COBIT(コビット)とは、企業や団体に対して、ビジネスプロセスやベストプラクティスを提供し、組織のITガバナンスとITマネジメントの円滑な運用を可能にするための実践規範(フレームワーク/ガイドライン)です。
企業のマネジメント層、ITユーザー、監査人などにとってのIT統制の判断基準を提示し、IT活用による利益の最大化を可能とするためのツールと言えます。
COBITとITガバナンス- 生立と経緯とは
IT統制に焦点を当てたフレームワークであるCOBITは、米国EDP監査人財団EDPAFが編集したコントロール目標がもともとの起源です。
COBITの最初のバージョンは 1996年に監査を視点として公表されました。COBIT第2版は1998年でコントロール統制、管理指針が追加されました。COBIT第3版は2000年ITマネジメント視点として公表(オンライン版は2003年に公表、あわせて「COBIT for SOX」も公開)され、第4版は2005年12月ITガバナンス(投資、リスク)視点となります。2007年には、COBIT for SOX 2も公開されました。
最新版はCOBIT(コビット)5で、ITガバナンスとITマネジメントの視点で、2012年に発行されました。
COBITのバージョン更新の経緯では、ITIL,ISO17799,PMBOK,PRINCE2等との調整、IT投資の視点、プロセスの記述充実、成長モデルのサポートなど拡張、追記、調整を図って進化してきています。
COBITの発行組織は、情報システムコントロール協会 (ISACA)とITガバナンス協会 (ITGI)です。
COBITフレームワーク・ガイドラインの基本理念とは
COBITは、経営層(意思決定者)にたいして、ITガバナンスとITマネジメントに関する判断の基盤情報をフレームワーク・ガイドラインとして提供します。すなわち、このガイドラインは、IT計画立案、ITアーキテクチャの定義、リスク評価、必要なハードウェアやソフトウェアの決定などIT統制を効率的に行えるようにし、ITサービスの連続性や品質、システムの性能監視を可能とします。
また、COBITフレームワークは、ユーザーにたいしても、コントロールやITセキュリティ・プロセスの品質管理が定義されることでIT運用のリスク低減と保証を提供します。
監査人にとってのCOBITフレームワークは、企業のIT基盤の統制のポイントの識別や、監査検出事項の確認に役立ちます。
ITガバナンスとITマネジメントの実践規範となるCOBITの内容体系とは
COBIT(コビット)4では、エグゼクティブサマリー+フレームワーク+コントロール目標+マネジメントガイドライン からなり、4つのプロセス領域(Domain)と34のITプロセス目標、6段階の成熟度モデルが定義されました。これにより、ITガバナンスとITマネジメントの実践規範が明確になりました。
COBIT(コビット)フレームワーク・ガイドラインの4つのプロセス領域と34のITプロセス目標とは
COBIT領域1:計画と組織(Plan and Organize)
PO1) IT戦略計画の策定
PO2) 情報アーキテクチャの定義
PO3) 技術指針の決定
PO4) ITプロセスと組織及びその関わりの定義
PO5) IT投資の管理
PO6) マネジメントの意図と指針の周知
PO7) IT人材の管理
PO8) 品質管理
PO9) ITリスクの評価と管理
PO10) プロジェクト管理
COBIT領域2:調達と導入(Acquire and Implement)
AI1) コンピュータ化対応策の明確化
AI2) アプリケーションソフトウエアの調達と保守
AI3) 技術インフラストラクチャの調達と保守
AI4) 運用と利用の促進
AI5) IT資源の調達
AI6) 変更管理
AI7) ソリューションおよびその変更の導入と認定
COBIT領域3:サービス提供とサポート(Deliver and Support)
DS1) サービスレベルの定義と管理
DS2) サードパーティサービスの管理
DS3) 性能とキャパシティの管理
DS4) 継続的なサービスの保証
DS5) システムセキュリティの保証
DS6) コストの捕捉と配賦
DS7) 利用者の教育と訓練
DS8) サービスデスクとインシデントの管理
DS9) 構成管理
DS10) 問題管理
DS11) データ管理
DS12) 物理的環境の管理
DS13) オペレーション管理
COBIT領域4:モニタリングと評価(Monitor and Evaluate)
ME1) IT成果のモニタリングと評価
ME2) 内部統制のモニタリングと評価
ME3) 外部要件に対するコンプライアンスの保証
ME4) ITガバナンスの提供
COBIT(コビット)フレームワーク・ガイドラインの成熟度レベル6段階とは
成熟度レベル5:最適化されている(Optimized)
成熟度レベル4:管理され測定可能である(Managed and Measurable)
成熟度レベル3:定められたプロセスがある(定義されている)(Defined)
成熟度レベル2:再現性はあるが直感的(反復可能)(Repeatable but Intuitive)
成熟度レベル1:初期/その場対応(Initial/Ad Hoc)
成熟度レベル0:不在(存在しない)(Non-existent)
これらは、これまでのCOBITバージョンの上に構築されたものであり、COBIT4活用組織もその基盤の上にCOBIT5を構築できるとしています。
IT統制を主軸とするCOBIT(コビット)の認定資格制度と研修プログラムとは
IT統制を主軸とするCOBITの資格は、ITガバナンスとITマネジメントのスキル資格として、評価されます。従ってITIL(アイティル)認定資格と同様に保有する価値のある認定資格です。
COBIT(コビット)ファウンデーションコースは、日本語での試験制度があります。受験のための特別な条件はありませんのでどなたでもCOBIT(コビット)の資格にチャレンジすることができます。
また、情報システムコントロール協会(ISACS)本部公認のEラーニングコースもあり、NTTコミュニケーションス、NECラーニングなどが開催しています。
商標、著作権、参考文献について:COBIT(コビット)はISACA ITGIが商標と著作権を有します。ITILRは、itSMFの登録商標です。
参考文献:「COBIT(コビット) 4.0 日本語版」 (米国)ITガバナンス協会=作成/日本ITガバナンス協会=訳/2006年(「COBIT(コビット) 4.0」の邦訳)、COBIT実践ハンドブック 日本ITガバナンス協会編 日経BP2008/09、COBIT入門 ハリーブーネン 生産性出版 2008/03、Wikipedia COBIT(コビット)の項など
IT業界の用語
プロジェクトマネジメント関連の用語
ITコンサルタントが行うプロジェクトマネジメントに関連するノウハウ、方法論、資格認定に関する用語を解説いたします。
COBITとは (control objective for information and related technology) – コビット
ITIL (Information Technology Infrastructure Library)とは – アイティル
PMBOK (Project Management Body of Knowledge)とは – ピンボック
www.kotora.jp
