• 「CIO特別フォーラム2007 Winter」リポートトップページへ
• インフォコム株式会社
• サイベース株式会社
• トリップワイヤ・ジャパン株式会社
• LANDesk Software株式会社

金融商品取引法（通称：日本版SOX法）の適用まで残すところ1年余り。同法で求められる財務報告の信頼性を確保するために、専用の管理ツールやソフトウェアを導入した企業は少なくないはずだ。ただ、製品を導入しさえすれば、即座に内部統制が実現するというわけにはいかない。LANDesk Softwareによると、どんな製品を導入するのであれ、「IT基盤の管理をプロセスとして確立し、PDCAサイクルを回し続けること」が最も重要だからだ。本稿では、同社の言う「IT管理業務プロセス」を確立するための手順を説明し、内部統制の構築を支援する同社のプロセス管理ソフトウェアを紹介したい。

内部統制を実現するIT管理業務プロセス

金融商品取引法（通称：日本版SOX法）への対応というと、直接的に監査の対象となる財務報告の信頼性に関心が集中してしまいがちだ。ただ、内部統制「実施基準」には、内部統制の目的として、「業務の有効性および効率性」、「財務報告の信頼性」、「事業活動にかかわる法令などの順守」、「資産の保全」の4つが記載されている。企業は、この4つの目的を併せて実現していくことが求められているのである。

そうしたなか、クライアント／セキュリティ／プロセスの一元管理に強みを持つLANDesk Softwareでは、内部統制の4つの目的を達成するためには、「IT管理業務プロセスを確立し、そのPDCAサイクルを回し続けていくことが重要だ」と主張する。

同社の言うIT管理業務プロセスとは、サーバ、ストレージ、クライアントPC、データベース、業務アプリケーションといったすべてのIT基盤を管理するための業務プロセスのことである。 一般にIT管理業務は、管理ツールを利用して行われるが、現在のIT環境は、すべてのIT基盤が連携しながらITサービスとして機能しているため、特定の管理ツールだけでは十分に対応できないケースが増えてきている。

例えば、セキュリティ・パッチの実施というIT管理業務においては、パッチ配布ツールを利用するだけでは済まず、脆弱性情報の収集から、その影響度の判定、テストの実施、パッチの適用、そして、インベントリ情報の更新といった複数のプロセスが必要になる。そして、これらを管理するためには、各プロセスごとに、個別の管理ツールを組み合わせて実施しなければならない場合がほとんどである。一方、このように多岐にわたる管理業務をシステム管理者の手作業に依存していると、管理のための時間やコストが増えるばかりか、入力ミスや作業漏れによって、セキュリティ・ホールが生じてしまう危険性もある。

こうした事情から、さまざまなIT基盤や複数の管理ツールを管理するためのIT管理業務プロセスが重要になってきたというわけである。ただ、IT管理業務プロセスは、一度確立すれば済むというものではない。パッチの適用されていないクライアントPCを定期的にチェックするといったように、IT管理業務プロセスを確立したうえで、そのPDCAサイクルを回し続けていくことが求められるのである。

LANDesk Softwareでプロセスマネジメント担当 シニアコンサルタントを務める安藤正昭氏は、「IT管理業務プロセスを確立し、PDCAサイクルを回すことは、業務プロセスを確立し、コンプライアンスの徹底を図り、信頼性の高い、不正を許さないIT環境を構築することと不可分だ。そして、このことは、内部統制を実現する際にきわめて有効な方法となる」と強調する。

IT管理業務を構成する4要素

では、IT管理業務プロセスをどのようにして確立していけばよいのだろうか。LANDeskの安藤氏は、そのために必要な要素として、以下の4つを挙げる。

• （1）業務の明確化・プロセス化
• （2）実施状況の可視化
• （3）作業品質の向上
• （4）実施記録の確保

最初に行うのが、（1）業務の明確化・プロセス化だ。これは、IT基盤の状況を常に把握するためには絶対に必要なことだという。そして、業務のプロセス化によって、スキルや知識を持つ特定の人だけでなく、だれでも同じレベルで作業が実施できるようになることを目指す。

次に、（2）実施状況の可視化を行う。これは、業務の実施状況を把握し、業務の遅延などを防止するための取り組みだ。さらに、監査という観点からは、不正行為を防止できることも重要なポイントとなる。このため、できるだけ自動化処理を取り入れることで人的ミスや不正を防止し、（3）作業品質の向上を図る。そのうえで、（4）実施記録の確保を行い、業務に関する一連の記録を保持する。IT管理業務プロセスを確立するには、この（1）〜（4）までのサイクルを繰り返し行っていくことになる。

そして、このサイクルを継続的に実施できるよう支援するソフトウェアが、「プロセス管理ツール」である。IT管理業務プロセスの確立にあたって、プロセス管理ツールを利用することは、属人性の排除や作業の自動化、不正防止などの点で大きく役立つほか、プロセスを定義する際に、COBIT（Control Objectives for Information and related Technology）やITIL（IT Infrastructure Library）などに対応できるというメリットがある。

「これらの標準フレームワークやベストプラクティスは、内部統制やIT管理にかかわる多くの領域をカバーしているため、定義の漏れや偏りを避けつつ、IT環境を適切に制御することが可能になる。プロセスをこれらの基準に準拠させておけば、外部の監査人による内部統制監査を受ける際も有利だ」（安藤氏）

既存システムといかに連携できるかがポイント

ただ、プロセス管理ツールを選択する際には、考慮しておきたい点がいくつかある。まず、上に挙げたような4つの要素を適切に実施できる機能を備えているかということだ。具体的には、プロセス定義やプロセス実行管理ができるかどうか、管理ツールやプログラムとの連携ができるかどうか、実行記録を含めた必要な情報の記録をとることができるかなどといった点である。

そして、もう1つ考慮しておきたい点がある。それは、内部統制を整備するためには、できるだけ短期間で効率的にIT管理業務プロセスを実現していく必要があるということである。

その事情について、安藤氏は、「多くの企業ではすでに、パッチ管理や構成管理などの管理ツールの導入を進めている。IT管理業務プロセスを短期間に確立するためには、こうした既存の管理ツールや業務システムを有効活用することが近道だ」と説明する。

既存システムとの連携には、2つの側面がある。まず、すでに導入されている管理ツールとの連携という側面。その際には、パッチ管理ツールや構成管理ツールといった、今まで複数の管理ツールで個別に行ってきた処理を、一連の業務プロセスとして統合管理するとともに、実行結果を記録していく必要がある。

もう1つの側面は、販売や購買、人事といった一般の業務システムとの連携である。既存の業務システムは、社員の入社や人事異動などに応じてアカウント管理やPC資産管理が必要になるといったように、IT管理業務と深く結びついたものが少なくない。また、ERP（Enterprise Resource Planning）システムやCRM（Customer Relationship Management）システムなどが生成する販売履歴や顧客管理履歴も管理の対象となるケースもある。そして、これらをIT管理業務プロセスに組み込む際には、既存の業務システムにできるだけ手を加えずに管理していくことが望ましい。

管理業務を支援するLANDesk Process Manager

こうしたさまざまな条件を満たしながら、IT管理業務プロセスを短期間に確立することを支援するソフトウェアが、LANDeskが提供している「LANDesk Process Manager」である。同製品の特徴は、図1に示すように、業務プロセスのデザインから、業務プロセスの実行、ITILなどのベスト・プラクティスに準拠したワークフロー作成、他システムとの統合、監査履歴とリポート作成などにおいて、統合管理を提供している点にある。

例えば、業務プロセスの定義や実行管理においては、「Process Designer」と呼ばれるワークフロー・ツール（図2）を使って、他のワークフローやシステムと連携したデザインや文書化が可能だ。SOA（Service-Oriented Architecture：サービス指向アーキテクチャ）に対応しているため、作成したワークフローは、他の多くのプロセスに再利用することができる。

また、既存システムとの連携については、プロセス統合モジュール（PIM）と呼ばれる統合ツールによって、サードパーティ製品との統合が可能なほか、代表的なデータベースやERP／CRMなどのアプリケーションと連携できるようになっている。

プロセスの記録や監査においても、プロセスの全ステップを記録して監査リポートを作成する機能や、コンプライアンス基準をプロセスに統合する機能、承認／申請／コメントなどの全プロセスの監査履歴をユーザーが閲覧できる機能などを備える。これら機能によって、内部統制の4つの目的を短期間／効率的に実現することを支援するのである。■