リスク管理Naviリスクマネジメントのワンストップ情報サイト

コラム

記事紹介:COBITベストプラクティスを活用したBCPの構築

2010年05月10日

取締役副社長 兼 プリンシパルコンサルタント

勝俣 良介

ISACA(※1)のISACA COBIT Focus - Volume 2, April 2010に投稿されたITサービス継続計画(IT-BCP)構築に関わる記事 "Using COBIT Best Practices for Developing BCP for an Outsourcing Company (by A Rafeq氏)" をご紹介します。

この記事は著者が、とある企業においてIT-BCP構築を行うにあたり「どのようにCOBITを活用したか」について、そのポイントを解説したものです。

ケーススタディは、インドにてビジネスプロセスアウトソーシングを行っている企業を対象としています。品質保証部をリーダーとした構築事務局を設け、12ヶ月かけてIT-BCP構築を行いました。また、構築のアプローチ方法として、COBITのほか、ISO27001とBCIのグッドプラクティスガイドラインをフレームワークとして活用しています。

※1. ISACA (www.isaca.org) は、世界160ヵ国以上、86,000人を超える会員から構成される専門家の国際的団体です。情報システムのセキュリティとアシュアランス、ITガバナンス、そしてITに関係するリスクやコンプライアンスについて、知識、資格認定、コミュニティ、唱道、そして教育を、世界的に提供しています。

16からなる構築ステップ

構築の流れを全16ステップに分けて解説しています。このステップを要約すると以下の通りです(各カテゴリは、私が独自の判断で設けたものです)。

【組織の理解】

1. マネジメントに対するCOBIT(※2)アプローチの説明
2. マネジメントとの面談を通じてのビジネスゴールと戦略の理解
3. 重要な部門のリーダーとの面談を通じてのビジネスプロセスの理解
4. ITインフラやアーキテクチャ、導入済みソリューションの理解
5. 各種組織全体、ITシステムに関連する文書類のレビュー

【範囲の特定】

6. 可用性の観点からCOBITスコープの特定
7. 事務局へ、34のITプロセスからBCPに関連するITプロセスの選定依頼
8. 各プロセスの中身を理解した上で、重要な4つのITプロセス※を特定
9. ITプロセスを選定した根拠のまとめ

【目標と現状のギャップの特定】

10. COBITを使い各ITプロセスの成熟度判定、ギャップ特定、ロードマップ策定
11. 成熟度の目標値の見直し(4から3に変更)

【ToDo(対応実施推奨項目)の特定と報告】

12. COBITの目的および他規格を参考にしつつ導入すべきIT-BCP関連管理策の選定
13. COBITインプット・アウトプットマトリックスを使い必要な文書化文書の特定
14. RACI Chartと現在の組織・職務権限を比較してギャップを特定
15. 導入する管理策の成果判定指標(KPI)の設定
16. IT-BCP上、重要となる部門に対し詳細推奨項目を含む報告書を提出

※2. COBITは、4つのドメインと34のITプロセスから構成されています。その中から本ケーススタディでは「DS4:継続的なサービスの保証」ほか3つのITプロセスが特定されています。詳しくは記事を参照下さい。

COBITのメリットを最大限に活用したオーソドックスなアプローチ

本ケースでは当然のことながらCOBITというリソースを最大限に活用していることが特徴的です。COBITでは各ITプロセスに対して、必ずインプット・アウトプットマトリックス(どのような文書を利用すべきか、策定するべきかを示したマトリックス図)、RACI Chart(どのような役割・責任を誰に持たせるべきかを示したチャート)ならびにKPI(導入する管理策が有効に運用されてるかを評価するための判断指標)の参考項目が解説されています。これらの情報をどのタイミングで、IT-BCP構築に利用するべきかを見る上では、参考になるケースと言えるでしょう。

一方で、COBITを活用された方なら分かると思いますが、上に述べた構築の流れは、決してIT-BCP特有のものではありません。また、(私自身の経験からも)本ケースにおいて特定された4つのITプロセスについても「この事例会社だから、この4つになった」というほどの固有なITプロセスではないと考えます。その意味で、本ケースはどのような組織にも当てはまる非常にオーソドックスなアプローチと言うことができます。

IT-BCP構築の観点からは、やや情報不足も否めず

「COBITをどのように活用したか?」が本ケース最大のテーマであるため、「IT-BCPの構築」という純粋な観点からは、やや情報不足の印象がぬぐえません。たとえば、本ケースでは参考規格としてISO27001やBCIのグッドプラクティスガイドライン(GPG)を活用したとありますが、その使用方法についてはあまり触れていません。「具体的にISO27001のどの管理策を使ったのか」については一切言及されていません。ちなみに、個人的には「IT-BCPの具体的管理策を決める上で、ISO27001が果たしてどこまで有用か」といった点に関しては疑問の残るところだと考えています。

また、IT-BCPにおいて最も重要なステップの1つは、ビジネス要件からITシステムの復旧要件を特定することですが、この点についても「マネジメントや関係部門との面談、資料の閲覧を通じてビジネスニーズを特定した」とあるだけで、その手法については触れられていません。

メインはBS25777またはBS25999、補足資料としてCOBITがベター

先述したとおり、本ケースの手法は、どのような組織にも当てはめやすい、つまり、参考にしやすいものだと思います。したがって、COBITに慣れ親しんだ構築事務局の方、あるいは、既にITガバナンスの一部をCOBITを活用して構築してきた組織においては、(整合性をとりやすいという理由から)本ケースで示すアプローチをとってみるのも有効かもしれません。

ただし、あくまでも一コンサルタントとしての個人的な意見ですが、COBITは、あくまでもハイレベル、すなわち”網羅的だが浅くならざるを得ない”フレームワークです。今日、"BS25999"や"BS27777"あるいは"NFPA1600"など、”BCP構築”という観点からのアプローチ方法を示したBCP/IT-BCPに関わる国際的な規格が出ているため、むしろ、これらの規格をメインとして活用し、そして、COBITやGPGを補足資料として活用しながら構築していくほうが、スムーズに有効性の高いIT-BCPの構築ができるのではないか、というふうに考えます。

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム