COBIT 5.0
掲載:2010年10月23日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
ガイドライン
COBITとは、IT管理のベストプラクティス集(フレームワーク)です。1996年、初版が情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)から発行されました。企業が経営にITを最適な形で有効活用できるよう、その支援を目的として、マネージャーや監査人、ITの利用者など、ITを取り巻く主要な利害関係者に向けて、ITの一般的な管理手法・指針・プロセス・実践規範を示したものです。
目次
タイムリーかつ国際的なフレームワーク
技術革新の速度に合わせる形で継続的な改訂が行われてきており、これまでに4回の大改訂が行われてきました。2010年10月現在の最新版は4.1であり(原版は2007年、日本語版は2008年にリリースされました)、世界中のITを活用するあらゆる組織で広く利用されています。
【COBIT改訂の歴史】
1996年: COBIT1.0リリース
1998年: COBIT2.0リリース(導入ツールキット同梱、コントロール目標の追記など)
2000年: COBIT3.0リリース(マネジメントガイドラインを追加)
2005年: COBIT4.0リリース(既存ガイドとの統合、RACIチャートの追加など)
2007年: COBIT4.1リリース(ビジネス、IT目標、ITプロセス間の関係説明の追加など)
201X年: COBIT5.0リリース予定
【COBIT改訂の歴史】
1996年: COBIT1.0リリース
1998年: COBIT2.0リリース(導入ツールキット同梱、コントロール目標の追記など)
2000年: COBIT3.0リリース(マネジメントガイドラインを追加)
2005年: COBIT4.0リリース(既存ガイドとの統合、RACIチャートの追加など)
2007年: COBIT4.1リリース(ビジネス、IT目標、ITプロセス間の関係説明の追加など)
201X年: COBIT5.0リリース予定
次版COBIT5.0の狙いは、整合性・融和性・有用性の向上
現在、次のメジャー改訂(COBIT5.0版)に向けて活動が活発化していますが、COBIT5.0では、以下の課題解決に重きがおかれています。
※1. Business Model for Information Security
※2. Taking Governance Forward(開発途中)
- 他のガイド(VAL IT, BMIS(※1), Risk IT Frameworks, TGF(※2)など)との統合
- 他の規格・ガイド(ISO9000, ISO27001, ITIL v3など)との整合性・融和性の向上
- 利用者のニーズに合わせた新たな切り口の追加(IRMモデルなど)
- ビジネスとITとの緊密化
※1. Business Model for Information Security
※2. Taking Governance Forward(開発途中)
特徴その1: 「成熟度モデル以外の新たなモデルの追加」
COBIT5.0では「利用者のニーズに合わせた新たな切り口を提供する」という目的のもと、従来から採用していたプロセスモデルや成熟度モデルに加え、いくつかの新しいモデルが加えられる予定です。その1つが情報参照モデル(Information Reference Model: IRM)と呼ばれるアプローチです。これは「情報」というキーワードを起点に、これをいくつかのカテゴリ・サブカテゴリに分類し、これらカテゴリごとに必要なコントロールが特定・整理される考え方です。
図:情報参照モデル
特徴その2: 「ITガバナンスとIT管理プロセスの違いの明確化」
COBIT5.0では、より密接にITと経営を結びつけることができるよう従来から採用しているプロセスモデルの中身についても見直しを行っています。COBIT4.1までのプロセスモデルでは「計画と組織」「導入と調達」「サービス提供とサポート」「モニタリングと評価」という大きく4つのドメイン(および、そのドメインに属する活動)がITガバナンス目標の実現を支える形で、その枠組みが形成されていました。
しかし、この枠組みではITの個々の管理プロセス(ITの調達・開発や運用管理を行う部門に求められるべき活動内容)にばかり主眼がおかれ、ITガバナンスと経営を結びつけるために必要な活動、すなわち、経営陣に求められる活動に対する記述が曖昧でした。これを受け、COBIT5.0では、従来からあるこれら4つのプロセスを「IT管理プロセス」として明確に定義しなおし、これとは別にITと経営を結びつけるために経営陣に求めるITガバナンスに関わる活動として新たに3つのドメイン(「評価、指示、モニタリング」)を設ける形で必要なコントロールに触れています。
しかし、この枠組みではITの個々の管理プロセス(ITの調達・開発や運用管理を行う部門に求められるべき活動内容)にばかり主眼がおかれ、ITガバナンスと経営を結びつけるために必要な活動、すなわち、経営陣に求められる活動に対する記述が曖昧でした。これを受け、COBIT5.0では、従来からあるこれら4つのプロセスを「IT管理プロセス」として明確に定義しなおし、これとは別にITと経営を結びつけるために経営陣に求めるITガバナンスに関わる活動として新たに3つのドメイン(「評価、指示、モニタリング」)を設ける形で必要なコントロールに触れています。
図:COBIT 5 プロセスモデル (出典:ISACA COBIT 5 Design Paper Exposure Draft)
COBIT5.0のリリース時期は未定
このように非常に期待されるCOBIT5.0ですが、現在、COBIT5.0(設計仕様書)に対する第一次パブリックコメントの募集が終了したところです。2011年第一四半期に第二回目のパブリックコメント募集が予定されていますが、COBIT5.0の草案がいつ公開されるかは、まだ未定となっています。今後の動向が注目されるところです。
