2009年4月号 - ITIL - itSMF Japanオフィシャルサイト

IT サービスマネジメントフォーラムジャパン
2009.4
itSMF Japan 分科会活動紹介
寄稿
IT サービスマネジメントと内部統制のこれから
日経 BP 社 プロジェクト推進部 井出 一仁氏
it SMF Japan 分科会活動紹介
it SMF Japan 理事 明路 伸夫
3
4
・サービス・オペレーション分科会
・ISO/IEC 20000 と IT サービスマネジメント研究分科会
・変更管理プロセス研究分科会
・ITSM トレンド分析分科会
・Value Creation 分科会
・サービスデザイン研究分科会
・教育・研修分科会
・SLM 分科会
5
6
7
8
9
10
11
寄稿 IT サービスマネジメントと内部統制のこれから
日経 BP 社 プロジェクト推進部 井出 一仁氏
12
第 6 回コンファレンス・EXPO 2009
it SMF Japan
14
よりグリーンな未来に向けて
未来のデータセンタ
サービスマネジメントにおけるリーンの取り組み
セキュリティ機能の課題と解決策
From serviceTALK
16
関西セミナ・支部活動報告
it SMF Japan 関西支部
29
it SMF Japan 第 6 回通常総会のご案内
it SMF Japan 事務局
30
第 6 回コンファレンス出展社説明会 (2009.4.8)
講演枠・展示場所の抽選
■会報誌「ニュースレター」編集メンバの募集■
現在ニュースレターでは、編集活動にご協力いただける会員様を募集しております。編集会議へ参画
いただくことで、it SMF の活動に関する最新トピックなどワールドワイドな情報をいち早く入手可能な
他、ニュースレター最終ページにお名前を掲載いたします。
< 編集メンバ活動内容 >
1. 月 1 回の編集会議への参加
2. 翻訳記事のレビュー
3. 年 4 回発行のニュースレターの編集活動 ( 起稿、校正など )
4. インタビューへの参加
お問合せ先 :it SMF Japan 会報誌担当宛 ([email protected]) までメールにて
分科会活動紹介
ご承知のように、it SMF Japan は ITIL® の普及促進を
目的にイベント開催、会報誌、ITIL® 書籍の翻訳出版な
ど多くの活動を行っておりますが、その中でも分科会
活動は、会員の会員による会員のための自主活動でご
ざいます。
会員の皆様が日々直面する IT サービスマネジメント
分科会担当理事
明路 伸夫
における様々な課題や疑問、新技術の研究など ITIL®
に関連したテーマを会員の皆様が選定し、会員の皆様
自身が調査、研究を行い、その調査・研究の成果をひ
ろく会員の皆様へ公開し、IT サービスマネジメントの
一層の普及・浸透を図るための活動でございます。
また、分科会メンバー募集時に周知期間を設け、ユー
2008 年度におきましても、4分科会が新たに発足、1
ザー企業の会員や個人会員の方がより参加し易いよう
分科会が更にテーマを深く掘り下げてメンバーを追加募
な仕掛けを組み入れるなど、少しずつですが、改善を
集し、第二期活動に入るなど活発に活動をしていただい
加えております。2009 年度の活動方針といたしまして、
ております。第5回 it SMF Japan コンファレンス(2008
引き続き分科会活動を促進し、円滑に進めて行くため
年 7 月 30 日~ 31 日)では6分科会が、第 3 回ミニセミ
の基盤整備を行い、ユーザー企業の会員や個人会員の
ナにて1分科会が報告を行うなど、積極的に分科会活動
皆様がより参加し易い環境作りを進めてまいりたいと考え
の内容や成果についての報告を行っております。
ております。
■現在活動中の8分科会■
分科会担当理事として、これまで以上
に分科会活動を盛り上げ、会員の皆様の
ご期待に添えるように努力してまいる所
存でございますので、会員の皆様におか
れましても、新規分科会立ち上げや分科
サービス・オペレーション ISO/IEC 20000 と IT サービス
分科会
マネジメント研究分科会
変更管理プロセス研究
分科会
会活動への参加など積極的な分科会活動
へのご理解とご参加をお願いいたします。
次ページより、現在活動中の分科会
として、「サービス・オペレーション分
科 会 」「ISO/IEC 20000 と IT サ ー ビ ス
ITSM トレンド分析
分科会
Value Creation
分科会
サービスデザイン研究
分科会
マネジメント研究分科会」「変更管理プ
ロセス研究分科会」「ITSM トレンド分析
分科会」「Value Creation 分科会」「サ
ービスデザイン研究分科会」「教育・研
修分科会」「SLM 分科会」について活動
状況をご報告いたします。
教育・研修分科会
SLM 分科会
3
サービス ・ オペレーション分科会
2007 年 6 月から活動を開始したサービス・オペレー
ション分科会は、
「日常業務の視点から」
、ITIL® や、実
際の運用業務の改善を考えることを目的に設立された
分科会です。ITIL® 書籍の記述にとらわれ過ぎず、文書
座長 舟野 真樹
よりもリアルな業務の視点をはずさないことをモット
ーとしています。2007 ~ 2008 年は、「ITIL® 実装にお
ける失敗の原因」についての研究を行い、コンファレ
ンスでは「ボトムアップの ITIL® 実装~現場目線で『失
する方策を日夜・・・ではなく月 2 回のセッションで
敗しない ITIL®』
」として成果をお話しさせていただき
検討しています。現在は、
「運用の現場」に対象を絞り、
「ITIL® 実装への抵抗勢力」を説得するには何を ? とい
ました。
う観点での研究を継続中です。これらの成果は、夏の
この研究では、V3 のライフサイクルにも通じる、企
コンファレンスでご報告する予定です。
画段階や計画段階での検討不足が実装や実運用にどう
サービス・オペレーション分科会メンバ
影響するか具体的な事象を明らかにしました。くわえ
(2009 年 4 月現在)※敬称略・順不同
て、その研究の過程で、「人」の問題 -- 現場スタッフ
のモチベーション向上、組織として PDCA が出来ない社
風・・・
「3 つの P」における "People" を解決しないと、
効率的・効果的なサービスマネジメントは難しいこと
を痛感するに至りました。
2008 年末にメンバを追加募集し、新たな活力を迎え
た当分科会の今期は、その「人の問題」について、「運
用または実装に伴う『人・組織』に起因する課題の解
決を探る」というテーマを掲げました。
「現場」や「経営」
を説得し、巻き込んでいくための苦労談やアイディア
を収集し、よりスムーズな実装と効果的な運用を実現
4
座
長 舟野 真樹
副 座 長 内海 俊洋
副 座 長 中村 峰行
伊藤 唯司
田部 幹雄
牧野 純也
松長 由香里
水野 拓郎
松元 厚頼
伊藤 達雄
金澤 俊介
宇藤 正和
市川 恭子
宮下 貴行
㈱ CSK-IT マネジメント
㈱アイ・ティ・フロンティア
トランスコスモス㈱
ジュピターショップチャンネル㈱
NEC ネッツエスアイ㈱
㈱ CSK-IT マネジメント
日立電子サービス㈱
CTC システムオペレーションズ㈱
㈱両毛ビジネスサポート
㈱中電シーティーアイ
AURA Consulting ㈱
中央コンピューター㈱
㈱エフサスネットワークソリューションズ
㈱ビーエスピーソリューションズ
ISO/IEC 20000 と
IT サービスマネジメント研究分科会
『ISO/IEC 20000 と IT サービスマネジメント
研究分科会』
は、
2007 年 10 月より活動を開始し、
ISO/IEC 20000 規格と IT サービスマネジメン
トの関係を主要な研究テーマとしています。
IT サ ー ビ ス マ ネ ジ メ ン ト の 運 用 に 携 わ る
方々にとって、規格(ISO/IEC 20000)は身近
なものではないかもしれません。規格の意図
するところを理解し、実際の運用に適応して
ゆくには、それなりの準備も必要となります。
本分科会では、ISO/IEC 20000 と規格の基であ
る ITIL® との関係を比較検討し、整理してゆ
くことで、準備の一助としてもご利用いただ
けるのではないかと期待しています。以下に、
2008 年第 5 回コンファレンス分科会講演
活動内容と分科会メンバーをご紹介します。
ISO/IEC 20000 と IT サービスマネジメント研究分科会メンバ
今年 7 月開催の it SMF Japan 第 6 回コンファレンス
(2009 年 4 月現在)※敬称略・順不同
では、実際に認証を取得されている企業様への聞き取
りを実施し、認証取得事例の研究成果を発表予定です。
ご期待ください。
2008 年活動
it SMF Japan 第 5 回コンファレンスでは、それまでの研
究結果をまとめ、下記の内容で発表しました。
① ISO/IEC 20000 と PDCA
② ISO/IEC 20000 要求事項 Part1 と Part2 の対比
③全般統制と ISO/IEC 20000&ITIL®
2009 年活動
2009 年 7 月開催の it SMF Japan 第 6 回コンファレンス
では、次の内容で発表を予定しています。
① ISO/IEC 20000 認証取得事例の研究
② ISO/IEC 20000 と PDCA の関係(詳細編)
5
座
長
副座長
副座長
副座長
塩田
石山
宗像
東郷
小林
官野
八木
小山
小川
荒川
宿利
新井
青木
小澤
貞夫
秀樹
浩
茂明
理枝
厚
隆
條二
創也
洋之
豊
浩介
千恵子
一友
日本ヒューレット・パッカード㈱
BSI マネジメントシステムジャパン㈱
三菱総研 DCS ㈱
㈱プロシード
中央システム㈱
オリーブネット㈱
㈱日立製作所
富士通㈱
東京海上日動システムズ㈱
インターナショナル SOS ジャパン㈱
トランスコスモス㈱
KPMG ビジネスアシュアランス㈱
㈱野村総合研究所
㈱ ISID アドバンストアウトソーシング
変更管理プロセス研究分科会
分科会設立の背景
当分科会は、変更管理プロセスを研究するために
2007 年 11 月に活動を開始しました。
背景として、
J-SOX 法の施行に伴って全般統制(ITGC)
座長 藤原 達哉
の約 7 割の領域をカバーするといわれている「変更管
理プロセス」に注目が集まりました。
しかしながら、変更管理プロセスにおける、具体的
これからの活動
な企画方法や導入、運用における課題・対策などの事
現在、2009 年 7 月に開催される第 6 回コンファレン
例が乏しいことから、成功モデルを研究するために発
スでの発表に向けて活動しています。
足しました。
変更管理プロセスの成熟の観点やビジネスにどのよ
うに貢献するかなど、さまざまな観点から研究を行っ
メンバの特徴
ています。
お集まりいただいているメンバの皆様は、多種多様
分科会メンバ、会員の皆様と研究成果が共有できる
な立場で活躍されています。
よう、進めておりますので、ご期待ください。
コンサルタント、システム運用担当者、ユーザ企業、
パッケージベンダ、SI 企業・・・・。
変更管理プロセス研究分科会メンバ
分科会のテーマである変更管理プロセスに持論、問
(2009 年 4 月現在)※敬称略・順不同
題意識を持って参画していただいており、それぞれの
座
長 藤原 達哉
副 座 長 不破 治信
副 座 長 太田 和成
島田 優子
吉永 健三
坂本 美行
加藤 明
松波 慎朗
木村 暁
若山 登史佳
三浦 康弘
佐藤 淳
伊佐 元邦
中山 大輔
立場からさまざまな事例を持ち寄り、活発な議論を展
開しています。
これまでの活動
研究にあたっては、変更管理プロセスにおける、「設
計」と「運用」のそれぞれの観点から 2 チームに分か
れて研究を行いました。2008 年 7 月の第 5 回コンファ
レンスで成果発表を行っています。
成果物として、設計チームは「プロセス設計書」、
「導
入ガイドライン」
、運用チームは「アセスメントシート」
を作成しました。それぞれ Web で
公開されていますので、是非ご覧
ください。
また、2008 年 12 月には、コン
ファレンスでご紹介しきれなかっ
た内容をご紹介する目的で、
「it SMF
Japan 第 3 回ミニセミナ」を開催
いたしました。
6
㈱野村総合研究所
伊藤忠テクノソリューションズ㈱
東芝ソリューション㈱
㈱シーエーシー
㈱ビーエスピー
日本エリクソン㈱
㈱ IT &ストラテジーコンサルティング
㈱ NTT データ アイ
三井物産セキュアディレクション㈱
日本オフィス・システム㈱
㈱富士通アドバンストソリューションズ
㈱ビーエスピーソリューションズ
㈱野村総合研究所
㈱ IT& ストラテジーコンサルティング
ITSM トレンド分析分科会
IT サービスマネジメントの普及に伴い、昨今、IT サ
ービスマネジメントに関するトピックが話題になる機会
が増えています。こうした流れの中で、IT サービスマネ
ジメントに関連する情報も様々な形でとりあげられてい
ます。
座長 品田 京子
ITSM トレンド分析分科会は、実際のデータをもとに現
データ収集の仕組みについては、ちょうど 2009 年 4
状を分析し、品質向上や効率化のためのアプローチに役
月から it SMF Japan の Web サイトで簡易的なアンケート
立てたいと思い 2008 年 3 月に発足し、これまで約 1 年
の仕組みを実装しました。
にわたる活動を実施してきました。
なるべくメンテナンスが少ない形で継続して傾向を探
これまでの主な活動内容としては下記の 2 点が中心に
る仕組みを作りたいということで、現在 Web サイトで公
なります。
開しているような仕組みとしました。質問項目は 1 ヶ月
単位ぐらいを目処に変更し、大きなレベルでの傾向をつ
・IT サービスマネジメントに関する既存の様々なデータ
かむ1つの手段としていきたいと考えています。質問内
をもとにした分析や検討
容については、当初は分科会メンバーで検討したものを
・長期的な傾向を図ることができるような継続的なデー
設定しますが、今後分科会メンバー以外の会員の意見も
タ収集のための仕組みの検討
とりいれていくような形にしていきたいと思います。
Web サイトへアクセスした際には是非気軽に投票して
既存のデータの分析については昨年のコンファレンス
いただきたいと思います。
で一部発表いたしましたが、その後も継続して検討を重
ねています。
活動内容の詳細につきましては、2009 年の it SMF Japan
コンファレンスでもご紹介させていただく予定です。
分科会としての発表という形ではデータの分析結果が
中心になってしまいますが、実際には原因や背景などメ
ITSM トレンド分析分科会メンバ
ンバー同士のディスカッションも活発に実施しています。
(2009 年 4 月現在)※敬称略・順不同
座
長 品田
副 座 長 竹田
小澤
奥山
木村
佐藤
庄司
中澤
藤原
山下
和田
7
京子
日本アイ・ビー・エム(株)
弘
(株)エクサ
一友 (株)ISID アドバンストアウトソーシング
和泉
日本情報通信(株)
暁
三井物産セキュアディレクション(株)
恵司 (株)電力計算センター
憲
(株)ビーエスピーソリューションズ
千春 (株)インテック
ティファニー・アンド・カンパニー・ジャパン・インク
哲郎
玲
東京海上日動システムズ(株)
亜矢子 NTT コムウェア(株)
Value Creation 分科会
企業活動の観点で IT 組織への期待値(依存性)は益々
高まっており、ビジネスの結果に責任を持つ、ビジネ
スに価値(Value)を提供することによって評価される、
ビジネスを成功へと導く IT 組織としての活動が期待さ
座長 久納 信之
れるようになりました。この変化は ITIL® のバージョ
ンが V1 から V2、そして V3 へと進化を遂げてきたその
内容からも読み取ることができます。
当分科会メンバは ITIL® に精通し、実務での様々な経
験と分科会活動への高いモチベーションを持ったメン
即ち、今までの安定した信頼性の高い IT オペレーシ
バーによって構成され、1ヶ月に 1 回の頻度で毎回活
ョンの実践と SLA 目標の達成に加え、ビジネス戦略に
発な議論をかさねています。
基づく IT 戦略の実行とともにビジネスに価値をもたら
す IT 組織としての活動、IT サービスライフサイクルを
今年度は 7 月の it SMF Japan コンファレンスでの会
有効確実にすることが IT サービスマネジメントの CSF
員皆様への活動報告を成功させること及び、複雑な IT
といえます。
組織相関(親会社、子会社、DC サービス、アウトソーサ)
における価値の創造について更なる研究を行うことを
目標に取り組んでまいります。
当分科会では進化した ITIL® V3 のメインテーマであ
るサービスとは? Value(価値)とは? という観点で
議論を進め、IT 組織としての物事の考え方や振る舞い、
Value Creation 分科会メンバ
(2009 年 4 月現在)※敬称略・順不同
戦略などについて研究するとともに、ビジネスに価値
を提供することによって評価される IT 組織として取り
座
長 久納 信之
副 座 長 吉田 俊雄
副 座 長 清水 慶三郎
渡邊 義明
加藤 明
若見 武治
野村 紀美
相浦 隆祝
小林 一朗
児玉 英一郎
長崎 健一
高橋 良広
組むべき課題や解決策を指し示すことを目標に活動を
進めています。
2008 年第 5 回コンファレンス分科会講演
8
日本アイ ・ ビー ・ エム㈱
㈱ IT &ストラテジーコンサルティング
日本アイ ・ ビー ・ エム㈱
㈱ IT &ストラテジーコンサルティング
㈱ソルパック
㈱シーエーシー
東芝インフォメーションシステムズ㈱
アイ ・ ビー ・ エム・ビジネスコンサルティングサービス㈱
日本ヒューレット・パッカード㈱
㈱エクサ
サービスデザイン研究分科会
サービスデザイン研究分科会は、ビジネスと IT のあ
り方から「サービスデザイン」の研究をしています。
研究は、2 つのテーマを設定し、アプローチしています。
座長 伊佐 元邦
1)「サービスデザイン」に対するアプローチ、取り組
み方、具体的な適用・導入に向けた方法の研究。
①ライフサイクルの観点から、サービスデザインの位
することで、IT サービス業界全体に対して素晴らしい
置づけ、考慮範囲、成熟度に応じた適用方針の研究。
貢献ができればと考えております。今後のサービスデ
②サービスデザイン適用に向けたアプローチを整理
ザイン研究分科会の活動にご注目ください。
し、サービスデザインの進め方(方針、基準、方法)
を作成。
サービスデザイン研究分科会メンバ
(2009 年 4 月現在)※敬称略・順不同
2) サービスデザインの主要アウトプットであるサービ
ス・デザイン・パッケージ(SDP) の研究。
① SDP とは何か、その構成、項目や記載内容、他の
プロセスとの関連等を整理。
②最終的には、作成の主体やタイミングなどにも言及
しながら、実務に即した「SDP の作り方」として取り
まとめ。
これらの成果はコンファレンスにて発表したいと考
えております。
当分科会は、
メンバの 8 割が「分科会活動は初めて !」
という集団ですが、毎回会合出席率は 8 割を超え、か
つ、ほぼ必ず会合後に懇親会をメンバ間で自主的に行
い、コミュニケーションを細やかに図るなど、和やかに、
そして、意欲あふれる研究活動を展開しています。
これらは、発起人の「分科会活動を皆さんに知って
もらいたい」「分科会にいろいろな方に参加してもらい
盛り上げたい」「仕事とは異なる分科会活動の成果を感
じてもらいたい」という情熱と、研究活動に貪欲で仕
事とは違った成果を求める分科会メンバの気持ちが融
合した結果であり、メンバにとっても非常に有意義な
活動になっているためと思われます。
このような中で研究した内容について、it SMF JAPAN
の会員の皆様をはじめ、ITIL® に関心を持つ皆様へ展開
9
座
長 伊佐 元邦
副 座 長 三森 輝久
副 座 長 関川 瑞穂
宮入 勉
尾留川 昌平
齋藤 寛
池田 守
山田 康二
須谷 聡史
坪田 誠
三宅 由美子
海東 憲多郎
山崎 良浩
豊口 忍
土屋 貴子
山方 均
隈元 昭康
望月 祐之
河合 直子
上田 昭彦
㈱野村総合研究所
フューチャーアーキテクト(株)
日立電子サービス㈱
伊藤忠テクノソリューションズ㈱
ユニアデックス㈱
富士通エフ・アイ・ピー㈱
㈱日立東日本ソリューションズ
日本ヒューレット・パッカード㈱
㈱東芝 OA コンサルタント
㈱NTTデータアイ
EMC ジャパン㈱
三井物産セキュアディレクション㈱
クリエイティブソリューション㈱
バブ日立ソフト㈱
東芝ソリューション㈱
㈱プロシード
東芝ソリューション㈱
教育 ・ 研修 分科会
教育・研修分科会は 11 名にて昨年 12 月より活動し
ています。IT 系について技術や製品、サービス知識を
問う資格試験はベンダ、ノンベンダたくさんあります
が、IT に係わるマネージメント資格に関してはまだ数
座長 小島 章教
少なく、資格の前後の関係、キャリアパスがはっきり
していないものもたくさん存在しており、この分科会
で IT マネージメントに係わる資格群を調査、整理し、
相関関係などを明らかにしていきたいと思っています。
とりわけ、ITIL® 資格についてはここ数年資格取得者
が増加し、IT 系資格の受験者が減少しているなか、一
番伸びている資格だと言っても過言ではないでしょう。
現在の ITIL® 資格取得者の大多数は運用管理者が多く、
教育研修分科会メンバ
バージョン 3 が登場したことを契機に IT のライフサイ
(2008 年 12 月現在)※敬称略・順不同
クルといったアプローチで V3 資格の有用性検証や将来
座
の人材像を見据え、ITIL® ファンデーション資格を取得
長 小島 章教
副 座 長 新矢
富田
木村
田岡
上田
川口
清水
狩野
小山
してからのキャリアについて今後研究していきます。
最近では対象資格の洗い出し、四苦八苦しながら分
析項目の決定、調査しております。7 月末に実施される
コンファレンスにおいて皆様に有益な情報を提供でき
るようメンバ一丸となって活動を続けています。
10
理恵
勲
祐
孝紀
順子
修
千博
康晴
條二
NTT ラーニングシステムズ㈱
日本クイント㈱
㈱ IT プレナーズジャパン・アジアパシフィック
㈱ IT プレナーズジャパン・アジアパシフィック
㈱翔泳社
㈱ビーエスピーソリューションズ
日立電子サービス㈱
㈲KBマネジメント
NTT ラーニングシステムズ㈱
富士通㈱
SLM
(サービスレベル管理)
分科会
「SLM 分科会」は今年の 2 月に発足し、活動を開始し
たばかりの分科会です。
サービスレベル管理および SLA の重要性は広く認識
座長 古川 博康
されてきているにも係らず日本においてはその普及が
遅れているのが実情です。また、今日内部統制時代に
おける適切なサービスレベル管理の整備が求められて
したサービスマネジメントの実践により、ビジネスと
いますが、サービスレベル管理の改革、改善にはサー
IT の整合性が高まりビジネス上の要求事項と顧客要求
ビス・ライフサイクル、
および継続的サービス改善(CSI)
が的確に実現されていきます。本分科会が ITIL® をベ
の視点をもつことが重要です。こうした中、ITIL® V3
ースとした「内部統制時代の理想的なサービスレベル
の発刊を機に、「理想的な SLM」の探求を目的として本
管理」の推進に貢献できるよう活動して参ります。
分科会が発足されました。
SLM 分科会メンバ
月 1 回の定例会と小単位でのワーキンググループで、
(2009 年 2 月現在)※敬称略・順不同
まずは ITIL® V3 を正しく理解し、ライフサイクルにお
ける SLM/SLA の位置付け、役割等の整理から始めてい
ます。メンバーの総意として、当面のテーマはライフ
サイクルの視点から「プロアクティブな SLM の探求」
と定め、活動は SLA の内容にはあまり詳細に踏み込ま
ず、いかにビジネスと IT のバランスの取れたサービス
レベルを維持していくか、そのための管理に焦点を当
て、様々な課題に対し V3 をベースとしたグッド・プラ
クティスを見出していきます。
メンバーは現在 16 名、その中には ITIL® V3 の Expert
が 4 名、また外に ITIL® マネージャが 2 名おり、すでに
活発な議論が展開されていますし、定例会後も有志によ
る貴重な意見交換の場を持
っています。皆さん忙しい
中での研究活動ですが、こ
の分科会から価値ある提言
を早く発信して参りたいと
思っております。中間成果
報告としては今年の 11 月
頃を予定しています。
SLM/SLA は ITIL® V2 同
様に V3 でのキーファクタ
ーであり、SLM/SLA を要と
11
座
長 古川 博康
副 座 長 鈴木 寿夫
副 座 長 松野 亘祐
伊藤 雄一郎
中原 嘉樹
田中 けい子
山出 泰子
石川 敏朗
清水 直樹
佐藤 創
秋山 勝己
益子 隆司
大橋 剛
金子 優美
金田 幹也
黒澤 史子
ユニアデックス㈱
DIG2 ソリューションズ㈱
㈱ビーエスピーソリューションズ
㈱シンフォニーマックス
㈱プロシード
㈱インテック
㈱日立情報システムズ
㈱ DTS
㈱富士通ビジネスシステム
㈱フォーラムエンジニアリング
NTT コミュニケーションズ㈱
㈱野村総合研究所
日本ヒューレット・パッカード㈱
日本ヒューレット・パッカード㈱
寄稿
IT サービスマネジメントと
内部統制のこれから
日経 BP 社 プロジェクト推進部 井出 一仁 氏
3 月決算の上場企業では、金融商品取引法に基づく
機能が求められることになります。今後、内部統制報
内部統制報告制度の“初年度”が終わりました。今は、
告書の監査で適正性が認められなかった場合は、IT 面
公認会計士や監査法人によって、財務諸表とともに内
の改善が必要になるケースも出てくるわけです。
部統制報告書の監査が進められているころではないで
しょうか。 IT サービス品質の維持・向上のための IT サービスマ
ネジメントが、内部統制、つまり財務報告の信頼性確
内部統制報告書は、財務報告の信頼性を確保するた
保のために、どのように役立てられるのか。今後の改
めに提出・監査が義務付けられました。多くの企業で
善活動をにらんで、あらためて両者の関係を整理して
は各種財務情報の処理に会計システムなどを活用して
みましょう(図)。
いるため、IT にも財務報告の信頼性確保のための統制
12
生する可能性があります。財務報告書の信頼性を確保す
「内部統制に伴い運用負荷は 3 割増」
るためには、さまざまな業務システムに対して、IT 全
IT サービスマネジメントシステム(ITSMS)を構築する
般統制に適合したシステム変更手続きを踏まえながら、
ための標準仕様「JIS Q 20000-1」の要求事項は、
(1)マ
IT 業務処理統制に適合した統制機能を組み込む必要が
ネジメントシステムに関する事項と、
(2)統制に関する
あります。
事項に大別できます。このうちマネジメントシステムに
関する事項は、項目ごとに濃淡はありますが、内部統制
上場会社への国際会計基準の強制適用は最も早くて
基準の基本的構成要素すべてに関係しているといえます。
2015 年になる見通しですが、それまでの間も日本の会
計基準を国際会計基準に合わせるための改訂が続けられ
一方、
統制に関する各事項は、
内部統制実施基準の「IT
ることになっています。IT サービスマネジメントを内
全般統制」の各項目に具体的に対応付けられます。例え
部統制に生かす場面は、今後も拡大しそうです。
ば「関係プロセス」は、IT 全般統制の「外部委託に関
する契約管理」に役立てることができます。
全部で 5 項目ある統制に関する要求事項の中でも、特
に内部統制で重要になるのが「リリースプロセス」です。
リリースプロセスは、IT サービスの変更などを本番環
境に適用するための管理プロセス。プログラムの不正な
変更や改ざん・破壊など、財務報告の信頼性を損ねるよ
うなリスクを排除できるようになっていなければなりま
せん。
ある製造業の情報システム部長は、「以前なら軽微な
プログラム修正は電話で保守部門に頼めば済んだが、証
跡となる依頼書の発行が必要になるなど、内部統制に伴
う運用面の負荷は 3 割増」と嘆いていました。
リリース管理に限らず、統制を効かせながら作業負荷
を下げる工夫は、2 年目以降の大きな課題といえるでし
ょう。中小企業向けに代替措置はあるものの、変更プロ
グラムの作成者と本番環境へのリリース担当者とを分け
る「職務分掌」も、IT 現場の負担が大きいと感じる企
業が多いようです。
次の“大波”も迫っている
IT サービス担当者にとっては、内部統制元年が終わ
ったばかりですが、実は次の“大波”も、すでに押し寄
せています。国際会計基準「IFRS(国際財務報告基準)」
の導入です。
会計基準の変更は、売り上げ計上タイミングの見直し
などを迫り、業務プロセスの変更・修正につながる場合
があります。結果として会計システムだけでなく、販売
管理・購買管理などの業務システムにも修正・変更が発
13
Change Business!
企業力を高める IT サービスマネジメント
第6 回
it SMF Japan
EXPO2009
it SMF Japan
コンファレンス
100 年に一度と言われる経済危機は、企業のビジネスに大きな影響を及ぼし、ビジネ
スを支える IT にも、効率化や安定性・堅ろう性がこれまで以上に強く求められる時代
となってきました。では、環境変化に合わせた事業成果や投資効率の目標を着実に達
成していくために、IT 部門が今、なすべきこととは何でしょうか? その解の一つが、
IT サービスの戦略的活用と、ベストプラクティスである ITIL® の実践を始めとするマ
ネジメント体制の確立です。
こうした状況を受け、特定非営利活動法人 it SMF Japan は、IT サービスマネジメン
トに関する各種の講演と展示を一堂に会した「第 6 回 it SMF Japan コンファレンス」
「it SMF Japan EXPO 2009」を開催することといたしました。
皆様のお仕事の一助となるイベントとして、是非、ご参加ください。
会場 ◎ 目黒雅叙園(東京・目黒区)
会期 ◎ 2009 年 7 月 30 日(木)9:30 ~ 17:50(受付開始 9:00 ~)(展示会 12:00 ~ 19:00)
31 日(金)9:30 ~ 17:50(受付開始 9:00 ~)(展示会 11:45 ~ 18:30)
主催 ◎ 特定非営利活動法人 it SMF Japan
共催 ◎ 日経コンピュータ
後援 ◎ IT サービスマネジメントに関わる各種団体(調整中)
6 月 12 日 (金 )
まで
入場費 ◎ 会員 ¥10,000(税込)
一般 ¥24,000(税込)
(2 日間の参加費 / 先着順による事前登録制・EXPO 2009 は無料)
早期割引
キャンペーンあり
5 月中旬申し込み開始!
参加申し込み先
http://ac.nikkeibp.co.jp/itsmf/2009/
14
出展企業
講 演
プラチナ
日本アイ・ビー・エム㈱、㈱野村総合研究所
ゴールドプラス
富士通㈱、㈱ビーエスピー
ゴールド
NTT コムウェア㈱、NTT コミュニケーションズ㈱、㈱シーイーシー、日本 CA ㈱
シルバープラス
㈱アイ ・ アイ・エム、アレン・システム・グループ・ジャパン㈱、富士通エフ・アイ・
ピー㈱、㈱日立製作所、㈱プロシード、NTT コムテクノロジー㈱、㈱テリロジー
シルバー
マイクロソフト㈱
ブロンズ
日本クイント㈱、NEC ラーニング㈱、デット ノルスケ ベリタス エーエス、㈱エクサ、
㈱ IT& ストラテジーコンサルティング、㈱日本 IP イノベーション、NEC フィールディ
ング㈱、EXIN Japan、コベルコシステム㈱、ユニアデックス㈱、NEC ネッツエスアイ㈱、
マクニカネットワークス㈱、日本ヒューレット、パッカード㈱、㈱ IT プレナーズジャ
パン・アジアパシフィック、NTT ラーニングシステムズ㈱
基調講演
7 月 30 日 東京大学教授 伊藤 元重氏
特別講演
7 月 30 日 株式会社三菱東京 UFJ 銀行常務執行役員 根本 毅彦氏
基調講演
株式会社ベネッセコーポレーション取締役副会長
7 月 31 日 ベルリッツインターナショナルインク代表取締役会長兼社長兼 CEO 内永 ゆか子氏
特別講演
7 月 31 日 ガートナージャパン株式会社 リサーチグループ バイスプレジデント 山野井 聡氏
( 予定)
教育セッション
( 予定)
■ ITIL® V3 Foundation Bridge 研修・試験
■ ITIL® V3 特別研修(有料)
■ ITIL® V2 Service Manager 試験再受講者向け研修
2008 年第 5 回コンファレンス
it SMF Japan では地球環
境に配慮し、エコイベン
トを実施いたします。
■会場内空調温度(クールビズによるノーネクタイ対応)
■印刷物(再生紙の利用、印刷資料の削減)
■ゴミ(分別回収の徹底) ご理解・ご協力のほどよろしくお願い申し上げます。
15
よりグリーンな
未来に向けて
『Service Talk』2008 年 7 月号では、消費
電力を削減し、IT がよりグリーンに、すな
わち環境により優しくなるための仮想化の
可能性について検討しました。Cisco のデー
タセンタ・オペレーション担当ディレクタ
である Phil Andrews 氏が執筆した本記事
では、仮想サーバをどう実装するかについ
てより詳細に紹介しています。
一般的に、データセンタのサーバは、わずか 15% ほど
見えなくなることが多々あります。2 倍のエネルギーを
の効率で稼働しています。そして、サーバが電力を 1 ワ
消費する装置は、実際には 4 倍の作業をこなし、エネル
ット消費するたびに、空調に 2 ワット、電灯、電力変換、 ギー効率がより優れているかもしれません。
ネットワーク機器などに 1 ワットが使用されます。これ
らの数字は、それほど大きな問題には見えないかもしれ
はるかに効果的な問題解決の方法として、構造を対象と
ませんが、この数字に 1,000 台のサーバ(これでも今日
したアプローチがあります。このアプローチでは、データ
の基準では大規模データセンタとはいえませんが)をか
センタのリソース全体を考慮して、それらのリソースを仮
けてみると、合計で約 2.5 メガワットの消費電力になり
想化することによって最も効率的に利用することを試みま
ます。この非効率性は非常に大きく、もはや単なる環境
す。仮想化はネットワーク機器の削減と、ストレージやサ
問題では済まされません。Gartner 社によると、2008 年
ーバの使用率の増加に役立ち、基本的にすべての機器に大
には、今日のデータセンタの 50% は、高密度化されたハ
きなインパクトを与えます。サーバの仮想化によって、1
ードウェアが必要とする電力容量や冷却能力を満たせな
つのアプリケーションが占有していたサーバを複数のアプ
くなります。アナリストは、その翌年には世界中のデー
リケーションやオペレーティング・システムで共有できる
タセンタの 70% において、エネルギー・コストが(人件
ようになり、十分に活用されていなかったサーバ・キャパ
費に次いで)2 番目に高い運用コストとして浮上すると
シティが解放されて、必要に応じて他の多くのアプリケー
示唆しています。
ションで利用できるようになります。
データセンタの消費電力と CO2 排出量を削減するため
その結果、個々のサーバの使用率を 70% 以上にあげる
に戦術的なアプローチを取ることは可能で、実は簡単な
ことが可能になり、データセンタ内のサーバ台数の最大
ことです。基本的な施設はそのままで、効率性がより高
75% が削減され、その分のスペース、電源、冷却装置が
いサーバ、ストレージ、ラック配置、冷却システムや電
解放されます。ネットワークの仮想化は各サーバに関連
力システムなどに買い替えるのです。このようなアプロ
する「機器の負荷」、つまりファイアウォール、ロード
ーチは小さな改善につながりますが、計画的な装置の効
バランサー、その他のネットワーク機器の削減に役立ち
率性の向上だけでは、データセンタの電力需要の増加を
ます。従来型の機器ベースのアプローチでは、サーバ・
抑えるには十分ではありません。さらに、装置の電力だ
グループごとに必要な電力が 1 キロワット増すと、追加
けを対象とした CO2 削減のアプローチでは、真の問題が
で 700 ワットが必要になるとされています。
serviceTALK
16
負荷は冗長構成ではさらに大きくなります(通常は 2
その結果として 1 つの仮想化されたシステムが、多くの
倍)
。しかし、いずれの場合も、仮想化の概念をネット
第 1 世代 SAN スイッチ装置に取って代わり、スイッチの
ワークに適用することで、機器の負荷を大幅に削減でき
数を削減し、ディスク使用率を改善し、さらに必要な総
ます。ネットワークの仮想化は仮想ファイアウォール、 電力を最大 3 分の 1 までカットします。
仮想負荷分散、侵入検知などの機能や、その他の仮想ア
プライアンス・ブレードをネットワーク・スイッチ上に
アーキテクチャ・ベースの仮想化によって、次のよう
構築するだけで実現できます。この方法により、100 台
な効果が期待できます。
分のロードバランサーは 100 台のラック搭載型機器を使
- サーバの効率を約 15% から約 70% に向上する
う代わりに、1 枚のブレードに収めることができるかも
- ネットワーク機器に必要な電力を最大 85% 削減する
しれません。
- ストレージ・リソースの使用率を、従来の約 30% 以下
から最大 70% まで向上させる
最後に、ストレージ・エリア・ネットワーク(SAN)
全体を仮想化して、ストレージ・デバイスの使用率を改
また、仮想化により、電力を消費する冗長構成を保持
善させる効果について説明します。従来の SAN は個々の
する必要がなくなります。2 つのストレージセンタを本
アプリケーション・グループに接続されていました。そ
番稼働させながら事業継続性を維持することができるの
のため、ある SAN 上のディスクがフル稼働していて、他
で、待機状態のバックアップセンタを常に動かしておく
の SAN 上のディスクがあまり使用されていない場合で
必要がないからです。アーキテクチャを使ったアプロー
も、SAN 上のディスクをグループ間で共有させることは
チを採用するには、当然のことながらデータセンタ技術
接続の点で困難でした。SAN 環境の仮想化は LAN が仮想
に幾らかの先行投資が必要になりますが、節減幅が大き
LAN へと進化したのと同じように、ソフトウェアの構成
いため、この投資は約 6 か月で回収できます。おそらく、
により実装することができ、任意のサーバに任意のディ
最も重要なのは、データセンタの効率性を検討する際に
スクを割り当てることができます。
アーキテクチャを順に見ていくと、データセンタの電力
必要量だけでなく、企業の支店ネットワーク全体の電力
その結果、ディスクの使用率は約 70% から 80% に上が
必要量を大幅に削減できることです。データセンタの仮
ります。必要なディスクが少なくなるため、必要なスペ
想化が成功したら、支店で利用しているテクノロジにつ
ース、電源、冷却装置もかなり削減されます。SAN 環境
いても、統合、仮想化が可能かどうか検討し、電力とコ
を仮想化することで、
より柔軟なアーキテクチャになり、 ストを継続して削減することができます。
電力利用の改善に役立つ ITIL®
Tideway Systems の製品マーケティング担当副社長である Kosten Metreweli 氏は、電力消費量の削減には、ITIL®
が示しているような、適切に定義された資産とプロセスの必要性を指摘しています。
経済の悪化、「グリーン化」への対応、ビジネス・サービスの提供に対する期待の高まりなど、さまざまな状況
が、データセンタのインフラストラクチャを最適化する必要性を後押ししています。最終的な目標は、IT 革新を
継続して行い、規模やコストを増大させずにビジネスが必要とする IT サービスを継続的にサポートできるように
することです。この目標を達成するための最初のステップは単純なものです。データセンタの最適
化を行うための継続的な取り組みの基礎情報となるサーバ、ソフトウェア、アプリケーション、お
よびそれらの依存関係を含む完全なインベントリ情報をまとめることです。物理サーバと仮想サー
バそれぞれが、どのように使用されているか、実行中のソフトウェアは何か、サポートしている業
務アプリケーションはどれか、実際に事業にもたらす価値は何か、といったことを理解することか
ら始めるのです。そこから、使用されていない資産や非効率的な資産、また不要な資産を廃棄した
り、更新したり、仮想化したりすることができます。その結果、必要とされるエネルギーや電力消
費量を削減し、データセンタの最適化とグリーン化への道のりを踏み出すことができるでしょう。
OCTOBER 2008 serviceTALK『UP FOR A GREENER FUTURE』より
17
serviceTALK
未来のデータセンタ
Fujitsu の技法によって、最新のデータセンタのエネルギー消費量は、同様の施設における通
常の消費量のほぼ半分になります。そのデータセンタについて、また IT がさらにグリーンに
なる未来への道筋を紹介します。
4400 万ポンドを投じた Fujitsu Services のデータセ
力利用効率)3.0 であったのに対し、このデータセンタ
ンタは、環境や持続可能性に対する確かな信頼性がその
では PUE1.6 となります。効率性の高い機械系や電気系
中心にあることを実証しました。このデータセンタは、 のインフラストラクチャを備え、次のような新しい設備
Uptime Institute の国際基準 Tier III に欧州で初めて
によって、年間 2,000 世帯に十分に供給できるほどの電
単独で認定されており、これまでのデータセンタが消費
力を節減できます。
していたエネルギー量の約半分しか消費しません。
- 蒸発塔および熱交換器。従来の空調システムよりも効
ロンドンから 35 マイル離れた場所にあるこのデータ
率的にデータセンタ・システムから熱を除去する
センタは、英国と欧州全域の民間組織や公的組織からの
- ヒート・ポンプ。テクニカル・ホールから回収した熱
ニーズに応えます。この新しいデータセンタは、工業跡
を再利用して、外気がデータセンタに入るときに最適
地の倉庫を改装したもので、新規建設に比べると、環境
温度まで予熱する
への影響を大幅に軽減しています。
- スプレー加湿。テクニカル・ホールの加湿は、従来の
蒸気加湿器ではなく、テクニカル・ホールへの給気口
フル稼働の場合、
これまでのデータセンタでは PUE(電
18
で省電力スプレー加湿器を使用して行う
serviceTALK
- 冷却システムの可変ファンおよび可変ポンプ。データ
データセンタのマーケティング部門長である Mark
センタがフル稼働のときも、データ・ホールに実際に
Poley 氏は、サーバ利用率を調べることで得られた成果
必要な冷却量に合わせた冷却を行うことで、大幅なエ
について語ります。「あるサーバのキャパシティが 5% し
ネルギー節減を実現する
か使用されていない場合、よくあることですが、これま
- ディーゼル・ロータリー UPS(DRUPS)
。電力グリッド
でに 16 台のサーバで処理していたジョブを 1 台のサー
の停電時に、データセンタ全体への電力供給を維持す
バで処理することができます。」しかし、このような効
る。DRUPS は現在の UPS システムより電力消費が少な
率化を実現するのは困難なことです。「サービスの分析
く、年間のエネルギー使用量をコンスタントに節減で
を行い、サービスにインパクトを与えなければならない
きる
ので難しいのです。私は(サーバの統合において)起こ
りうることを過小評価しません。基幹サーバにインパク
また、Fujitsu は IT 最適化プログラムによって、新
トを与えたくありませんから」と Poley 氏は語ります。
しいデータセンタに格納されている顧客の IT システム
の消費電力を削減します。IT システムをデータセンタ
Fujitsu のチームは、この分野でのさらなる実績に強
の電力枠内で統合することで、消費電力とコストの最大
い意欲を示していると Poley 氏は主張します。「私たち
50% 節減を達成できます。この IT 最適化プログラムの
は目標を達成しました。さらに高いところを狙えると思
完了時には、年間最大 4,000 世帯への供給に十分な電力
っており、非常に大きな可能性があります。IT は英国
を節減できるようになります。
の電力の 2% を消費しており、8% にもなると言うアナリ
ストもいます。あまり大きな数字には見えないかもしれ
Fujitsu のインフラストラクチャ・サービスのデータ
ませんが、IT は残りの 98% の使い方に関する鍵でもあ
センタ長である Martin Provoost 氏は、ゼロからセンタ
るのです。人々が国内旅行するのを止めさせられます
を建設することのできる幸運について語ります。「新し
か?製造業の非効率的な部分を突き止められますか?日
いデータセンタを建設するチャンスはめったにあるもの
本の R&D では、そのままにしていてもエネルギーを無駄
ではありません。プロジェクトについて考えたとき、よ
使いしないスクリーンに投資しています。私たちは先駆
り多くの電力が必要になると実感しました。それからと
者になると考えており、すでに次のデータセンタについ
いうもの、私たちの検討事項は、エネルギー効率と費用
ても検討を始めています。」
対効果を高めることによって需要を満たすにはどうすれ
ばよいか、ということに終始
しました。
」
Provoost 氏のチームは、一般
的に受け入れられているデータ
センタの運営方法について検討
し、改善できる点があるかどう
か確認しました。
「冷却はデー
タセンタで最もエネルギーを消
費するプロセスのうちのひとつ
で、多くのセンタは室温 22 度
に維持されています。メーカが
これまでに公表してきた、サー
バが効率的に動作する最高温度
が 25 度であるからです。日本
ではサーバは 25 度で運用され
ており、許容値をテストする際
には温度を 1 度ずつ上げること
ができます。
」
OCTOBER 2008 serviceTALK『THE FUTURE DATA CENTRE』より
19
serviceTALK
サービスマネジメントにおける
リーンの取り組み
IT サービス組織へのリーンの適用
要旨
複雑でプロセス集約的な性質を持つ IT 環境は、リー
運用とバックオフィスを越えて
― IT におけるリーン
ンのツールや技法を利用した改善に対して独特の課題を
第二次世界大戦後、天然資源をほとんど持たない日
投げかけるとともに、少なからぬ改善の機会をもたらし
本は、破綻したも同然の状態でした。企業は生き残る
ます。特に、明確なプロセスと目に見えるアウトプット
ために、在庫と仕掛品を最小限に抑え、わずかな資産
は全般的に不足しているものの、プロセス間の組み合わ
と運転資金で経営する必要がありました。このような
せや相互依存性が無数に存在しているということは、改
環境で、トヨタはトヨタ生産方式とトヨタ方式を開発
善の仕組みとして、リーンがすべての IT 領域と活動に
し、それによって成功を収め、世界で最大かつ最も収
完全に適しているということを意味しています。さらに、
益性の高い自動車メーカへと成長を遂げることが可能
リーンは継続的改善と人材への権限付与に重点を置くこ
になりました。
とから、すべての IT スタッフが自分の業務だけでなく、
関係する業務領域についてボトムアップの活動だけでな
それゆえ、リーンの原則は当初、生産システムから
くトップダウンの活動に対して疑問を抱き、改善するよ
無駄と非効率性を排除するため、すなわちコスト削減、
うな、挑戦的な観点を新たにもたらします。
品質と信頼性の改善、サイクル・タイムの迅速化のた
めに、マネージャと従業員が利用できる一連のツール
ITIL® では、リーンは継続的サービス改善の中核にな
や技法として製造現場で開発されました。
るものであることが分かっています。英国の金融機関
である Lloyds TSB グループでは、専任の IT サービス
しかし最近では、
リーンの技法は工場を出て広く普及し、
デリバリチームが、わずか 9 か月で、800 人のスタッフ
幾つか例を挙げるだけでも、保険会社、病院、政府機関、
集団でリーン・カルチャに基づく活動を開始して定量
航空整備組織、ハイテク製品開発部門、石油生産施設、小
的にもかなりの利益を達成しています。
売購買グループ、そして出版会社にまで及んでいます。
IT サービスデリバリチーム 1 は、スタッフを育成し
いずれの場合も、最終目標は、不必要な活動や他の
て、課された業務にリーンのツー
ルや技法をスタッフ自らが適用す
るという、より困難ではありなが
ら、持続可能かつ有益なアプロー
チを採用しました。短期間のコン
サルタント主導型のアプローチを
意図的に避け、すべてのチームの
リーン担当者をトレーニングして
育成することで、各チームのプロ
セス・ナレッジを強化し、継続的
改善のカルチャを醸成することを
選んだのです。
20
serviceTALK
運用上の無駄を見つけて排除する権限を従業員に与える
• リーン推進者からチーム・メンバへのスキル/ナレ ことによって、運用上の測定基準に基づいて組織のパフ
ッジの継承
ォーマンスを改善し、競争上の差別化を図って顧客に価
• 2008 年 8 月の Lloyds TSB IT サービスデリバリの 値を提供することです。
成功およびベストプラクティスの共有
• チームごとの比較(0 ~ 10)を容易にするリーン成 リーンはサービス業界で広く利用されていますが、IT
熟度のフレームワーク。IT サービスデリバリチー 業界に限っては、認識されている障壁のせいでリーンの
ムにおける 2008 年の目標値は 2
利用が限定されています。リーンが事業の運営部分に広
• 改善活動を通じた定量化可能なコスト節減
く利用されている場合でも、多くの企業では、IT 業務
へのリーンの利用を避けたり、軽視したりしています。 サービスオペレーション領域とサービストランジショ
この理由には、惰性、過去の業務慣例への固執、アウト
ン領域において、事業のさまざまな部分にリーンをうま
プットが無形であること(無駄の発見が困難)、IT プロ
く適用した例を示したケース・スタディを次に幾つか紹
セスの長期化および複雑化、複雑な価値の連鎖の構造、 介します。
IT 環境の全般的な技術上の複雑性など、数多くの要因
が挙げられます。
これらのケース・スタディの鍵は、チーム・メンバが
リーン・コーチの支援を得て継続的改善を自らのものと
しかし、リーンを機能させることで得られる膨大な利
し、推進するという方法でした。これによって、各部署
点は IT にリーンを導入することによって生じる課題を
にリーンの専門知識が浸透し、日常的に実際にプロセス
押してあまりあるものです。
に取り組んでいる要員自らが、リーンを適用し、改善を
推進するようになりました。
2007 年 8 月、IT サービスデリバリチームは、リーン
への道のりを踏み出しました。
IT サービスオペレーションにおけるリーン
― LLOYDS TSB メディア・ライブラリ
状況説明
― リーンと ITIL®
サービスオペレーションにおけるリーン・ワーキング
IT サービスデリバリチームは長年にわたって ITIL® を
リーンの適用です。
の最初の例は、Lloyds TSB メディア・ライブラリへの
実践しており、ISO/IEC 20000 認証を取得して 3 年程にな
ります。強力なサービスマネジメントのカルチャを構築
メディア・ライブラリの責務は、オンサイトのテープ
した Lloyds TSB は、サービスマネジメントのプラクティ
とバックアップ・ハードウェアの日常的な運用、モニタ
スを世界有数の水準にすることに力を注いできました。
リング、および正常性確認です。また、外部企業からの
テープ、CD、DVD 媒体の受け取りや処理、外部顧客に対
ITIL® サービスマネジメントのプラクティスである継続
する前述の媒体の作成と発送、銀行のバックアップ媒体
的サービス改善に従い、基本的な達成目標は、リーンを
の保管とアーカイブ、安全なデータ破棄、媒体関連の購入、
通じてカルチャと能力を確立し、ITIL® の全領域にわたっ
事業部門全体にわたるデータの搬送も担当しています。
て効果的に継続的サービス改善を提供することでした。
継続的改善はすでにチームのカルチャの一部になって
具体的には、達成目標は、サービスデリバリにおいて、 いましたが、チームは、Lean による、次のようなさら
次のことを通じてリーンの方法論を利用して継続的改善
なる改善の機会を発見しました。
のカルチャを創り出すことでした。
• お客様の声をとらえることで、顧客が何を望んでいる
• リーンのツールや技法の基本導入に関して先駆けと かを正確に理解する
なるリーン「推進者」の正式なトレーニングと認定
• 視覚的な情報を利用して、チームの「勝ち負け」を一
• 各部署でプロセス改善を行うためのスタッフへの権 目で見分ける
限付与
• チームのランナ・プロセスとリピータ・プロセス用の
• 定期的に行われる効果的なコーチングと支援
プロセスマップを補助的に利用することにより、業務
serviceTALK
21
を行う要員によって設計され合意された業務の標準化
リーンへの取り組みの開始に先立って、チームは次の
に全員が取り組むようにする
ような数多くの改善の機会を識別しました。
• 職場の物理環境とバーチャル環境を改善する
• ディスプレイ・ボードに、業務の進捗状況や潜在的な
• 継続的改善のアイデアを実践し、利点を測定および取
課題に関する情報が示されていなかった
得する方法を構築する
• スキルの可視性が不足していた
• 顧客が本当に望むものを提供しているかどうかを確認
アプローチ
する目的でのお客様の声の調査を実施していなかっ 最初のタスクは、主要な利害関係者を特定して、賛同
た。例えば、QCD(品質、コスト、納期)に関する具
とコミットメントを得ることでした。チームは次に、最
体的な指標がなかった
初のプレゼンテーションと質疑応答セッションに集中し
• 優れたユーザ・ガイドは存在するものの、プロセス・
て取り組み、その後は定期ミーティングを設けてリーン
マッピングがなく、無駄を識別する方法やタスクの実
への道のりの具体的な進捗を協議しました。また、最新
行に最善の方法を見分ける方法がなかった
情報を記載したニュースレターを定期的に発行し、電子
アプローチ
メールでチームに配付しました。
チーム・リーダは、リーンへの道のりの第一歩として
」と題したチーム・
チームはその後、財務サービス用に Lloyds TSB が特別 「Hearts and Minds(心のありよう)
に開発した数多くのリーンのツールや技法を利用して、6
プレゼンテーションを行い、賛同を呼びかけ、これから
か月間にわたってあらゆる機会に対応していきました。
何が起きようとしているかを説明して理解を求めました。
利点
どこに機会が存在しているかを明確に理解したうえ
チームは、「お客様の声」を追求することによってプ
で、チームは次に、業務の流れはどうなっているか、プ
ロセス変更を行い、処置を講じてから 3 か月以内に大幅
ロセスのサプライヤと顧客は誰であるかを示す文書を作
なコスト発生の回避という結果を得ることができまし
成しました。
た。定性的な利点としては、チームからの全面的な賛同
を得ました。視覚的な情報を利用すると、業務のステー
それから、
「システム・アクセス要求」
(SAR)に対す
タスや、課題がどこにあるのか、いつ処置を講じるべき
る主要プロセスを整理して対応付け、無駄な領域も特定
なのかについて、誰もが完全に理解できます。また、よ
しました。
り多くのデータが収集されるため、傾向分析と将来計画
が可能になります。最終的には、適時に適切な人材を利
その後、期待されていることをよりよく理解するため
用できるようにすることで、より良い顧客サービス、包
に、お客様の声を収集しました。
括的なサービス改善、スタッフ配置の向上という結果が
もたらされるでしょう。
ワークフローと QCD を考察した結果、チームは、職場
の組織と 5S に焦点を当てました。
サービスオペレーションにおけるリーン
― セキュリティ運用
利点
サービスオペレーションにおけるリーンの取り組みの
前もって計画し、問題が具体化する前に対処できるよ
2 つ目の例は、
セキュリティ運用の領域におけるものです。 うになったおかげで、セキュリティ運用チームのセク
ションの 1 つが 2007 年末に、契約期限が切れる予定に
メインフレームおよびミッドレンジ・セキュリティ運
なっていた多くの契約ユーザ ID を識別しました。これ
用チームは、さまざまなシステム・プラットフォーム全
をそのままにしていれば、2008 年初頭に無駄な「待機」
体にわたってセキュリティを確保します。これには、簡
時間が発生するところでした。かなりの人数の契約スタ
単なユーザのセットアップから、銀行が定めるセキュリ
ッフが、緊急要求を出してユーザ ID の有効期限が延長
ティ標準を遵守しなければならない本番移行プロジェク
されるまで、その日の何時間か待機していなければなら
トに至るまで、あらゆるものが含まれます。
なかったでしょう。
22
serviceTALK
しかし、この問題は早期に識別され、ユーザ ID の延
び品質標準をよく理解しておらず、チームは、存在する
長が間に合ったため問題を回避でき、それによって何百
課題を認識していないか、あるいは改善の仕組みがない
時間もの工数が無駄にならずに済みました。さらに、ワ
ためその課題をどうすることもできないと感じているよ
ークフロー・ボードが、業務の進捗を常に示す、まぎれ
うな状態でした。
もない資産であることが証明されました。
このボードは、
SLA を満たすためにシステムにプレッシャーがかかる時
チームは、プラスの変化と業務慣行を推進するために、
期について事前に警告を与えるため、管理チームにとっ
十分な実績のあるツールや技法を必要としていました。
ても利点となりました。
アプローチ
同様に、ミッドレンジおよびメインフレーム・チーム
HRM は、他の業務でのリーンへの取り組みの方法と同様
の生産性も大幅に向上しました。この向上を示す指標の
に、実績のあるアプローチに従いました。すなわち、チー
1 つに、1 時間当たりの要求数(RPH)があります。リー
ム全体を教育し関与させること、主要な利害関係者や顧客
ン活動を行うと、リーンのツールや技法の利用によって
を引き込むこと、現実的な成果物を設定することです。
この数値が著しく増加しました。チームはリーンを受け
入れ、全チーム・メンバに権限を与え、日々の業務に漸
チームは課題に対処するために、プロセスに与えるの
進的な改善を行えるようにすることで、チーム・スピリ
現在の影響についてレビューし、プロセス・ユーザ・グ
ットとカルチャを構築したのです。
ループを設置して、
「現状」と「あるべき」状態のプロセ
スを再定義しました。結果的に、プロセスの無駄が識別
(脚注)
1 IT サービスデリバリチームは、Lloyd TSB グループ
され、
無駄を取り除くための計画が整備されました。また、
全体の事業部門に対する IT サービスの管理、提供、サ
根本原因分析によって根本的な課題が理解されました。
ポート、および改善を担当しています。
定義が終わると、チームは、顧客がどのように感じて
サービストランジションにおけるリーン
― ハードウェア・リリース管理(HRM)
HRM は、IT サービスデリバリチーム内のセクションの
いるかを調査しました。その結果、顧客が望んでいるの
1 つであるインフラストラクチャ・サービスチームの責
クトの一部を補完することで顧客の要件を満たすような、
務の一環です。HRM は、グループ IT マネージド・デー
より柔軟性の高い運用モデルであることがわかりました。
タセンタおよびリモート・サイト・テクニカル・ルーム
チームはこのレビューによって運用モデルの変更が必
すべてに対するグループ IT プロジェクト・ポートフォ
要であることに気付き、プロジェクトをエンドツーエン
リオの導入を担当しています。
ドで管理するのではなく、プロジェクトの成果物を個々
は、準備がすべて整うのを待ってプロジェクトを開始す
るのではなく、顧客が進める準備のできているプロジェ
の部分に分割し、それぞれを生産ラインに引き渡すよう
中核的な責務には、データセンタ環境のサポートの提
になりました。
供、フロアスペースの管理、電力、ハードウェアの設置
と撤去の計画立案、ケーブルと光ファイバの接続管理が
含まれます。
利点
― ケースのオーナシップから生産ラインへの移行
プロセスを、エンドツーエンドで管理するのではなく、
これまでこのチームは、プロジェクトの明確な終了時 「単一フロー」毎のサブプロセスに分割することによっ
期を提示できなかったためリソースの計画立案が困難に
て、無数の利点が生み出されました。
なっており、その結果、リソースが必要以上に長くプロ
ジェクトに拘束される原因になっていました。さらに、 • 運用工数の削減 ― 効率的な業務方法への刷新によっ
お客様の声(VOC)の調査では、このチームは、顧客の
て、さらなる継続的改善や追加の処理作業に、より多
需要を満たす取り組みが「リアクティブ」であるという
くの時間を費やすことができる
レッテルを貼られました。トレーニングと多方面のスキ
• リソース利用の向上 ― チームが、需要に応じて各段
ル習得にも問題がありました。結果として、新規スタッ
階の活動を調整できる
フは慣れるのに時間がかかり、期待、仕事の方法、およ
• 採用とトレーニングの容易化 ― 採用とトレーニング
serviceTALK
23
を、エンドツーエンドのプロセス全体ではなく、プロ
スタッフと連携し、彼らにトレーニングを受けさせ、コー
セスの個々の要素に合わせることができる
チングを行い、励まし、支援するというものであり、この
効果として、
「ナレッジの継承とカルチャの浸透」という
利点
右上の段階へと急速に進むことができました(図を参照)
。
チームの先進的なデジタル・ディスプレイには、ワー
リーンへの道のりの段階
クフローと数値が各管理単位別の画面と総合的な画面が
表示されます。完了日と RAG ステータスは、マネージャ
がリソースに焦点を当て、プロアクティブに課題に対処
することに役立ちます。さらに、チームのより多くの要
員が、HRM の活動とパフォーマンスについてよりいっそ
スタッフ自らがリーンを業務に適用できるようになるた
う理解できるようになります。
めには、一定期間、リーンを継続的に自分のものとして実
期待の明確化 ― スキル・マトリクスは、経験の浅い
践する必要があることを、チームは早くから認識していま
スタッフが、自分に必要なトレーニングを見つける際に
した。このオーナシップこそが、サービスデリバリの改善
役立っています。チームがどのように業務を行っている
に必要な影響力そのものを生み出すと考えたのです。
かについての客観的な指標を提供するために、QCD 指標
権限を付与された各部署の専門家 × リーンのツールや技法
=
迅速かつ持続的な事業改善
が定義され、整備されます。 視覚的表示での
プロセス・マッピング
リーン・チームは体系的な学習アプローチを利用し、直
QCD
視覚的表示用の品質指標
接的なやり取りやリーン推進者を通じたやり取りによっ
Lean 戦略
― 作業チーム的アプローチとカルチャ的アプローチ
て、リーンに関するナレッジを多数の IT スタッフに迅速
サービスデリバリチームにおけるリーンの成功の鍵
ーン担当者とやり取りする中間層の IT スタッフです。
に継承できました。リーン推進者は、リーン・コーチやリ
は、リーンの導入方法にあります。
この迅速な継承によって、各部署のリーン担当者とリ
組織はしばしば、コンサルタント主導で実施する作業
ーン推進者が、リーンのツールを自らの業務に迅速に適
チーム的方法によって業務改善プログラムをパッケージ
用することができました。その結果、無駄を削減する活
化します。これは多くの場合、3 か月という短期間のも
動を直ちに導入することができ、さらに、より長期的な
のです。このアプローチの問題は、その後数か月でスタ
改善をスケジューリングできたことで、浸透のレベルが
ッフの業務の経験が以前の状態に戻ってしまう可能性があ
確実になりました。
り、改善の短期的な利点が失われてしまうということです。
IT サービスデリバリチームは、事業の他の部分でコン
カルチャ的アプローチのさらなる利点は、より大きな
サルタント主導の作業チーム的方法を利用した過去の取
課題に対処するためのプロジェクトとしてリーンの業務
り組みから重要な教訓を得て、カルチャ面からリーンを
の流れが後に導入されたときに、スタッフは変更に対す
導入することを決
る備えができており、賛同できるということです。スタ
定しました。変化
ッフが、自分に関係あるリーンの改善ツールを理解して
を持続させ、成功
いるだけではなく、スタッフ自身が理解したことに基づ
を確実にする唯一
き、自ら変更を適用することができるのです。
の方法は、各部署
著者について:Andrew Mullen 氏は、英国およびフランスで、10
にリーン担当者を
年以上にわたり IT 部門ならびに財務サービス部門のマーケティン
配置することでし
グ活動、顧客対応、そして最近では事業改善の上級職に従事して
た。従ってこのア
きました。現在は Lloyds TSB の常勤リーン・コーチを務めています。
プローチは、まず
24
JANUARY 2009 serviceTALK『Lean Working in Service Management』より
serviceTALK
セキュリティ機能の
課題と解決策
データ紛失についての報告が増加の一途をたどる今、データの保護はこれまでになく重要となっている
昨年初め以来、大企業での個人データの紛失は珍しく
ことです。NHS が、英国だけで 550 を超える法的に独立
ないものとなっています。このため、今や法律が改正さ
した組織にいる 130 万人のスタッフに加え、何千もの一
れ、データを紛失するような不注意な者は起訴され、罰
般医と歯科診療所のスタッフも雇用していることを考え
金を科せられるようになりました。
れば、量的にも複雑さからも、NHS のデータ・セキュリ
ティの課題が途方もないものであることは明らかです。
下院は民事罰を科す改正案を可決し、この犯罪を刑法
これほどまでに利害関係者が関与していることから、NHS
と移民法に追加しました。インフォメーション・コミッ
は「皆さん」の情報のセキュリティ確保に対するコミッ
ショナー代理である David Smith 氏は、最近の声明で次
トメントを示す必要があります。NHS は長い間、情報セ
のように述べています。「今回の法律改正は、データ保
キュリティを推進する取り組みを実施してきました。
護は優先事項とされるべきあり、人々の個人情報をぞん
ざいに扱うことは全く容認できないという、非常に明確
さらに、現状に満足することなく、さらなる変化と
な警告を発しています。
」
増加を続けるリスクの影響に対応するべく、NHS は、い
まや事実上の標準となっている ISO 27002(当時の BS
それゆえ、会社の従業員が 5 人であろうと 500 人であ
7799)を採用し、すべての組織が目指すべきものとして
ろうと、
個人データの保護に重点を置くことが重要です。 アプローチを整備しました。また、NHS は情報ガバナン
本記事では、Tony Cobain 氏が現状に疑問を投げかけ、 ス・ツールキットを提供しています。これはオンライン
どうすれば時代の流れに沿ったセキュリティを施行でき
のセルフ・アセスメント・ツールであり、NHS の全組織
るかを問う一方で、Steve Riley 氏がデータの保護方法
が毎年実施することを義務付けられています。さらに、
に関するヒントを提供しています。
昨年注目を浴びた HMRC のデータ紛失がサービスのセキ
ュリティの取り組みに新たな刺激となり、全組織をあげ
NHS でデータ保護を確実にするセキュリティの処方箋
て大量のデータの流れを再調査するさまざまなタスクが
― IM & T ASSURANCE、MIAA AUDIT & ASSURANCE 代表、 実施されました。それでは、これらすべての取り組みや
TONY COBAIN 氏
指示によって、このように整備され実践されたセキュリ
すべての組織と同様に、NHS は、かつてないほど増え
ティへのアプローチが、すきのない環境を作り出したと
続けるデータ漏洩のリスクにさらされています。しかし、 言えるでしょうか?
他の大半の組織と異なるのは、NHS の場合はほとんどす
情報セキュリティ関係者なら誰もが言うでしょう。
「絶
serviceTALK
25
べての英国市民が「利害関係のある顧客」であるという
対なんていうことはない」と。過去 1 年間の新聞にざ
「人材が良ければお粗末なシステムでも機能する」と
っと目を通したり、ニュースを見ただけでも、NHS 内で
いう古い格言がありますが、これが意味しているのは「勘
PC が盗まれたり、CD が紛失したインシデントや、患者
や経験を頼りにする」ということです。この方法を取り
情報が暗号化されていないメモリスティックに保存され
続けると、結局「大失敗」することは火を見るより明ら
たり、そのメモリスティックが紛失したりした話を目に
かです。何よりも重要なのは、戦略およびそれを支える
するでしょう。では、今までのあらゆる努力にもかかわ
方針と手順を明確に定義して文書化し、それを完全かつ
らず、なぜこのようなインシデントは起こり続けるので
効果的にスタッフに伝達して啓蒙するような環境を組織
しょうか?最初に挙げられるのは、組織形態や部門にか
が作ることです。そのような環境では、技術はこれらの
かわらず、情報セキュリティは IT 部門の領分であって、 業務慣行の単なる推進役にすぎません。Henry Ford は
技術者がシステムをロックする巧妙な解決策
かつてこのように言いました。「この世界で人
を考え出すものだとしばしば受け止められ
間が持つことのできる唯一の本物のセキュリ
ているということです。
ティは、ナレッジ、経験、そして能力の蓄え
である。」技術は言及されていないのです!
しかし、この考え方は「人的要因」を無視
しているので、この考え方に従えば失敗する
最後に、組織は、組織のセキュリティの取
運命にあります。次に挙げられるのは、HMRC
り決めに関して明確かつ価値ある保証を得る
のデータ紛失をとりまく出来事についての
ために、適切な資格を持つ外部または独立し
Poynter レポートが強調しているように、多くの場合、方
たアセスメント実施機関を利用して、セキュリティ管理
針と手順自体が存在するだけではセキュリティの確保には
状況に関するレビューと報告を行うべきです。これには
不十分だということです。おそらく、NHS 情報ガバナンス・
常に皆さんの内部監査機能を利用しましょう。監査機能
ツールキットのセキュリティ要素が不十分な結果に終わる
はそのためにあるのです!そこまでやって初めて、胸に
のは、まさにこのような状況のためでしょう。
手を当てて言うことができるのです。「私たちは最善を
尽くしました」と。
私たちは、役員らが、情報ガバナンス(IG)がプラス
の結果を出しているのに対し、監査報告やインシデント
データを守れ。それ以外のものは単なる設備にすぎない
の抑制などが芳しくないことの原因に疑問を抱き始める
― MICROSOFT 上級セキュリティ・ストラテジスト、STEVE RILEY 氏
例が増え続けているのを目にしています。私たちの経験
ちょっとの時間、私と一緒に頭の体操をしてみましょ
によれば、このような相違はしばしば、日々セキュリテ
う。皆さんの会社のすべての情報処理資産について考え
ィを支援するために要求される詳細な管理策やプロセス
てみてください。すべてのコンピュータ、それらが接続
(例えば、
ISO 27001 および 27002 などの規格)と比べて、 されているネットワーク、皆さんが使用するアプリケー
IG 要件が「大まかなレベル」であることに起因します。 ション、そして皆さんが扱うデータと情報などです。こ
つまり、ツールキットは確かに価値と方向性をもたらし
れらのうち、最も価値のあるものは何でしょうか?明日
ますが、運用上のコントロールが著しく不足していたと
突然、悲劇的に消えてしまったら、会社の事業継続が危
しても、IG がプラスの結果になることは可能なのです。
うくなるようなものはどれでしょうか?
残念ながら、多くの組織にとって、技術と IG はセキ
そうです。それはデータです。その他の要素はいずれも、
ュリティの理論的枠組みになっています。しかし、真摯
容易に交換できます。しかし、もしデータが消えてしまっ
にセキュリティに取り組むのであれば、組織は新たな理
たら、事業を畳んで、大海の真ん中に浮かぶ孤島に隠遁し
論的枠組みを作る必要があります。
この枠組みにおいて、 なければならなくなるかもしれません。競争力を与えてく
強固なセキュリティは 1 つの取り組みではなく、組織の
れるのも、事業の大部分を占めるのも、そして、攻撃者に
上層部によって推進され支持される通常の業務慣行の一
とって最も魅力的なのも、すべてデータなのです。
部であり、役員レベルの責任を必要とします。真のセキ
ュリティは、組織の方針、プロセス、人材、および技術
それではなぜ、データを移動させる設備を保護するこ
のバランスに基づいている必要があるのです。
とに重点を置いて、データ自体の保護にはほとんど関心
を払わないのでしょうか?私の推測ではこうです。古い
serviceTALK
26
習慣はなかなかなくならず、多くの場合、情報セキュリ
事に再び専念させることができます。
ティは、おおよそ次のようなモデルに従ってきました。
データ侵害はますます頻繁に起こるようになっている
セキュリティに対する従来のアプローチでは、ネット
ようで、もはやニュースとは言えません。侵害を避ける
ワークに最も重点を置き、個々のコンピュータとそこで
最善の方法は、必要のないデータを保存しないことです。
実行するアプリケーションについてはそれほど考慮せ
例えば、クレジットカードの番号を処理した後は、その
ず、データのセキュリティに対する考慮は最小でした。 データを保持せずに削除するのです。保持する必要のあ
かつてこれは正しいアプローチでした。コンピュータと
る他の機密データについては、このようなデータを安全
アプリケーションはセキュリティを重視して設計されて
に保つ最善の方法は、データベース内で暗号化すること
おらず、データを保護する唯一の方法はネットワークを
です。皆さんの会社が個人情報や機密情報(とりわけ顧
保護することでした。というのも、悪者が狙っているの
客に関する情報)を保存する状況をすべて評価し、該当
は通常、ネットワークだったからです。
する場合にはデータの暗号化を行ってください。
しかし、この古いモデルは、今日ではもはや当てはま
もちろん、データのセキュリティとは物理的保管のこ
りません。悪者は、もうネットワークには全く関心を持
とだけではありません。同様に重要なのは、データを分
っていません。彼らは皆さんのデータを狙っているので
類する方針とプロセスです。この話題に関しては、実に
す。かつて、攻撃者の動機はプライドでした。例えば
吸収しきれないほどの知識体系があります。皆さんがお
Mafiaboy は、2000 年 2 月にインターネットの大部分を停
気に入りの検索エンジンで延々と探し回らなくても済む
止させたことを自慢したことで有名になりました(そし
ように、最近私が発見した分類体系を皆さんと共有した
て、その自慢が彼の破滅の原因となりました)。しかし
いと思います。これは、シンプルかつ的確で、皆さんが
最近では、攻撃者の動機は利益です。ゲームの経済学が
実際に利用できるものです。
変化し、それとともに悪者のスキルと彼らのツールの能
力も変化しました。
まず、機密性の分類について考えます。この分類は、
データ侵害された際の対応に関する手引きとなるため、
繰り返して言います。彼らは、皆さんのデータを欲して
重要です。公開情報、内部情報、機密情報、個人情報と
いるのです。彼らはデータを盗み、皆さんの競合相手に売
いう 4 つの分類で十分です。
ります。彼らはデータを破壊し、皆さんのビジネスを破綻
させるのです。ネットワークと皆さんのコンピュータは、 次に、保持期間の分類について検討します。何らかの
単にデータにアクセスする手段にすぎないのです。そこで、 理由で裁判に召喚されることになったら、証拠開示手続
情報資産の防御者である私たちは、悪者の戦術に対処する
きで大量のデータが開示されることになります。裁判開
ために、またできれば先手を打つために、私たちの戦術を
始後に新たな情報が見つかった場合、重い罰を科される
変更しなければなりません。従来の思考を逆にして、セキ
おそれがあります。そのため、一定期間を経過した電子
ュリティに重点を置かなければなりません。
メールとファイル共有を定期的に削除するという方針に
従う必要があります。たいていの場合、法定保管のデー
データの保護は、今や最重要であり、多いに注目する価
タは 7 年間、過去の事業データは 3 年間、そして、一時
値があります。同様に重要なのは、アプリケーションを開
データ(電子メールなど)は 1 年間という、3 つの保持
発する際に、セキュリティを考慮することと、アプリケー
分類で十分です。
ションが攻撃者によってどのように意図的に不正使用され
うるかを考慮することです。この世界では、ホストのセキ
最後に、復旧の分類について検討します。災害の際、
ュリティが優れていることも依然として重要です。あらゆ
ある種のデータをどれだけ迅速に復旧する必要があるで
る種類のモバイル・コンピュータのセキュリティも重要で
しょうか?従業員は、自宅のコンピュータや携帯機器に
す。人々は、データを処理するアプリケーションを実行す
ミッション・クリティカルな情報を保存することを認め
るためにコンピュータを使用するので、非常に重要なのは
られているでしょうか?復旧の分類例としては、ミッシ
これらの層なのです。このモデルを適用すれば、ネットワ
ョン・クリティカルなデータは即時に復旧、緊急データ
ークは可能なかぎり高速にビットを動かすという本来の仕
は 72 時間以内に復旧、急を要さないデータは 30 日以内
serviceTALK
27
に復旧、というものがあ
ります。
ISO/IEC 27000 を利用したセキュリティ特性のベンチマーク
― IT パートナー、主席コンサルタント、PETER WHEATCROFT 氏
攻撃者は、動機が悪意
サービスマネジメントとセキュリティ管理は、同じような管理領域に基づいています。両者は、
組織のセキュリティ特性をアセスメントする際に利用するべき重要なものです。
のあるものになるにつれ、
戦術を継続的に改善する
ということを忘れないで
ください。それに応じて
皆さんの戦術を調整する
ことによって、情報を安
全に保つために自分の責
任を果たしていると確信
することができます。
ISO/IEC 27000 は ISO/IEC 20000 の対になるもので、国内および世界で支持されています。
最近注目を集めた多くのインシデントの結果として、より効果的なデータ管理が求められてい
ることを考えても、これは極めて適切なものです。
近年、多くのセキュリティ標準が発行されていますが、そのうち最も顕著なものは BS7799
です。この規格は漸進的に開発され、現在では、情報セキュリティマネジメントシステム(略
して ISMS)を構築し、運用するモデルを提供する ISO/IEC 27000 シリーズの一部となっていま
す。ISO/IEC 27000 は 1 つの規格ではなく、実践のための規範、認証、監査の手引き、および
関連するリスク管理プロセスを対象とする規格から成る一群の発行物です。
BS7799 が初めて発行されたのは 1995 年
記事の全文は、次を参照してく
ださい。
http://blogs.technet.com/
steriley/archive/2007/07/02/
protect-your-data-everythingelse-is-just-plumbing.aspx
ISO/IEC 27000 がサービス提供にとって重要な理由は、ITIL® V3 においてセキュリティ管理が
サービスデザイン段階に、またアクセス管理がサービスオペレーションに組み込まれているから
です。さらに、サービスマネジメントの規格である ISO/IEC 20000 は、重複を避けるために、セ
キュリティの要素については ISO/IEC 27000 またはその前身の規格に依存しています。
ISO/IEC 27000 の管理目標の詳細は、概して、対応する ISO/IEC 20000 よりも分かりやすく書
かれているため、運用上の設計目的と成果をより明確にするために利用できます。
実践のための規範
(指針)
ISMS 要求事項
(指針)
BS7799-1:1999
↓
ISO/IEC 17799:2000
↓
ISO/IEC 17799:2005
↓
ISO/IEC 27002:2005
BS7799-2: 1999
リスク管理
(アセスメント)
↓
BS7799-2: 2002
↓
ISO/IEC 27001: 2005
BS7799-3: 2005
↓
ISO/IEC 27005: 2008
優れたサービスマネジメントが必ずしも正式な
ISO/IEC 20000 認証を必要としないように、優れたセ
キュリティ管理を実証するために ISO/IEC 27001 認証
を取得することは必須ではありません。重要なことは、
皆さんが自分たちがどの段階にいるのかをベンチマー
キングするために、両方の規格を利用できること、ま
た利用すべきだということです。そして皆さんの業務
が重要なものの上に基づくことが出来ること、また基
づくべきだということです。
運用上のプラクティス ISO 20000 と ISO 27000 の一連の管理策
このような一連の分かりやすい管理目標に基づいて
何がうまくいっているか、
変更記録に、データセンタまたはサーバ・ルームへのアク ベンチマーキングを行うと、
変更管理
セスの管理を含める。後に実施した活動のレビューを行う。 何がうまくいっていないか、さらには、全く行う必要
機密情報の取り出しを防ぐために、ワークステーションを のないことは何かということに焦点を当てる手助けと
構成管理
ロックし、USB ポートを無効化する。
なります。すべての組織が達成目標の 1 つひとつに管
処理またはアクセスされるデータの機密性を考慮に入れる 理策を導入する必要があるわけではないため、適切で
リリース管理
ために、リリース・パッケージの受け入れ基準を設定する。 ない管理策をある程度除外する必要があります。これ
事業継続性計画においては、顧客が従来必要としている正 は、適用宣言書を作成するために、ISO/IEC 27005 の
継続性管理
式な災害対策のサービスだけではなく、すべてのサービス リスク・アセスメント・プロセスに従って実施します。
を考慮に入れる。
作成した適用宣言書には、管理策除外の理由を記載で
サービスの定義に、アクセス制御およびシステムの脆弱性 きます。これは、正式認証を求める際には不可欠であ
サービスレベル管理
の識別に加えて、可用性と継続性の基準を含める。
り、認証に至らずその理由が不十分である場合は異議
キャパシティ計画では、リソースと、主要な要員への依存 を申し立てることさえできるかもしれません。
キャパシティ管理
度を検討事項に含める。
サービスレベル管理
インターネット・バンキングを管理するために 2 者間の双
方向認証を展開し、誰が利用可能か管理する。
図 4 ISO/IEC 20000 および ISO/IEC
27002 からの管理策を利用し
た解決策の例
ISO/IEC 20000 とともに ISO/IEC 27000 を利用する
利点の最後の例として、両規格からベストプラクティ
スを引き出して、両規格における一連の管理の要求事項を満たすことが可能な解決策を提供す
ることができるということがあります。監査人がこのアプローチを高く評価するだけでなく、
両規格を統合した解決策を開発すると運用上のコントロールと確実さがさらに向上します。図
4 に、この統合ベストプラクティスの実例の幾つかを詳述して示しています。
JANUARY 2009 serviceTALK『Security feature challenges and solutions』より
28
serviceTALK
関西支部活動報告
■ it SMF Japan 関西支部
桜の花も今はさかりをこえ、野も山も若葉の美しい季
完売となりました。ご講演者ならびにご協力いただきま
節となりました。
したスタッフの方々に、この場を借りてお礼申し上げま
す 。 誠にありがとうございました 。
it SMF Japan 関西支部も早いもので、3 年が経ちました。
昨年度も引き続き、関西エリアにおけるセミナ開催およ
なお、セミナ講演資料およびアンケート・実施報告に
び分科会活動支援を中心に取り組んで参りました。
つきましては it SMF Japan の会員ホームページよりダウ
ンロードが可能となっておりますので、参考にしていた
だければ幸いです。
セミナにつきましては、一昨年度より増やして 2 回開
催しました(10 月と 2 月)。10 月のセミナ内容は、前回
の会報誌ならびに it SMF Japan ホームページをご参照く
関西支部では、今年度も会員の皆様のご要望にお応えし
ださい。 ていけるよう活動を実施して参ります。これからも関西
支部をよろしくお願いいたします。
2 月 17 日の第 19 回セミナは、前回のセミナアンケー
ト等でご要望が高かった ISO/IEC 20000 をテーマに大
阪・梅田で行いました。関西支部長の挨拶に続き、第 1
セッションでは it SMF Japan 塩田理事に、『IT サービス
マネジメントと規格の関係』というタイトルで ITIL® と
規格の関係と、動向を中心にご講演いただきました。
第 2 セッションでは、EXIN Japan 中川様に『ITIL®
V3 資格アップデート並びに ISO/IEC 20000 資格スキー
ム』についての最新情報をご紹介していただきました。
最後のセッションは、会員の皆様からのご要望が非
常に高いユーザ事例を三菱総研 DCS 株式会社・宗像様に、
『ISO/IEC 20000 取得に関わる事例のご紹介』という演
目で、ISO/IEC 20000 認証を取得するまでの実体験を元
にご講演していただき、参加された皆様から絶賛され
ました。
当日は 63 名の方にご出席いただき、盛況のうちに終
了することができました。また、このセミナでは急遽
「ITIL® V3 ポケットガイド」の先行発売を行い、40 冊が
29
itSMF Japan
第6回通常総会のご案内
特定非営利活動法人
開催日時 : 5 月 26 日(火曜日)
議題 :
14 時~ 16 時 15 分(開場 13 時 30 分)
1)開会宣言
開催場所 : 笹川記念会館
2)理事長挨拶
http://www.sasakawahall.jp
3)議長選出
〒 108-0073 東京都港区三田 3-12-12
TEL.03-3454-5062( 代 ) FAX.03-3454-5544
JR 田町駅 ( 三田口 ) より徒歩 8 分
都営地下鉄三田線 三田駅より徒歩 6 分
都営地下鉄浅草線 泉岳寺駅より徒歩 3 分
4)定足数確認 議事録署名人選出
5)第 1 号議案 2008 年度事業報告案(審議事項)
6)第 2 号議案 2008 年度決算報告案(審議事項)
7)第 3 号議案 2009 年度理事選任報告(報告事項)
総会は、年に 1 回開催し、各種議案の報告と審議を行
8)第 4 号議案 2009 年度監事選出(審議事項)
います。個人会員、団体会員の皆様に議決権があります
9)第 5 号議案 2009 年度事業計画(報告事項)
10)第 6 号議案 2009 年度予算(報告事項)
(団体会員の場合、1 票)。
メールにてご案内いたしました総会出席票及び書面議
11)第 7 号議案 定款変更案(審議事項)
決票にご記載いただき、ご返信ください。
12)議長解任
13)新理事よりの挨拶
議案書は 5 月中旬には、会員専用ページ内「総会・お
14)閉会宣言
知らせ」第 6 回通常総会ページにてご確認いただけます。
各種募集のお知らせ
■広告の募集
it SMF Japan 会報誌「ニュースレター」では、IT サービスマネジメントに関するビジネスに取り組む会員組織様からの itSMF
回数
掲載場所
表紙の次のページ
1回
上記以外 ( 通常のページ )
半年 (2 回 ) 通常のページ
通年 (4 回 ) 通常のページ
Japan 会報誌「ニュースレター」( 年 4 回発行 ) への広告掲載を
ページ
料金 ( 税込 )
1 ページ
105,000 円
募集しています。価格は以下の通りです。
半ページ
42,000 円
会員様向け会報誌への掲載となります。
1 ページ
84,000 円
it SMF Japan 公式サイト会員ページのお知らせ欄に掲載の内
半ページ
68,250 円
容をご確認のうえ、事務局までメールにてお申し込みください
1 ページ
136,500 円
半ページ
105,000 円
1 ページ
210,000 円
([email protected])。
■投稿の募集
it SMF Japan 会報誌「ニュースレター」では、会員の皆様から
の投稿を随時募集しております。ぜひ会員の皆様の貴重なご意見ご経験をお伝えさせていただきたいと考えております。
なお投稿を採用させていただきました会員様には、it SMF Japan Web ページで販売している書籍からご希望の書籍を 1 冊贈
呈させていただきます。
■インタビューをお受けいただける企業会員様の募集
it SMF Japan 会報誌「ニュースレター」では、企業会員様およびコンファレンスでご講演いただきました企業様を対象とし
て 1 時間ほどのインタビューを行わせていただき、IT 組織の概要、運用システムの概要とともに、自社における IT サービ
スマネジメントの取り組みをご紹介させていただいております。こちらも随時募集しております。採用させていただいた
会員様・企業様には、投稿と同様ご希望の書籍を 1 冊贈呈させていただきます。
30
『第2回 it SMF Japan Newsletter Contribution Award』
募集のお知らせ
最優秀寄稿者には、 『it SMF USA Fusion 09』 へご招待しますので奮ってご応募ください。
■募集対象期間
2008/10 月号から 2009/7 月号までの全 4 号に応募された寄稿。
■応募資格者
it SMF Japan 会員
■応募要綱
【募集テーマ】
ITIL®/ 内部統制 /IT サービスマネジメントなどに関する事例や研究発表
【原稿枚数】
図表・写真を含め A4 3 ~ 5 枚以内程度(4000 字~ 8000 字程度)
【原稿の構成】
1. 見出し符号は次の順に用いてください。また、符号には句読点を打たず 1 字あけてください。
Ⅰ II III・・・、1 2 3・・・、1)2)3)・・・、(1)(2)(3)・・・、・・・
2. 大見出しの符号(I II III・・・)の前行は、必ず 1 行あけてください。
3. 文章は「である」調に統一してください。
4. 文献から図・表や本文を引用する場合は、著作権に配慮し出典を明記してください。
【ファイル形式】
MSWord もしくは テキスト形式
【その他】
1. 企業の製品やサービス等の宣伝に繋がる記述はご遠慮ください。
2. 掲載された寄稿文の著作権は著者に帰属しますが、著作権者は、it SMF Japan による当該寄稿
文の再配布(出版物や Web への掲載、CD-ROM への収録など)を許諾するものとします。
3. 顔写真を添付いただければ、会報誌掲載の際に掲載させていただきます。
4. レイアウトは it SMF Japan にて実施しますのでご了解ください。
■賞品
【最優秀寄稿者賞】
it SMF USA Fusion 09 ( 開催期間:2009/9/20 ~ 9/23 )
場所:Dallas, TX
※ 往復飛行機代、宿泊費代、コンファレンス代 (最大 50 万円まで)を負担いたします。
【入賞】
各号毎に最大 2 編の寄稿を選定し、it SMF Japan 会報誌「ニュースレター」に掲載。
掲載された寄稿者に対して it SMF Japan で販売している書籍よりご希望の書籍を 1 冊贈呈(従 来からの特典)
。
【審査の方法・審査結果の発表】
会報誌編集委員会、理事会にて審査を行います。審査結果は、it SMF Japan ホームページ上にて
発表するとともに当選者宛に連絡いたします。
■応募先・お問合せ先
it SMF 事務局([email protected])までメールにて応募・お問い合わせください。
31
今号では、分科会特集を掲載いたしました。今年は、8分科会のご紹介をさせていただきました。これらの情報は、皆様の活発な
it SMF Japanでの活動の成果の賜と思っております。皆様のさらなる発表の場を提供させていただきます。
第6回it SMF Japanコンファレンス開催も近づいてきており、次号ではこの内容をご紹介いたします。(中井)
■ご意見: 本ニュースレターへのご意見・ご要望は、it SMF Japan会報誌担当宛てにメールにてお
送りください。
メールアドレス: [email protected]
■寄稿: ITサービスマネジメント導入、運営における経験を他の会員の皆様とシェアしていただ
ける方を募集しております。ご協力いただける方は、it SMF Japan会報誌担当宛てにメールにて
ご連絡ください。
メールアドレス: [email protected]
■広告: 本ニュースレターは皆様の広告料で制作されています。広告掲載に興味をお持ちの方は
it SMF Japan 事務局にご連絡ください。
メールアドレス: [email protected]
■it SMF Japan ニュースレター
2009年4月号 (1月、4月、7月、10月発行)
編集人: 江口 昌幸 (特定非営利活動法人it SMF Japan 会報誌担当理事) 編集取りまとめ: 中井 秀有(日本アイ・ビー・エム㈱) 編集委員(アイウエオ順): 品田 京子(日本アイ・ビー・エム㈱)、月野 允裕(富士通㈱)、中井 秀有(日本アイ・ビー・エ
ム㈱)、中川 悦子(EXIN Japan)、中里 広之(日本アイ・ビー・エム㈱)、三谷 浩一(NTTコミュ
ニケーションズ㈱)、藤井 宏子(㈱アビリティ・インタービジネス・ソリューションズ)、八木
隆(㈱日立製作所)
翻訳レビューア(敬称略、アイウエオ順): 朝枝 優子・五島 徹・佐野 浩子・平山 一成・中本 雅寛・米田 英央(日本アイ・ビー・エム㈱)
■発行所 : 特定非営利活動法人 it SMF Japan
東京都港区芝 5-16-7 芝ビル 6F-A
電話 : (03)5439-5591 Fax: (03)5439-5592
URL: www.itsmf-japan.org
■ ITIL® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries.
■その他記載の組織名 ( 会社 / 団体 / 機関 )、製品名は、それぞれの会社 / 団体の商標または登録
商標です。
注 . 記事において記載の組織や製品に対し it SMF Japan がなんらの推奨を行うものではありません。
■本誌掲載記事の無断転載を禁じます。
ニュースレター 2009.4 第 2 版
32