩した可能性のある件数まで考えると、約2,070万件の2倍以上、4,140万人～5,000万人分が対象になります。

この計算で行くと、2013年のヤフーによる最大2,200万件の流出を超える可能性もあって、過去最大規模の個人情報漏洩と報道されています。

情報漏洩が発覚したきっかけは、顧客からの苦情が急増した事によるものです。

つまりそれまでは、内部に持つ仕組みでは、情報漏洩を感知できなかった事になります。

犯行は、セキュリティホールをついた内部犯罪だと、特定されました。

犯人は、ベネッセホールディングス100％出資の子会社「シンフォーム」の、下請け派遣SE(システムエンジニア)で、他の記憶媒体では、プロテクトがかかるPCに、スマートフォンの充電兼データ転送ケーブルをつなぐとコピーが可能になってしまうセキュリティホールを利用したものだそうです。

現在は、外部からのアタックについては、色々な技術や仕組みが導入されているため、情報漏洩事件＆事故は、うっかりミスなどを含む内部からの物が多くなっています。

その中でも悪意を持った内部犯罪率が、高まっていますが、日本では、これに対する意識が未だに低いように感じられます。

日本の組織の根底にある考え方(文化風土)が、時代の流れと変化に対応できていないと言う状態です。

そのため、情報セキュリティの仕組み作りにしても、この部分への検討が、甘くなりがちです。

今回の事件も、言い方は悪いですが、常に全員を疑って、DBへのアクセス解析を短い周期で定期的に実施する仕組みにしていたら、もっと早く発覚していたはずです。

せっかく監査証跡があっても、取得するだけの放置状態で、それを解析する仕組みを構築していない企業は多いです。

日本の古き良き時代は、終身雇用制度で、1社に就職するとその会社に忠誠を誓って定年まで働く、就職でなく就社でした。

どんな人事異動にも、文句や不平不満を言わず対応するゼネラリストが好まれて、技術を基本としたスキルを磨いて、スペシャリストとして生きていく人は、特殊な職種での例外でした。

今でも、公官庁や役所、大企業や歴史のある企業には、この意識が根強く残って、古い時代遅れの制度を見直せないでいる様に感じられます。

性善説を前提にするために、知っている人物の方が安全だと考える傾向が強く、縁故やコネによる採用も多くなり、大家族の村意識が醸成されていました。

今では信じられませんが、私が大学を卒業して就職する頃は、一部上場の企業でも、就職の内定者を興信所を使って調査すると言う事が、平然と行われていました。

現在は、これらの事はとうに過去の事となって、性悪説を前提にしないと、情報セキュリティは成り立ちません。

その1つの例として、皆さんも、入社時や退職時には、情報セキュリティや個人情報保護に関する色々な誓約書を書いたと思います。

今回、一般の報道では、犯人はSEで技術があって、DB(Data Base)にアクセスできる特殊な権限が与えられていたから情報を入手できたとされるニュアンスで、伝えられています。

しかし、RDBMS(Database Management System)は、誰が(どのIDを使って)どのようなオペレーションをしたかを記録する監査証跡機能を持っていますので、情報セキュリティにも詳しい本当の技術者である人なら、自分のIDを使用してアクセスするような幼稚な事はしなかったと思います。

また、業務上個人情報の参照を必要とする職務の人には、DB内の個人情報への参照権限が付与されているのが普通です。

参照できるという事は、それを持ち出す方法は、以下の少数の事例を見ても分かるように、いくらでもあるという事です。

　・参照した情報をメモに書き取る
　・参照した情報をコピー＆ペーストして保存する
　・参照した情報を見てメールを作成して送信する
　・参照した画面のハードコピーを取る
　・参照した情報を印刷する
　・参照した情報を画像で保存する
　・SQLでselectする

単純に人や役割(ロール)に参照権限を与えずに、まずDBを使用するシステムにログインする権限を与えて、そこから起動されたアプリケーションに特殊な権限が付与されていて、その権限でしか個人情報を参照できないようにしている等の、工夫はしていると思いますが。

この漏洩事件は、多くの要因を含み、情報セキュリティ対策の難しさと、限界を表しています。

まず、Pマーク(プライバシーマーク)やISMS(情報セキュリティマネジメントシステム)の認証を取得していても、100％はあり得ないという事です。

個人情報を扱う企業の多くは、取引企業を含めて、PマークやISMSの認証を取得していますが、安全が保障される訳ではありません。

厳しい見方かもしれませんが、外界の変化に常に対応するようできるだけ努力して管理している企業ですと言うのが、その実態ではないでしょうか。

次に、今回の事件での大きな要因として、名簿業者の存在が挙げられます。

法律の事は、詳しく解りませんが、法の網の目を潜り抜けるダークな部分で、名簿業者が存在して、出所の分からない、または分かっていても目をつぶって、情報を売買している事も事件の発生に大きく影響しています。

何処が情報元かを知らなかったと言えば確認不要で、売買しても罪に問われない？

この事件を契機に、法律を含めて何らかの整備や見直しがされるでしょうか。

更に、要因の1つとして、IT業界の多重構造も見逃せません。

今回も子会社とされている様に、日本ではコーポレートガバナンスを支えるITガバナンスを担保する重要な組織を、社外の子会社として切り出す傾向が強く表れています。

中小企業は、子会社でもなくIS部門も持たずに、ベンダーやSIerに丸投げしています。

そして、その仕事を受けるIT業界は、3次受け4次受けが当たり前の多重構造で、派遣社員も多く、階層の下に行くほど労働条件は悪化します。

以下の様な言葉で○K職場と皮肉に称されて、優秀な人材から嫌われる傾向があるようです。

　・きつい
　・帰れない
　・給料が安い
　・規則が厳しい
　・暗い
　・休暇がとれない
　・カッコ悪い
　・結婚できない
　・恋もできない
　・化粧がのらない
　・金曜日飲みにいけない
　・かーちゃんに申し訳ない

今回事件を起こしたSEが、自分のスキルに見合った高給に満足して、充実した私生活とやりがいを持った仕事をしていたら、セキュリティホールを発見した時の行動は、違っていたのではないでしょうか。

今回の事件で一番影響が大きかったのは、当事者(被害者＆加害者？)である、ベネッセホールディングスである事は、間違いありません。

報道されている事だけを見ても、以下の様に多大な影響で、業績の悪化は不可避でしょう。

　・新規の販促活動は当面の間停止
　・特に情報セキュリティについて詳しくない人々が圧倒的多数の世間での評判の低下
　・株価の下落
　・莫大な補償費用
　・全容が判明し次第、以下のベネッセホールディングスの2名は、責任をとって辞任と発表
　　＊副会長の福島保氏
　　＊取締役兼CIOの明田英治氏

これ以外に、子会社のシンフォームの責任者に、何もないとは考え難いです。

この報道があってから、バタバタと情報セキュリティ関係の確認をしている企業の方は、要注意です。

「明日は我が身」とならない様に、情報セキュリティを含むGRC(Governance, Risk and Compliance)の再点検と再考をしっかりと行ってください。

最後まで、お付き合いくださいまして、ありがとうございます。

次回以降は、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。

ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。

表現を変えたり、かみ砕いた言葉などで説明して行く予定です。

皆さまからの、ご意見・ご感想をお待ちしております。

これからのブログの成長に、どうぞご期待ください。

この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。

COBIT5フレームワーク　その47

2014-07-19 20:08:47 | GEIT

皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。

「おっ！　何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。

─────────────────────────────
本題に入る前にPRです。

まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。

このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。

まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊！)
─────────────────────────────

ブログの第167回目は、このブログの本題になっている GEITについての続きです。

第153回目で、付録G　COBIT5イネーブラーの詳細説明に入りました。

今回はその続きで、COBIT5の7カテゴリーのイネーブラーから、組織構造の続きを説明して行きます。

付録G　COBIT5イネーブラーの詳細説明

既にお伝えしている様にCOBIT5の5原則の内、原則4の包括的アプローチの実現で、イネーブラーの概要を説明しました。

COBIT5の5原則

　1.ステークホルダーのニーズを充足
　2.事業体全体の包含
　3.一つに統合されたフレームワークの適用
　4.包括的アプローチの実現
　5.ガバナンスとマネジメントの分離

原則4：包括的アプローチの実現

COBIT5は、事業体のITのための全般的なガバナンスとマネジメントシステムの導入を支援するために、以下の7つのカテゴリーのイネーブラーを定義しています。

　1.原則、ポリシーおよびフレームワーク
　2.プロセス
　3.組織構造
　4.文化、倫理および行動
　5.情報
　6.サービス、インフラストラクチャおよびアプリケーション
　7.人材、スキルおよび遂行能力

COBIT5のイネーブラー：組織構造

組織構造イネーブラーの詳細と、一般的なイネーブラーの説明との比較を、4つの特質とその他のイネーブラーとの関係として、組織構造モデルを使いながら説明します。

・その他のイネーブラーとの関係

組織構造とその他のイネーブラーとのリンクには、以下のものが含まれます。

　1.原則、ポリシーおよびフレームワーク
　2.プロセス
　4.文化、倫理および行動
　5.情報
　7.人材、スキルおよび遂行能力

◇原則、ポリシーおよびフレームワーク

組織構造の権限および運用原則は、確立されているポリシーフレームワークによって導かれます。

◇プロセス

RACIチャートは、プロセスアクティビティを組織構造、または事業体内の個別の役割に、リンクさせています。

RACIチャートは、以下の各プロセスの実践手法における各役割の参加レベルを説明しています。

　・実行責任者
　・説明責任者
　・協議先
　・報告先

◇文化、倫理および行動

文化、倫理および行動は、組織構造とその決定の効率性と有効性を決定します。

◇情報

インプットとアウトプットが関係します。

組織体は、インプット(通常は情報)があってはじめて、詳細な情報に基づく決断を行うことができ、アウトプットを生成します。

情報の例としては、以下の様なものが挙げられます。

　・決定
　・その他の情報
　・追加のインプット要求

◇人材、スキルおよび遂行能力

組織構造を構成する上で、メンバーの適切なスキルセットを考慮する事と、それによる遂行能力を要求する必要があります。

COBIT5内の組織構造の例示

COBIT5のプロセスモデルの説明で触れられているように、COBIT5のプロセス参照モデルの図表が作成され、詳細がCOBIT5: Enabling Processes で説明されています。

このモデルには、あらかじめ定義された複数の役割と組織体を使用しているRACIチャートが含まれています。

以下に、RACIチャートで使用されている、あらかじめ定義された役割と組織体を説明します。

日本では、あまりなじみのない論理組織名が、役割 / 組織体として登場して来ています。

備考：

これらは、事業体が導入した実際の機能に必ずしも対応している必要はありませんが、説明されている組織体の目的や役割が、ほとんどの組織体に対して有効であるという意味においては、価値を提供します。

この説明の目的は、全ての事業体のための普遍的な組織図を規定する事ではなく、論理組織機能の例示として見るものです。

COBIT5の役割と組織構造

役割 / 組織体

　・取締役会
　・CEO
　・CFO
　・最高執行責任者(COO)
　・CRO
　・CIO
　・最高情報セキュリティ責任者(CISO)
　・事業部門の幹部
　・ビジネスプロセスオーナー
　・戦略(ITエグゼクティブ)委員会
　・(プロジェクト/ プログラム)ステアリングコミッティ
　・アーキテクチャ委員会
　・事業体のリスク管理委員会
　・人事責任者
　・コンプライアンス
　・監査
　・アーキテクチャ責任者
　・開発責任者
　・ITオペレーション責任者
　・IT業務管理責任者
　・プログラム / プロジェクトマネジメントオフィス(PMO)
　・バリューマネジメントオフィス(VMO)
　・サービスマネージャー
　・情報セキュリティマネージャー
　・事業継続マネージャー
　・個人情報管理最高責任者

・取締役会

事業体のガバナンスに対する説明責任があって、リソース全体を管理する、事業体の最上級経営幹部、または非常勤取締役のグループです。

・CEO

事業体の全体的なマネジメントの責任を負う最高幹部です。

・CFO

以下を含む、財務管理の全ての側面に対する説明責任がある、事業体の最上級幹部です。

　・財務リスク
　・財務コントロール
　・信頼性の高い正確な会計

・最高執行責任者(COO)

事業体の運営に関して説明責任がある、事業体の最上級幹部です。

・CRO

事業体全体のリスク管理の全側面に関して説明責任がある、事業体の最上級幹部です。

IT関連のリスクを監督するために、ITリスク責任者の機能を設置する場合があります。

・CIO

ITと事業戦略の整合をとる責任があり、事業体の目標をサポートするために以下の説明責任を負う、事業体の最上級幹部です。

　・ITサービスとソリューションの提供の計画
　・リソース供給
　・管理

・最高情報セキュリティ責任者(CISO)

あらゆる形態の事業体の情報セキュリティに関して説明責任がある、事業体の最上級幹部です。

・事業部門の幹部

特定の事業部門または子会社の運営について、説明責任を負う上級管理者です。

・ビジネスプロセスオーナー

以下のプロセスのパフォーマンスについて、説明責任のある個人です。

　・目標を実現する
　・プロセス改善を推進する
　・プロセスの変更を許可する

・戦略(ITエグゼクティブ)委員会

取締役会が、主要なIT関連事項や決定に関与し、情報を得ていることを保証するために、取締役会によって任命された上級幹部のグループです。

この委員会は、以下に説明責任があり、価値が提供され、リスクが管理されている事を保証します。

　・ITによって実現された投資
　・ITサービス
　・IT資産のポートフォリオの管理

この委員会では、通常CIOではなく、取締役会のメンバーが議長を務めます。

・(プロジェクト/ プログラム)ステアリングコミッティ

以下を含む、プログラムとプロジェクトのガイダンスについて説明責任を負う、ステークホルダーと専門家のグループです。

　・計画のマネジメント
　・モニタリング
　・リソースの割り当て
　・効果と価値の提供
　・プログラムとプロジェクトリスクのマネジメント

・アーキテクチャ委員会

以下に関して説明責任のある、ステークホルダーと専門家のグループです。

　・エンタープライズアーキテクチャ関連の事項と決定に関するガイダンス
　・アーキテクチャのポリシーと標準の設定

・事業体のリスク管理委員会

ERM(Enterprise Risk Management)のアクティビティと決定をサポートするために必要な、以下について説明責任がある事業体の幹部のグループです。

　・事業体レベルでの協働作業
　・事業体レベルでの合意形成

ITリスクをより詳細に考慮し、事業体のリスク管理委員会にアドバイスするために、ITリスク委員会を設置する場合があります。

・人事責任者

事業体内の全ての人的資源に関する計画やポリシーに関して、説明責任を負う事業体の最上級幹部です。

・コンプライアンス

法令、規制および契約の遵守に関するガイダンスについて、責任を負う事業体内の機能です。

・監査

内部監査の取り決めに関して、責任を負う事業体内の機能です。

・アーキテクチャ責任者

エンタープライズアーキテクチャプロセスについて、説明責任を負う上級管理者です。

・開発責任者

IT関連のソリューション開発プロセスについて、説明責任を負う上級管理者です。

・ITオペレーション責任者

IT運用環境やインフラストラクチャについて、説明責任を負う上級管理者です。

・IT業務管理責任者

IT関連の記録について説明責任を負い、IT関連の業務管理事項をサポートする責任を負う上級管理者です。

・プログラム / プロジェクトマネジメントオフィス(PMO)

プログラムマネージャーやプロジェクトマネージャーをサポートし、プログラムとその構成要素である以下のプロジェクトの実行に関する責任を負う機能です。

　・情報の収集
　・評価
　・報告

・バリューマネジメントオフィス(VMO)

以下を含む、投資とサービスのポートフォリオの管理において事務局として活動する機能です。

　・投資機会およびビジネスケースに関する評価とアドバイス
　・価値のガバナンスとマネジメントの方法、およびコントロールの推奨
　・投資およびサービスからの価値の維持、および創出に関する進歩を報告する

・サービスマネージャー

ユーザー(特定の顧客または顧客のグループ)に対して、新規と既存の製品やサービスについて、以下を管理する個人です。

　・開発
　・導入
　・評価
　・継続的なマネジメント

・情報セキュリティマネージャー

事業体の情報セキュリティの、以下についてを行う個人です。

　・管理
　・設計
　・監督
　・評価

・事業継続マネージャー

事業体の重要機能が、破壊的なイベントが発生しても機能することを保証するために、事業体の事業継続性の能力について、以下を行う個人です。

　・管理
　・設計
　・監督
　・評価

・個人情報管理最高責任者(データ保護責任者)

個人情報保護法の指示が守られていることを保証するため、以下について責任を負う個人です。

　・リスクやビジネスインパクトをモニターする
　・ポリシーの指針を提供する
　・アクティビティの指針を提供する
　・各指針を調整する

以上で、付録GのCOBIT5イネーブラー組織構造の詳細説明を終了します。

この続きはまた次回以降に、COBIT5の7つのイネーブラーを1つずつ詳細に説明して行きます。

最後まで、お付き合いくださいまして、ありがとうございます。

次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。

ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。

表現を変えたり、かみ砕いた言葉などで説明して行く予定です。

皆さまからの、ご意見・ご感想をお待ちしております。

これからのブログの成長に、どうぞご期待ください。

この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。

COBIT5フレームワーク　その46

2014-07-18 20:00:33 | GEIT

COBIT5フレームワーク　その45

2014-07-17 17:17:50 | GEIT

皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。

「おっ！　何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。

─────────────────────────────
本題に入る前にPRです。

まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。

このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。

まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊！)
─────────────────────────────

ブログの第165回目は、このブログの本題になっている GEITについての続きです。

第153回目で、付録G　COBIT5イネーブラーの詳細説明に入りました。

今回もその続きで、COBIT5の7カテゴリーのイネーブラーについて、詳細説明をして行きます。

付録G　COBIT5イネーブラーの詳細説明

既にお伝えしている様にCOBIT5の5原則の内、原則4の包括的アプローチの実現で、イネーブラーの概要を説明しました。

COBIT5の5原則

　1.ステークホルダーのニーズを充足
　2.事業体全体の包含
　3.一つに統合されたフレームワークの適用
　4.包括的アプローチの実現
　5.ガバナンスとマネジメントの分離

原則4：包括的アプローチの実現

COBIT5は、事業体のITのための全般的なガバナンスとマネジメントシステムの導入を支援するために、以下の7つのカテゴリーのイネーブラーを定義しています。

　1.原則、ポリシーおよびフレームワーク
　2.プロセス
　3.組織構造
　4.文化、倫理および行動
　5.情報
　6.サービス、インフラストラクチャおよびアプリケーション
　7.人材、スキルおよび遂行能力

COBIT5のイネーブラー：プロセス

プロセスは、以下を実施する、事業体のポリシーや手続きに影響される実践手法の集合体と定義されています。

　・複数のソース(他のプロセスも含む)からインプットを受ける
　・受けたインプットを操作する
　・アウトプット(製品、サービスなど)を生成する

プロセスのイネーブラーの詳細と、一般的なイネーブラーの説明との比較を、4つの特質とその他のイネーブラーとの関係として、モデルを使いながら説明します。

COBIT5プロセス参照モデル(続き)

COBIT5は規範でありませんが、事業体がガバナンスとマネジメントのプロセスを導入する事を推奨しているので、ガバナンスとマネジメントの主要分野をカバーする必要があります。

理論上、事業体は、基本的なガバナンスとマネジメントの目標が全てカバーされている限り、必要に応じた形にプロセスを体系化する事ができます。

しかし、カバーする目標が全て同じであっても、事業体の規模に応じて、プロセス数は以下の様に増減します。

　・事業体の規模が小さければ小さいほど、プロセスが少なくなる
　・事業体の規模が大きくて、複雑であればあるほど、プロセスが多くなる

上記の説明と矛盾している様にも聞こえますが、COBIT5には、プロセス参照モデルが含まれていて、複数のガバナンスとマネジメントのプロセスを定義して、詳細を記述したものとなっています。

このモデルは、事業体で通常行われるITアクティビティに関わるプロセスを全て網羅的に表していて、IT部門マネージャーおよびビジネスマネージャーに分かりやすい、共通の参照モデルとなっています。

ここで提案されているプロセスモデルは、完全で包括的なモデルとなっていますが、これが唯一のプロセスモデルだという訳ではありません。

各事業体は、その事業体固有の状況を考慮して、独自のプロセスを定義する必要があります。

ITアクティビティを行っている事業体の全ての部門にとって、運用可能なモデルと共通の用語を取り入れることは、優れたガバナンスに向けた最も重要なステップの一つとなります。

このモデルは、以下のためのフレームワークを提供します。

　・ITのパフォーマンスの測定やモニタリング
　・サービスプロバイダーとのコミュニケーション
　・マネジメントのベストプラクティスの統合

COBIT5プロセス参照モデルは、事業体のITガバナンスとITマネジメントのプロセスを、ガバナンスとマネジメントと言う2つの主要なアクティビティ領域に分類します。

以前にも説明しましたが、2つの主要なアクティビティ領域は、いくつかのプロセスドメインに分けられます。

・ガバナンス

このドメインには、5つのガバナンスプロセスが含まれて、各プロセスにおいて、EDM実践手法が定義されています。

※EDM：ISO/IEC 38500標準のコンセプト

　・戦略的な選択肢を評価する(E：Evaluate)
　・ITに方向付けを提供する(D：Direct)
　・成果をモニターする(M：Monitor)

・マネジメント

マネジメントの4つのドメインは、PBRM(COBIT 4.1ドメインの発展したもの)と言う実行責任領域に一致して、ITを包括的にカバーします。

各ドメインには、COBIT 4.1やそれ以前の版と同じように、複数のプロセスが含まれています。

ほとんどのプロセスは、以下の4つのアクティビティを、そのプロセス、または対応すべき特定の課題(品質、セキュリティなど)の中で必要とします。

　・計画(P：Plan)
　・構築または導入(B：Build)
　・実行(R：Run)
　・モニタリング(M：Monitor)

しかし、事業体レベルでITを見たとき、それらのプロセスは、一般的に最も関連の深いアクティビティ領域に配置されています。

COBIT5でプロセスは、事業体のITガバナンスとITマネジメントに関連する、ビジネスとITのアクティビティの全範囲をカバーしているので、このプロセスモデルは、実際に事業体全体に渡るものとなります。

ブログの第7回でお伝えしましたが、COBIT5のプロセス参照モデルは、COBIT 4.1プロセスモデルの後継版で、Risk ITとVal ITのプロセスモデルも統合しています。

ブログの第128回でも掲載しましたが、以下は、COBIT5内の37個のガバナンスプロセスとマネジメントプロセスの一式を示しています。

全てのプロセスの詳細は、説明したプロセスモデルに従って、COBIT5：Enabling Processesと言う資料に含まれています。

・事業体のITガバナンスのための5個のプロセス

ドメイン：評価、方向付けおよびモニタリング

　EDM01：ガバナンスフレームワークの設定と維持の保証
　EDM02：効果実現の保証
　EDM03：リスク最適化の保証
　EDM04：資源最適化の保証
　EDM05：ステークホルダーから見た透明性の保証

・事業体のITマネジメントのための32個のプロセス

ドメイン：整合、計画および組織化(13プロセス)

　APO01：ITマネジメントフレームワークの管理
　APO02：戦略管理
　APO03：エンタープライズアーキテクチャ管理
　APO04：イノベーション管理
　APO05：ポートフォリオ管理
　APO06：予算とコストの管理
　APO07：人的資源の管理
　APO08：関係管理
　APO09：サービス契約の管理
　APO10：サプライヤーの管理
　APO11：品質管理
　APO12：リスク管理
　APO13：セキュリティ管理

ドメイン：構築、調達および導入(10プロセス)

　BAI01：プログラムとプロジェクトの管理
　BAI02：要件定義の管理
　BAI03：ソリューションの特定と構築の管理
　BAI04：可用性とキャパシティの管理
　BAI05：組織の変更実現性の管理
　BAI06：変更管理
　BAI07：変更受入と移行の管理
　BAI08：知識管理
　BAI09：資産管理
　BAI10：構成管理

ドメイン：提供、サービスおよびサポート(6プロセス)

　DSS01：オペレーション管理
　DSS02：サービス要求とインシデントの管理
　DSS03：問題管理
　DSS04：継続性管理
　DSS05：セキュリティサービスの管理
　DSS06：ビジネスプロセスコントロールの管理

ドメイン：モニタリング、評価およびアセスメント(3プロセス)

　MEA01：成果と整合性のモニタリング、評価およびアセスメント
　MEA02：内部統制のシステムのモニタリング、評価およびアセスメント
　MEA03：外部要件への準拠性のモニタリング、評価およびアセスメント

これで、付録GのCOBIT5イネーブラーの詳細説明の、プロセスについては、説明を終了します。

少し長くなりましたので、この続きはまた次回以降に、COBIT5の7つのイネーブラーを1つずつ詳細に説明して行きます。

最後まで、お付き合いくださいまして、ありがとうございます。

次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。

ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。

表現を変えたり、かみ砕いた言葉などで説明して行く予定です。

皆さまからの、ご意見・ご感想をお待ちしております。

これからのブログの成長に、どうぞご期待ください。

この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。

goo blog お知らせ

	ブログを読むだけ。毎月の訪問日数に応じてポイント進呈
	【コメント募集中】goo blogスタッフの気になったニュース
	gooブロガーの今日のひとこと
	訪問者数に応じてdポイント最大1,000pt当たる！