サービスマネジメント
サービスマネジメント
1. サービスマネジメント
- サービスマネジメントの目的,考え方を理解する。
- サービスマネジメントシステムの確立,実施,維持及び継続的改善の考え方を理解する。
(1) サービスマネジメントの目的と考え方
情報システムの運用や保守は,ハードウェアやソフトウェアなどの技術的な側面と顧客の要求を満たすためのサービスとしての側面から対応する必要がある。サービスマネジメントとは,高品質なサービスを顧客に提供するためのものである。ITIL では,この目的を実現するための指針を成功事例に基づいてまとめている。
段階 | 内容 |
---|---|
サービス戦略 | IT サービスの指針を定義する段階 |
サービス設計 | 適切な IT サービスを設計及び開発する段階 |
サービス移行 | サービスの実現を計画立案及び管理する段階 |
サービス運用 | サービスの提供とサポートに必要な活動をする段階 |
継続的サービス改善 | IT サービスの有効性と効率性を継続的に改善する段階 |
- サービス
- サービスコンポーネント
- サービス品質
- サービスマネジメント
- サービスライフサイクルの段階(計画立案,設計,移行,提供,改善)
- サービスライフサイクルは,サービスマネジメントの構造や,様々なライフサイクル要素の関連などについての組織モデルである。サービスライフサイクルには,5 段階ある。
(2) サービスマネジメントシステムの確立,実施,維持及び継続的改善
後述する ITIL は,サービスマネジメントを実現するためのガイドラインである。これを日本工業規格(JIS)が日本における IT サービスマネジメントの実践的な規格・ルールとして定めたものが JIS Q 20000(JIS Q 20000-1 : 第1部 : サービスマネジメントシステム要求事項,JIS Q 20000-2 : 第2部 : 実践のための規範)である。
JIS Q 2000-1 : 2012 0.2 サービスマネジメントシステム要求事項
この規格の要求事項は,サービスの要求事項を満たし,かつ,顧客及びサービス提供者の双方に価値を提供する,サービスの設計,移行,提供及び改善を含む。この規格は,サービス提供者がサービスマネジメントシステム(以下,SMS という。)を計画,確立,導入,運用,監視,レビュー,維持及び改善する場合の統合されたプロセスアプローチを要求する。
- サービスマネジメントシステム
- サービスの要求事項
- 顧客
- サービス提供者
- JIS Q 20000 の規格群(ISO/IEC 20000 シリーズ)
(3) ITIL(Information Technology Infrastructure Library)
サービスマネジメントの成功事例(ベストプラクティス[1])を英国政府機関の OGC(Office of Government Commerce)が体系化したもので,世界的な標準企画として扱われている。サービスマネジメントは,情報システムの運用や保守などを行う IT サービスの事業者が顧客の要求を満たすために自社のサービスを管理するための取組み(フレームワーク)のことである。
ITIL では,可用性管理における重要業績評価指標(KPI)の例として,保守性を表す指標値の短縮を挙げている。この指標に該当するものはどれか。
- 一定期間内での中断の数
- 平均故障間隔
- 平均サービス・インシデント間隔
- 平均サービス回復時間
正解は,1. である。
(4) SLA(Service Level Agreement)
IT サービスの提供に当たって IT サービスを提供する側と利用者との間でサービスの品質(サービスレベル)に関する合意(SLA : Service Level Agreement)を取り交わし,システムの稼働状況や対応状況を監視,記録を行い,サービス品質を維持する。
SLA には,システムの稼働時間や問合せの受付時間帯,障害発生時の回復時間,システムの性能などのサービスレベルの水準と,サービスレベルを下回った場合の罰則事項などを規定している。
次の条件で IT サービスを提供している。SLA を満たすことができる,1 か月のサービス時間帯中の停止時間は最大何時間か。ここで,1 か月の営業日数は 30 日とし,サービス時間帯中は,保守などのサービス計画停止は行わないものとする。
SLA の条件
- サービス時間帯は,営業日の午前 8 時から午後 10 時までとする。
- 可用性を 99.5 % 以上とする。
1 か月のサービス時間帯中の停止時間の最大値は次式で求められる。
SLA を策定する際の方針のうち,適切なものはどれか。
- 考えられる全ての項目に対し,サービスレベルを設定する。
- 顧客及びサービス提供者のニーズ,並びに費用を考慮して,サービスレベルを設定する。
- サービスレベルを設定する全ての項目に対し,ペナルティとしての補償を設定する。
- 将来にわたって変更が不要なサービスレベルを設定する。
正解は,2. である。
- SLA
- IT サービスの提供に当たって IT サービスを提供する側と利用者との間でサービスの品質(サービスレベル)に関する合意
- サービス可用性
- あらかじめ合意された時点又は期間にわたって,要求された機能を実行するサービス又はサービスコンポーネントの能力
- 信頼性
- サービス時間
- 応答時間
- サービス及びサービスマネジメントシステムのパフォーマンス
- 成功事例。規範となる業務の進め方を指す。
2. サービスマネジメントシステムの計画及び運用
- サービスマネジメントシステムの計画及び運用の要求事項を修得し,適用する。
(1) サービスマネジメントシステムの計画と支援
サービスマネジメントシステム要求事項は,SMS 及びサービスのあらゆる場面で, 計画(Plan)−実行(Do)−点検(Check)−処置(Act)(PDCA)として知られる方法論の適用を要求する。この規格で適用する PDCA 方法論を簡潔に説明すると,次のようになる。
- 計画(Plan)
- SMS を確立し,文書化し,合意する。SMS には,サービスの要求事項を満たすための方針,目的,計画及びプロセスが含まれる。
- 実行(Do)
- サービスの設計,移行,提供及び改善のために SMS を導入し,運用する。
- 点検(Check)
- 方針,目的,計画及びサービスの要求事項について,SMS 及びサービスを監視,測定及びレビューし,それらの結果を報告する。
- 処置(Act)
- サービスマネジメントシステム及びサービスのパフォーマンスを継続的に改善するための処置を実施する。
- JIS Q 9001
- マネジメントシステム
- 資源
- 力量
- 認識
- コミュニケーション
- 文書化した情報
- 知識
(2) サービスの計画
- サービスの要求事項
- 変更要求
- サービスポートフォリオ
- サービス・パイプライン
- サービスの状態(計画中,開発中,稼働中,廃止など)
JIS Q 20000-1 は,サービスマネジメントシステム(SMS)及びサービスのあらゆる場面で PDCA 方法論の適用を要求している。SMS の計画(Plan)に含まれる活動はどれか。
- あらかじめ定めた間隔でのマネジメントレビューの実施とその記録の維持
- 権限,責任及びプロセスにおける役割についての枠組みの作成
- 資金及び予算の割当て及び管理の活動を通じた,SMS の導入及び運用
- 承認された改善についての計画の作成,改善の実施とその報告
正解は,2. である。
(3) サービスカタログ管理
サービスカタログとは,サービスプロバイダ(情報システム部門/外部サービス事業者)がエンドユーザー(従業員/顧客)に向けて提供中の IT サービスをまとめたリストのこと。現状において稼動中で利用可能な IT サービスを一覧できるようにした文書やデータベースなどをいう。
サービスカタログは、IT サービスを受けるエンドユーザーに「いま利用できる IT サービスには何があるか」「すでに利用している IT サービスはどれか」などの情報を明確に提示するものである。従って、IT サービスを利用するうえでは不要な技術的説明などは省き、IT に詳しくない利用者にも理解できるような言葉遣いで表現すべきである。
(4) 資産管理
- 資産管理(IT アセットマネジメント(ITAM : IT asset management))
- ハードウェアやソフトウェアなどの IT 資産を、調達から廃棄までのライフサイクル全体を通じて追跡し、管理する組織横断的なプロセスのこと。組織で保有する IT 資産を適切に管理し可視化することで、コンプライアンスリスクおよびサイバーセキュリティリスクの低減や、コスト削減などの効果が期待できる。
- ソフトウェアアセットマネジメント(SAM)
- ISO/IEC 19770-1(ソフトウェア資産管理 プロセス)によれば、SAM の目的は、「IT サービスマネジメント全体の有効な支援」とするものであり、「ビジネスリスク管理の促進」、IT サービス及び IT 資産に関する「コスト管理の促進」、IT を有効に活用することによる「競争上の優位性を得ること」としている。ここから、SAM とは、ITの基盤要素であり、IT 全般に対して重要なマネジメントシステムの一つとして考えられていることがわかる。
- ライセンスマネジメント
- 著作権法、及び使用許諾条件の遵守を目的とするもの(ライセンス管理)
(5) 構成管理
- 構成管理
- 構成品目(CI)
- 本番環境にリリースした確定版のすべてのソフトウェアのソースコードや手順書,マニュアルなど
- 構成情報
- 版(バージョン)
(6) 事務関係管理
サービス提供者と顧客との間の良好な関係を確立するための活動を行う。苦情の処理やサービス満足度の測定・分析・レビューを行う。
- 事業関係管理
- 顧客関係
- 顧客満足
- サービス満足度
- 苦情
(7) サービスレベル管理
サービスレベル管理(SLM)の最終目標は,現在のすべての IT サービスに対して合意されたレベルを達成すること,そして将来のサービスが,合意された達成可能なサービスレベル目標を満たすように提供されることである。
- サービスレベル管理
- サービスレベル目標
- パフォーマンス
(8) 供給者管理
サービス提供者が委託などにおいて,さらにサービスマネジメントプロセスの導入や移行のために供給者(サプライヤ)を用いる場合には,その供給者の管理が必要である。運用を委託する場合には,運用レベルを保証するために OLA(Operation Level Agreement : 運用レベル合意書)を作成し,契約を行う。
- 供給者管理
- 外部供給者
- 内部供給者
- 供給者として行動する顧客
- 契約
- アウトソーシングの利用
- SaaS,PaaS,IaaS などのクラウドサービスの利用
(9) サービスの予算業務及び会計業務
サービスの提供にかかる費用を計画・管理する予算業務を行う。IT サービスのコストを明確にし,事業を行う者がその内容を確実に理解するようにする。
- サービスの予算業務及び会計業務
- 財務管理
- 予算業務
- 会計業務
- 総所有費用(TCO : Total Cost of Ownership)
- サービスを実施するコストだけでなく,ランニングコストなどの必要な経費を含めた総所有コスト
(10) 需要管理
- 需要
- 需要管理
- 需要予測
(11) 容量・能力管理
システムが備えるべき能力(キャパシティ)を管理する。キャパシティは,現在および将来の需要を考慮して計画・設計を行う。また,サービスのパフォーマンス(CPU使用率,メモリ使用率,ディスク使用率,ネットワーク使用率ほか)のしきい値を設定・監視し,キャパシティ拡張の判断を行う。
- 容量・能力(キャパシティ)
- 容量・能力計画
- 容量・能力管理
- 監視
- しきい(閾)値
- 管理指標(CPU 使用率,メモリ使用率,ディスク使用率,ネットワーク使用率ほか)
(12) 変更管理
① 変更管理の開始
- 変更管理
- 変更要求(RFC)
② 変更管理の活動
- 優先度
- 変更のカテゴリ(標準変更,通常変更,緊急変更など)
- ロールバック(切り戻し)
- 変更諮問委員会(CAB)
- 変更実施後のレビュー(PIR)
(13) サービスの設計及び移行
サービスまたは顧客に重大な影響を及ぼす可能性のある「新規サービス」や「サービス変更」が起きた場合に,サービス提供者が実施すべき適切な手順や活動,考慮すべき内容等を定めている。
新規または変更したサービスを本格的な稼働状態へ移行する場合は,以下に示すような手順を踏まえる必要がある。
- 試験環境を用意し,事前に試験(受入れテストや運用テスト)を実施する。また,稼働環境へ移行する際の切替え手順や問題点を確認するために移行テストを実施する。
- 1. で問題がなければ稼働環境へ移行(一斉移行方式,段階的移行方式,並行移行方式など)させる。
開発から運用への移行を円滑かつ効率的に進めるには,システムの開発部と顧客(または運用部)が連携し,顧客もシステムの運用に関わる要件の抽出に積極的に参加することが重要になる。
- 一斉移行方式
- ある時点で旧システムを停止し,一斉に新システムへ切り替える方式。移行のコストは低く抑えられるが,失敗のリスクが高い特徴がある。
- 段階的移行方式
- 機能拠点などの単位で段階的に旧システムから新システムへ切り替える方式。
- 並行移行方式
- 新旧システムを並行して運用しながら移行させる方式。
システムの移行計画に関する記述のうち,適切なものはどれか。
- 移行計画書には,移行作業が失敗した場合に旧システムに戻す際の判断基準が必要である。
- 移行するデータ量が多いほど,切替え直前に一括してデータの移行作業を実施すべきである。
- 新旧両システムで環境の一部を共有することによって,移行の確認が容易になる。
- 新旧両システムを並行運用することによって,移行に必要な費用が低減できる。
正解は,1. である。
システムの移行テストを実施する主要な目的を述べよ。
確実性や効率性の観点で,既存システムから新システムへの切替え手順や切替えに伴う問題点を確認する。
① 新規サービス又はサービス変更の計画
- サービスの設計及び移行
- 新規サービス又はサービス変更の計画
② 設計
- サービス受入れ基準
- 設計・開発
- サービス設計書
- 非機能要件
③ 構築及び移行
- 構築
- 移行
- 運用サービス基準
- 業務及びシステムの移行
- 移行計画
- 移行リハーサル
- 移行判断
- 移行の通知
- 移行評価
- 運用テスト
- 受入れテスト
- 運用引継ぎ
(14) リリース及び展開管理
変更管理プロセスで承認された変更内容を,IT サービスの本番環境に正しく反映させる作業(リリース作業)を行うのが,リリース及び展開管理である。
リリース管理では,本番環境にリリースした確定版のすべてのソフトウェアのソースコードや手順書,マニュアルなどの CI(構成品目)を 1 か所にまとめて管理する。まとめておく書庫のことを DML(Definitive Media Library : 確定版メディアライブラリ)という。
- リリース及び展開管理
- リリース
- 緊急リリースを含むリリースの種類
- 展開
- リリースの受入れ基準
- 受入れ試験環境
- 稼働環境
(15) インシデント管理
インデント[1]管理は,"計画外の障害"や "顧客からのサービス障害報告" からのサービスの迅速な復旧を行う管理を行う。
① インシデントの対応
- インシデント管理
- インシデントが起こったときに,できる限り迅速に通常の状態に再開させるためのプロセス
- インシデント
- 運用上で起きたシステム上の障害となる脅威の事象のこと。
- 影響
- 記録
- 問題の記録には,問題の記録の発端となったインシデントの相互参照情報を含める。
- 優先順位
- 解決目標時間
- エスカレーション(機能的エスカレーション,階層的エスカレーション)
- 回避策
IT サービスマネジメントの活動のうち,インシデント及びサービス要求管理として行うものはどれか。
- サービスデスクに対する顧客満足度が合意したサービス目標を満たしているかどうかを評価し,改善の機会を特定するためにレビューする。
- ディスクの空き容量がしきい値に近づいたので,対策を検討する。
- プログラムを変更した場合の影響度を調査する。
- 利用者からの障害報告を受けて,既知の誤りに該当するかどうかを照合する。
正解は,4. である。
IT サービスマネジメントのインシデント及びサービス要求管理プロセスにおいて,インシデントに対して最初に実施する活動はどれか。
- 記録
- 段階的取扱い
- 分類
- 優先度の割当て
正解は,1. である。
② 重大なインシデントの対応
- 重大なインシデント
ミッションクリティカルシステムの意味を述べよ。
障害が起きると,企業活動や社会に重大な影響を及ぼすシステム。
(16) サービス要求管理
サービス要求管理は,顧客からのサービス要求(情報,助言,サービスへのアクセス,または事前に承認されている変更に対する要求)に応じるための管理を行う。
- サービス要求管理
- サービス要求
- 記録
- 緊急度
- 優先順位
- 実現
(17) 問題管理
JIS Q 20000-1 では,「問題」を "一つ以上のインシデントの根本原因" と定義している。問題管理では,問題となるあらゆる情報を記録して原因を究明し,今後の再発防止に役立てるための管理を行う。
(参考)ITIL における問題とインシデントの定義
ITIL では,問題を「表面化されていない,未知の解決すべき対象」,エラーを「原因や対策がわかっている対象(既知の誤り)」と定義している。
IT サービスマネジメントにおける問題管理で実施する活動のうち,事前予防的な活動はどれか。
- インシデントの発生傾向を分析して,将来のインシデントを予防する方策を提案する。
- 検出して記録した問題を分類して,対応の優先度を設定する。
- 重大な問題に対する解決策の有効性を評価する。
- 問題解決後の一定期間,インシデントの再発の有無を監視する。
正解は,1. である。
- 問題管理
- 問題
- 根本原因
- 予防処置
- 既知の誤り
- 根本原因が特定されている又は回避策が存在している問題
(18) サービス可用性管理
- サービス可用性管理
- サービス可用性
- 信頼性
- 回復力
- 保守性
- MTBF
- MTTR
ITIL では,可用性管理における重要業績評価指標(KPI)の例として,保守性を表す指標値の短縮を挙げている。この指標に該当するものはどれか。
- 一定期間内での中断の数
- 平均故障間隔
- 平均サービス回復時間
- 平均サービス・インシデント間隔
正解は,3. である。
(19) サービス継続管理
障害時には,待機系への切替え,データの回復などを行うが,その手法はあらかじめ設定しておく必要がある。BCP を策定し,RTO,RPO を決めておく。
- 事業継続計画(BCP)
- Business Continuity Plan
- サービス継続計画
- 復旧
- RTO(目標復旧時間)
- Recovery Time Objective
- RPO(目標復旧時点)
- 障害時にどの時点までのデータを復旧できるようにするかという目標。Recovery Point Objective。
- コールドスタンバイ
- ホットスタンバイ
- ウォームスタンバイ
事業継続計画で用いられる用語であり,インシデントの発生後,次のいずれかの事項までに要する時間をあらわすものはどれか。
- 製品又はサービスが再開される。
- 事業活動が再開される。
- 資源が復旧される。
- MTBF
- MTTR
- RPO
- RTO
正解は,4. である。
(20) 情報セキュリティ管理
3. パフォーマンス評価及び改善
- パフォーマンス評価及び改善を修得し,適用する。
(1) パフォーマンス評価
① 監視,測定,分析及び評価
② サービスの報告
- サービスの報告
- パフォーマンス
- 有効性
- 傾向情報
(2) 改善
① 不適合及び是正措置
- 不適合
- 是正処置
② 継続的改善
- 継続的改善
- ギャップ分析
- CSF(Critical Success Factors : 重要成功要因)
- 企業が戦略を遂行するうえで決定的な影響を与える要素を指す。業界によって CSF は異なることが多く,戦略を立案するためには,業界の CSF と自社の能力とのギャップを把握することが重要である。
- KPI(Key Performance Indicator : 重要業績評価指標)
サービスマネジメントシステムに PDCA 方法論を適用するとき,Act に該当するものはどれか。
- サービスの設計,移行,提供及び改善のためにサービスマネジメントシステムを導入し,運用する。
- サービスマネジメントシステム及びサービスのパフォーマンスを継続的に改善するための処置を実施する。
- サービスマネジメントシステムを確立し,文書化し,合意する。
- 方針,目的,計画及びサービスの要求事項について,サービスマネジメントシステム及びサービスを監視,測定及びレビューし,それらの結果を報告する。
正解は,2. である。
4. サービスの運用
- 運用計画や資源管理といったシステム運用管理の役割,機能を修得し,適用する。
- システムの操作やスケジューリングといった運用オペレーションの役割,機能を修得し,適用する。
- サービスデスクの役割,機能を修得し,適用する。
(1) システム運用管理
サービス提供者の役割は,サービス提供のための計画・設計,導入・移行の他に,運用上の管理者(システム運用管理者)としての役割もある。
システム運用管理の業務は,以下のようなものがある。
- 資源管理
- 運用オペレーション
- サービスデスク
資源管理
システムを構成する各種資源の維持・管理を行う活動である。次に示す資源が管理の対象になる。
- ハードウェア管理
- ソフトウェア管理
- データ管理
- ネットワーク資源管理
- システム運用管理
- 運用の資源管理(要員などの人的資源及びハードウェア,ソフトウェア,データ,ネットワークなどインフラストラクチャの技術的資源)
- 仮想環境の運用管理
- ジョブの管理
- データ管理
- 利用者の管理
システムの運用に関する記述のうち,適切なものはどれか。
- 故障した構成品目を切り離し,システムのより重要な機能を存続させることを,縮退運転という。
- 障害時のファイルの回復を目的として,定期的にファイルを別の記憶媒体に保存することを,リストアという。
- チェックポイントで記録しておいたデータを使用して,プログラムの実行を再開することを,リブートという。
- データベースを変更が行われた以前の状態に復元することを目的としたトランザクション処理の記録を,データログという。
正解は,1. である。
(2) 運用オペレーション
日々の運用をルール化,手順化して実施することである。ルール化,手順化する内容としては,次表のようなものがある。
オペレーション | 内容 |
---|---|
ジョブスケジューリング | 日常的に行う作業(ジョブ)をスケジュール化する。自動実行できるようにすることで,管理者の負担軽減や人為的な作業ミスをなくすことができる。 |
バックアップ | システムの故障に備えて定期的なバックアップを行う。 |
システム監視 | システムの稼働状況やセキュリティの監視を行う。「監視ツール」や「診断ツール」などの運用支援ツールが使われる。 |
- 運用オペレーション
- スケジュール設計
- 通常時の運用では,日次処理,週次処理,月次処理など,段階別に運用内容を決定しておく必要がある。運用ジョブに対しても,プロジェクトマネジメントの場合と同様に,先行ジョブとの関連を考え,ジョブネットワーク(ジョブのつながり方)を考慮してスケジュール設計を行う。
- ジョブスケジューリング
- バックアップ
- システムの監視と操作
- アウトプットの管理
- ジョブの復旧と再実行
- 運用支援ツール(監視ツール,診断ツール)
- 監視ツールとは,サーバやネットワークの「状況の可視化」と「異常の通知」をするツール。例えば,システムからのアラートを検知し,信号表示灯の点灯や報知器の鳴動と連動させる。診断ツールとは,監視ツールで得た情報からパフォーマンスや品質,安全性を検証し,リスクの早期発見を行うツール。
- 業務運用マニュアル
データのバックアップ方法に関する記述のうち,最も適切なものはどれか。
- 業務処理がバックアップ処理と重なるとレスポンスが遅くなる可能性がある場合には,両方の処理が重ならないようにスケジュールを立てる。
- バックアップ作業時間を短くするためには,別のファイル名にしたバックアップデータを同一記憶媒体内に置く。
- バックアップデータからの復旧時間を短くするためには,差分バックアップを採用する。
- バックアップデータを長期保存するためには,ランダムアクセスが可能な媒体にする。
正解は,1. である。
(3) サービスデスク
サービスデスクとは顧客からの問合せの窓口のことで,「ヘルプデスク」とも呼ばれている。サービスデスクの形態には,次表のような種類がある。
形態 | 内容 |
---|---|
ローカルサービスデスク | サービスデスクを利用者の近くに配置することによって,言語や文化の異なる利用者への対応,専用要員による VIP 対応などができる。 |
中央サービスデスク | サービスデスクを 1 拠点または少数の場所に集中することによって,サービス要員を効率的に配置したり,大量のコールに対応したりすることができる。 |
バーチャルサービスデスク | サービス要員は複数の地域や部門に分散していても,通信技術を利用して単一のサービスデスクであるかのようにサービスを提供することができる。 |
フォロー・ザ・サン | 分散拠点のサービス要員を含めた全員を中央で統括して管理することで,統制の取れたサービスを提供できる。 |
- サービスデスク
- 様々なサービスやイベントに係るスタッフを擁する機能
- SPOC(Single Point Of Contact)
- 利用者にとっては,問題が起こったときに連絡する単一窓口
- コールセンター
- CTI(Coputer Telephony Integration)
- FAQ
- 応対マニュアル
- 知識ベース
- 一次サポート
- AI の活用(チャットボットなど)
5. ファシリティマネジメント
- ファシリティマネジメントの目的,考え方,施設や設備の管理,維持保全における留意事項を修得し,適用する。
(1) ファシリティマネジメント
「ファシリティ」とは,"設備" や "施設" を意味する。情報システムを構成するサーバやネットワークは,決められた施設内に設置して運用が行われている。ファシリティマネジメントは,設備や施設をはじめとして,情報システムの維持保全を行う一連の活動のことである。
① ファシリティマネジメントの目的と考え方
IT サービスを提供するためには,その前提として,その IT サービスを運用するための施設・設備が,健全な状態で維持管理されていることが必要になる。
- ファシリティマネジメント
- サーバやネットワークなどの機器類を設置する施設を適切に設計・構築し,正しく運用することを目的としたマネジメント活動である。
② 施設管理・設備管理
システムを保有する施設や設備への障害となる内容とその対策の例として,次表のようなことが挙げられる。
障害 | 内容 |
---|---|
火災 | 電子機器は水に弱いため,水を使用しないハロゲン化物や二酸化炭素を用いた消火設備を備えて対応する。 |
地震 | 免震構造を持つ耐震構造により,震動から機器を守る |
落雷 停電 瞬断 |
|
人的脅威 |
|
- 施設・設備の維持保全
③ 施設・設備の維持保全
環境側面では,地球環境に配慮した IT 製品や IT 基盤,環境保護や資源の有効活用につながる IT 利用を推進することが大切である。この思想のことをグリーン IT という。
- 環境側面
- グリーン IT
④ 環境側面
システム監査
1. システム監査
- 監査の目的,種類を理解する。
- システム監査の目的,手順,対象業務についての考え方を理解する。
- 監査計画,監査の実施,監査報告とフォローアップ,監査の体制整備の考え方を理解する。
- システム監査基準など代表的な基準,法規のあらましを理解する。
(1) 監査業務
システム監査は,情報システムを,「安全性」「効率性」「信頼性」「機密性」「可用性」などの視点から総合的に評価して,助言や改善の勧告および改善結果の再評価(フォローアップ)までを行う一連の行動である。情報システムの健全性を高め,また組織の IT ガバナンスの実現を目的に実施するものである。
- 会計監査
- 会計や決算に関する内容を監査する。
- 業務監査
- 企業の経営活動や業務活動の管理方法を監査する。
- 情報セキュリティ監査
- 情報セキュリティに対する基準や対策方法を監査する。
情報セキュリティ監査において,可用性を確認するチェック項目はどれか。
- 外部記憶媒体の無断持出しが禁止されていること。
- 中断時間を定めた SLA の水準が保たれるように管理されていること。
- データ入力時のエラーチェックが適切に行われていること。
- データベースが暗号化されていること。
正解は,2. である。
(2) システム監査の目的と手順
経済産業省が策定した『システム監査基準』に記載されている,システム監査の意義と目的を以下に示す。
システム監査の意義と目的
システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。
また、システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。
『システム監査基準』,経済産業省,平成30年4月20日
“システム監査基準” における,組織体がシステム監査を実施する目的を述べよ。
情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し,改善につなげることによって,IT ガバナンスの実現に寄与する。
(3) システム監査の対象業務
システム監査人が監査報告書に記載する事項のうち,監査人の業務範囲を逸脱するものはどれか。
- 改善の勧告
- 改善の緊急性の判断
- 改善の指摘
- 改善の命令
正解は,4. である。
(4) システム監査計画の策定
監査計画策定の全般的留意事項
システム監査人は、実施するシステム監査の目的を効果的かつ効率的に達成するために、監査手続の種類、実施時期、及び適用範囲等について、適切な監査計画を立案しなければならない。監査計画は、状況に応じて適時に変更できるように弾力的なものでなければならない。
リスクの評価に基づく監査計画の策定
システム監査人は、システム監査を行う場合、情報システムリスク、及びシステム監査業務の実施に係るリスクを考慮するリスクアプローチに基づいて、監査計画を策定し、監査を実施しなければならない。
(5) システム監査の実施(予備調査,本調査,評価,結論)
システムテストの監査におけるチェックポイントのうち,最も適切なものはどれか。
- テストケースが網羅的に想定されていること
- テスト計画は利用者側の責任者だけで承認されていること
- テストは実際に業務が行われている環境で実施されていること
- テストは利用者側の担当者だけで行われていること
正解は,1. である。
監査調書を説明せよ。
監査人が行った監査手続の実施記録であり,監査意見の根拠となる。
(6) システム監査の報告とフォローアップ
監査報告書の作成と提出
システム監査人は、監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。
改善提案のフォローアップ
システム監査人は、監査報告書に改善提案を記載した場合、適切な措置が、適時に講じられているかどうかを確認するために、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければならない。
(7) システム監査の体制整備
(8) その他のシステム関連の監査
(9) システム監査基準・システム管理基準
システム監査を有効的・効率的に実施し,また一定の品質を維持するための基準となるのが,経済産業省が策定したシステム監査基準である。システム監査基準には,情報システムの評価を行うシステム監査人に関する基準,監査の計画と実施に関する基準,監査の報告に関する基準が示されている。
システム監査基準における,組織体がシステム監査を実施する目的は,情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し,改善につなげることによって,IT ガバナンスの実現に寄与することである。
システム監査人としての独立性と客観性の保持
システム監査人は、監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観に十分に配慮しなければならない。また、システム監査人は、監査の実施に当たり、客観的な視点から公正な判断を行わなければならない。
経営者が社内のシステム監査人の外観上の独立性を担保するために講じる措置として,システム監査人の所属部署を内部監査部門とする。
慎重な姿勢と倫理の保持
システム監査人は、システム監査業務の計画、実施、及び結果の報告において、システム監査の専門家としての慎重な姿勢で臨むとともに、倫理観を保持し、誠実に業務を実施しなければならない。
“システム管理基準” に基づいて,システムの信頼性,安全性,効率性を監査する際に,システムが不正な使用から保護されているかどうかという安全性の検証項目として,最も適切なものはどれか。
- アクセス管理機能の検証
- フェールソフト機能の検証
- フォールトトレラント機能の検証
- リカバリ機能の検証
正解は,1. である。
2. 内部統制
- 企業などにおける内部統制とIT ガバナンスの目的,考え方を理解する。
(1) 内部統制
- 内部統制報告制度
- IT への対応
- IT への全般統制
- IT 業務処理統制
- IT が内部統制に果たす役割
- 業務プロセスの明確化
- 職務分掌
- 実施ルールの整定
- チェック体制の確立
- 職務の分離
- コンプライアンス
- COSO(Committee of Sponsoring Organizations of the Threadway Commission)フレームワーク
我が国の証券取引所に上場している企業において,内部統制の整備及び運用に最終的な責任を負っている者は誰か。
「経営者」である。
(2) IT ガバナンス
- JIS Q 38500
- CIO(Chief Information Officer : 最高情報責任者)
- CIO とは、組織内の情報戦略のトップとして情報の取り扱いや情報システム、情報技術(IT)について統括する役員や責任者のこと。
- CISO(Chief Information Security Officer : 最高情報セキュリティ責任者)
- 相次ぐ秘密情報の漏洩やサイバー攻撃などを受け、CIO とは別に情報セキュリティ戦略を管掌する独立の役員のこと。
- IT 統制(IT control)
- IT 統制とは、企業などの業務を適正に保つ内部統制の仕組みのうち、情報システムに関連するもの。一般的には IT 全社的統制、IT 全般統制、IT 業務処理統制の三段階で構成されると理解されている。
- コーポレートガバナンス(corporate governance)
- 企業経営を管理監督する仕組みのこと。株式会社の場合、会社の所有者である株主の利益を最大限に実現できているかどうかを管理監督するシステムのことである。
(3) 法令遵守状況の評価・改善
- 会社法
- 会社の設立、組織、運営及び管理については、他の法律に特別の定めがある場合を除くほか、この法律の定めるところによる。
- 金融商品取引法
- この法律は、企業内容等の開示の制度を整備するとともに、金融商品取引業を行う者に関し必要な事項を定め、金融商品取引所の適切な運営を確保すること等により、有価証券の発行及び金融商品等の取引等を公正にし、有価証券の流通を円滑にするほか、資本市場の機能の十全な発揮による金融商品等の公正な価格形成等を図り、もつて国民経済の健全な発展及び投資者の保護に資することを目的とする。
- CSA(Control Self Assessment : 統制自己評価)
- 組織に存在するリスクと統制を、実際に業務を実施している担当者自身が評価・モニタリングすることにより、自律的なリスクマネジメント体制の構築・維持を可能とする手法である。
本稿の参考文献
- 会社法
- 金融商品取引法
- 経済産業省,『システム監査基準』,平成30年4月20日
- 一般財団法人日本情報経済社会推進協会,『SAM ユーザーズガイド-導入のための基礎―』,平成24年2月(改訂版)