• Bookmark

COBIT主要文書: 早解りガイド

著者、マーク トーマス CGEIT

ISACAがCOBIT 4.1 を新たなフレームワークに入替えると発表した事に対して一部の専門家は懐疑的でした。COBIT 4.1 は簡潔であり、コンテンツは充分に浸透しておりCOBIT®がカバーしていない情報についてはVal IT あるいは Risk ITなどその他のドキュメントが詳細を提供していました。しかし、結局はフレームワークに向けた更なる組織的アプローチがとられその結果がCOBIT 5となりました。他の幾つかのISACAドキュメント(例、 Val IT あるいは Risk IT)が一つのフレームワークに組み込まれただけでなく、主要なフレームワークや業界標準との統合も追加的に行われました。


とはいえ、 COBIT 5 ファミリーには選択可能なドキュメントが豊富に含まれることから時には特定の情報が探しにくいこともあります。多くのCOBIT 新規利用者からの共通の質問は、「どのドキュメントを見るのがいいのか?(ブランクを埋めよ)です」。COBIT 5の本質はISACA の種々のフレームワークに拡散していた全ての知識を統合したことです。これは何を意味するのでしょうか?COBIT 5 ファミリーは、今はスタート点にあり追加される情報の方向性を示している段階にあります。そのファミリーはドキュメント群を論理的且つ手際よくグループ化し、イネーブラーに加え必要とされる殆どの詳細を含む専門的なガイドにサポートされた上でCOBIT 5(フレームワーク)をスタートライン文書としています。加えて、最近提供開始されたCOBIT オンラインにより、検索は大変簡単になりました。


そこで、このファミリーには何が含まれているか混乱されている方に向けてファミリー内の文書とそれがなぜ有用かを以下に案内しましょう。
 

図1-COBIT5 プロダクトファミリー

出典: ISACA, COBIT 5, USA, 2012


COBIT 5

これは事業体のITガバナンス(GEIT)を「End-to-Endのビジネス視点」に向けるために核となるドキュメントでありまた「事業体のITガバナンスとマネージメントのためのビジネスフレームワーク」として知られています。驚くことに、94ページの決して膨大なドキュメントではありませんがフレームワークの全体的な構成について、特に5つの原則と7つのイネーブラーについて説明しています。5つの原則(ページ17-34、 つまり 17 ページにわたる主なフレームワークのガイダンス)が COBIT 5 そのものの価値だと言えます。付録部分にある達成目標のカスケードの記述がベストパートであり、個人的見解ですがこれは産業界にとっての「最高の守られるべき秘宝」のひとつだと言えます。また、ファウンデーションコースの受験学習には、付録Gにある7つのイネーブラーに関する幾つかの価値あるアウトライン解説が有効です。


COBIT 5: Enabling Processes

COBIT 5: Enabling Processes はCOBIT 5プロセス参照モデルで定義されているプロセスを詳述した参照ガイドです。各々のプロセスに対して目的、達成目標、メトリックス(尺度)、実践方法、活動、RACIチャートそしてインプット/アウトプットが記載され、さらに業界のベストプラクティスもよく参照されています。一見すると、いたずらに図表とリストだけが多いように見えますがそれだけではなくプロセスのガバナンスへの権威あるガイドとして強い印象を与えるはずです。


COBIT 5: Enabling Information

ITのガバナンスや管理に関する構造的な思考方法をお望みですか? それならば COBIT 5: Enabling Information 以上のものは見当たりません、その理由は後述の通りです。この文書には情報に関わる全ての局面をカバーし、コンセプトから保証の設計、廃棄までの情報システムのライフサクイル全体に適用しうる包括的なモデルが含まれています。中でもベストな部分は適用できるイネーブラー (COBIT 5 frameworkで見られるものと同じもの)の視点から多種の問題に対応している点だと言えます。


COBIT 5 Implementation

この文書ではライフサイクルの継続的改善をベースとしたガバナンスの実践へのグッドプラクティスアプローチが提供されます。信ずるには話しが上手すぎるとお感じなら、是非機会をみてこの「宝物」をそこ(ライフサイクルの継続的改善) に投入してみて下さい。このアプローチの有用性は継続性を持ち且つ3つの集中したエリア(プログラム管理、変更のイネーブルメントそして、継続的改善タスク)に細分化される7つの主要なステップをテコ入れしていることにあります。これは論理的で適用性に富んでおり、COBIT 5 Implementation はガバナンスプログラムを適用しようとしている誰もが読むべき文書として推奨されます。


COBIT 5 for Information Security

現在、情報セキュリティが大変ホットな話題になっていることは一般的な認識であり、この文書を理解するために時間を割くことを強くお奨めします。COBIT 5 for Information Security はグローバルに認知されている多くの標準と今日的な実践方法にCOBITを組込んだ最も完成度が高い最新版のガイダンスであり、セキュリテイの専門家だけでなくITやビジネスユーザにとっても有用なガイダンスだと言えます。自身をセキュリティ専門家だと考えていない方でも理解しやすく、有用な COBIT の7つイネーブラーの夫々についての念入りなセキュリティ情報が付録群の中で詳述されています。


COBIT 5 for Assurance

この文書は監査人向けのものです。 COBIT 5 for Assurance は保証へのアプローチの改善の手助けになるだけでなく、監査機能の明確な描写、IT保証情報の計画作り、スコープ造り、更にIT保証イニシァティブの実践に配慮しつつこのアプローチをサポートします。 ですが、名称が全てを語っているとは言えません。そこには、ITプロフェッショナルにとって金鉱ともいえる豊富な情報があり、今や驚くべきことではありませんがこれもまたCOBITファミリー製品全体を構成しているイネーブラーという概念により構成されています。


COBIT 5 for Risk

このタイトルだけで誤解しないで下さい。これはITリスクだけではなく、ビジネス関連リスクに関してのドキュメントでもあります。具体的に言うと、企業体が持つITの活用、オーナーシップ、オペレーション、そして関与に伴うビジネスリスクです。最近、私自らがあるクライアントトとともに企業体のリスクレジスター生成作業の中でこのドキュメントを使いましたが COBIT 5 for Risk には既に多くの基盤が揃っていることを経験しました。このドキュメントでで知られていないと思われるのは、調整次第で多くの組織にフィットする111種にわたるジェネリックリスクシナリオの概説です。実務世界のシナリオはこの方法を使用しており他でもこれを使用すべきだと言えます。


COBIT 5 Online

全てのCOBIT 5製品の中から特定のエリアのものを簡単に検索する方法をお探しなら COBIT Online の検索を試して下さい。カスタマイズされた達成目標のカスケードとそれに連携したRACIチャートを柔軟に作ることが出来るツールが必要ならば、COBIT オンラインを試して下さい。COBITを利用中または、利用予定があるのならCOBITオンラインを試して下さい。さらに、これはCOBITドキュメントを入手するためのニュースや各種の洞察、ソーシャルコラボレーションやその他多くの貴重なものを提供しています。機能性について言及したものの多くはISACA会員のみが利用可能となっていることを理解しておいて下さい。


COBIT 5 Frameworkの更なる活用

この記事はCOBIT 5 の主要文書にフォーカスしています。そしてISACA は、COBIT 5 FRAMEWORKを事業体が経験している主要なGEIT(Governance of Enterprise IT)の課題に取組む実践ガイダンスの基盤として 位置づけています。そこに含まれるものは、: COBIT 5 Principles: Where Did They Come From?, Controls and Assurance in the Cloud: Using COBIT 5, Relating the COSO Internal Control—Integrated Framework and COBIT, Vendor Management: Using COBIT 5, Securing Mobile Devices, Transforming Cybersecurity, Configuration Management Using COBIT 5 and IT Control Objectives for Sarbanes-Oxley: Using COBIT 5 in the Design and Implementation of Internal Controls Over Financial Reporting, 3rd Edition. です これらのガイドの利用から価値を得ようとしていながら COBIT 5 ユーザとなる必要は無いと考える事業体は、その価値を考えていないに等しいといえます。実際に、皆さんが取組んでいる課題がCOBIT 5 を実際に使用し始める絶好の道筋となっていたり、事業体がコントロールすべき課題への対応の手助けとなっていることはしばしば見受けられることです。


マーク トーマス、CGEIT

世界に広く認知されているITガバナンスの専門家でありEscouteコンサルティング社の社長。トーマス氏はCIO、ITマネジメント、そしてコンサルタントなどのリーダーとして20年以上の経験を持ち、外部委託されたITアレンジメント、事業体向けアプリケーションの導入、そして複数事業体へのガバナンスとリスクプロセスの導入などの大規模なチームをリードした経験を持っています。さらに、トーマス氏はコンサルティングトレーナー及びCOBIT, ITIL あるいは IT ガバナンスなどの幾つかの領域の講師として高い信頼に基づく能力を備えています。