この記事は著者が、とある企業においてIT-BCP構築を行うにあたり「どのようにCOBITを活用したか」について、そのポイントを解説したものです。

ケーススタディは、インドにてビジネスプロセスアウトソーシングを行っている企業を対象としています。品質保証部をリーダーとした構築事務局を設け、12ヶ月かけてIT-BCP構築を行いました。また、構築のアプローチ方法として、COBITのほか、ISO27001とBCIのグッドプラクティスガイドラインをフレームワークとして活用しています。

構築の流れを全16ステップに分けて解説しています。このステップを要約すると以下の通りです（各カテゴリは、私が独自の判断で設けたものです）。

本ケースでは当然のことながらCOBITというリソースを最大限に活用していることが特徴的です。COBITでは各ITプロセスに対して、必ずインプット・アウトプットマトリックス（どのような文書を利用すべきか、策定するべきかを示したマトリックス図）、RACI Chart（どのような役割・責任を誰に持たせるべきかを示したチャート）ならびにKPI（導入する管理策が有効に運用されてるかを評価するための判断指標）の参考項目が解説されています。これらの情報をどのタイミングで、IT-BCP構築に利用するべきかを見る上では、参考になるケースと言えるでしょう。

一方で、COBITを活用された方なら分かると思いますが、上に述べた構築の流れは、決してIT-BCP特有のものではありません。また、（私自身の経験からも）本ケースにおいて特定された4つのITプロセスについても「この事例会社だから、この4つになった」というほどの固有なITプロセスではないと考えます。その意味で、本ケースはどのような組織にも当てはまる非常にオーソドックスなアプローチと言うことができます。

「COBITをどのように活用したか？」が本ケース最大のテーマであるため、「IT-BCPの構築」という純粋な観点からは、やや情報不足の印象がぬぐえません。たとえば、本ケースでは参考規格としてISO27001やBCIのグッドプラクティスガイドライン（GPG）を活用したとありますが、その使用方法についてはあまり触れていません。「具体的にISO27001のどの管理策を使ったのか」については一切言及されていません。ちなみに、個人的には「IT-BCPの具体的管理策を決める上で、ISO27001が果たしてどこまで有用か」といった点に関しては疑問の残るところだと考えています。

また、IT-BCPにおいて最も重要なステップの1つは、ビジネス要件からITシステムの復旧要件を特定することですが、この点についても「マネジメントや関係部門との面談、資料の閲覧を通じてビジネスニーズを特定した」とあるだけで、その手法については触れられていません。

先述したとおり、本ケースの手法は、どのような組織にも当てはめやすい、つまり、参考にしやすいものだと思います。したがって、COBITに慣れ親しんだ構築事務局の方、あるいは、既にITガバナンスの一部をCOBITを活用して構築してきた組織においては、（整合性をとりやすいという理由から）本ケースで示すアプローチをとってみるのも有効かもしれません。

ただし、あくまでも一コンサルタントとしての個人的な意見ですが、COBITは、あくまでもハイレベル、すなわち”網羅的だが浅くならざるを得ない”フレームワークです。今日、"BS25999"や"BS27777"あるいは"NFPA1600"など、”BCP構築”という観点からのアプローチ方法を示したBCP/IT-BCPに関わる国際的な規格が出ているため、むしろ、これらの規格をメインとして活用し、そして、COBITやGPGを補足資料として活用しながら構築していくほうが、スムーズに有効性の高いIT-BCPの構築ができるのではないか、というふうに考えます。