COBIT（IT統制目標）とは？ 5つの主要原則

COBITとは？

COBIT（IT統制目標）は、ISACAが設計した国際的に認められたフレームワークです。これにより、IT担当者は、隠れた技術的問題や顕在化した問題、ガバナンス上のリスク、統制が不十分な部分を容易に把握できます。

このフレームワークは網羅的で、企業がITシステムをより確実に管理し、品質管理を実現する方法を詳しく説明しています。柔軟で拡張性が高いため、どの分野の企業でも効果的に採用できます。その信頼性と実用性から、米国ではSOX法遵守の基盤として採用されています。

さらに、COBITはISO 27000、ITIL、COSO、PMBOKなど世界的に認められた標準規格からも支持されています。あたかもガイドラインを統合するツールのように、さまざまな解決策を一つにまとめています。

ISACAとは？

本フレームワークはISACAと密接に関係しているため、ISACAの理解は欠かせません。

ISACAはInformation Systems Audit & Control Associationの略で、ガバナンス、監査、サイバーセキュリティ、統制業務に携わる人々のための基準や指針を策定する、国際的に認められた団体です。

1967年に設立され、当初は監査と統制の専門家グループとして活動していました。業界に情報管理の標準的なプロトコルが不足していると認識し、一連の規則を発表。これが後に基準となりました。

COBITの歴史

第一版が1996年に登場した際、COBITの焦点は、主に財務監査人の視点から、ITエコシステムの成長に必要な実務に置かれていました。しかし、内容が十分でないと認められ、1998年に修正・拡張版がリリースされ、監査統制を超えた広い範囲をカバーするようになりました。

初期のCOBITは、機会の限定から多くの批判にさらされ、一部では逆効果と指摘されることもありました。Hot Potatoとは、初期版で一つの課題が次々と関係者に押し付けられる状況を表しています。

2000年代にはさらに2つの版が発表され、各新版でISACAはIT管理に役立つ新たなルールや実務を導入しました。2013年に登場した第5版では、優れた実務、ツールの推奨、IT目標が盛り込まれ、文書化とルールの明確化を通じて、ITガバナンスとアカウンタビリティの向上を図りました。

以前の批判はこの版で十分に解消され、持続可能性に注力しながら、組織に統合的かつ包括的なアプローチを促すものとなりました。

現行のCOBIT版は2019年にリリースされ、非常に柔軟かつ実用的なため、多くの大手企業で広く採用されています。規模や業種を問わず活用でき、統治原則は最大6つ、管理目標とガバナンスは40項目に対応しています。

COBITフレームワークの基本原則

COBITフレームワークは、単なる技術規格を超え、資源、ITアプリ、関連プロセス間のバランスを保つことでIT運用を実現します。基本原則は「統制」と「IT統制目標」にあります。

ここでいう統制とは、主要なIT管理手法、構造、方針、手順に対して権限を持ち、定めた目標を確実に達成することを意味します。

IT統制目標は、IT運用において実現可能な成果を明確に示すことを意味します。

COBITが重要な理由

COBITはITの標準として広く認識されています。これは、さまざまなバックグラウンドのIT担当者、監査人、経営層が理解しやすく、統制、結果予測、目標設定が行いやすいように設計されているためです。

こうした共通認識により、IT監査がこれまで以上に容易になり、IT担当者が統制の運用状況を把握しやすくなっています。

COBITの原則とは

COBIT 2019では、IT統治において組織が採用すべき6つの原則が提示されています。以下にその原則を示します。

• ITガバナンスシステムは、関係者の期待や要求に合わせ、リソース、メリット、リスク、ガバナンス体制、実行可能な戦略とのバランスにより十分な価値が生み出される必要がある。
• ITガバナンスシステムは、単一の要素だけで構成されず、複数の異なる要素で成り立つべきである。
• 動的なガバナンスシステムを採用し、変更が直接的な影響を及ぼさないようにすることが望ましい。
• IT管理とガバナンスは明確に区分され、重複があってはならない。
• ガバナンス専用のシステムは、組織の個別のニーズに合わせ、あらかじめカスタマイズと優先順位を設定することで実現されるべきである。
• ガバナンスシステムは、組織が目標を達成するために必要な全てのIT機能、データ、技術を包含できる十分な規模でなければならない。

COBIT使用前に知っておくべきこと

COBITの採用は一般的ですが、軽視できるものではありません。効果的に利用するには、基本概念を深く理解する必要があります。

• Objectives - COBIT v2019ではIT管理者向けに40の目標が示されています。ただし、全てが必須ではなく、事業ニーズに合わせて最適なものを選択できます。
•  Domains - 目標を使いやすくするため、COBITはそれらを複数のドメインに分類しています。これにより、構築、監視、計画に関する目標が明確になります。
•  Goals cascade - 組織のニーズと目標の関連性を示す用語です。
•  Design factors -ここでは、戦術的、文脈的、戦略的な要素が取り上げられ、クラウドデータ、アウトソーシング、DevOpsに関連する最適な実装選択のための指針が示されています。
•  Components -これは、ITに大きな影響を与える一般的な要素、たとえばスキル、組織構造、プロセスの記述を指します。

COBITの主要構成要素

• 主要フレームワーク

主要フレームワークは、ITがガバナンスの目的達成や業界の先進的実務の推進に不可欠であるとの前提に基づいています。また、事業のニーズを理解する際には、ITドメインも考慮されるべきです。

• プロセスの説明

専門家間で共通の言葉として機能するこのリファレンスモデルにより、組織内の全員がITガバナンスを正しく理解できるようになります。主な概念として、構築、計画、プロセスの監視、運用が挙げられます。

• 統制目標

この要素は、IT管理チームが参照できる多数の項目を提供し、IT業務における統制の把握に役立ちます。

• 成熟度モデル

成熟したビジネスモデルは、収益性や生産性の向上、効率的な運用に寄与します。COBITの成熟度モデルは、ガバナンス戦略の強化やサイバーセキュリティにおける組織の成熟度向上を目的としています。

• 管理ガイドライン

明確な社内指示は、業務の分担やパフォーマンス管理において重要です。また、企業全体で共通の目標を持つことの重要性も示されています。

COBITはその原則を通してITガバナンスを向上させ、国内外の大手公私企業で広く利用されています。

COBIT 5とCOBIT 2019の比較

COBITは設立以来、数多くの更新や追加を重ねています。直近の2019版（2018年発表）は非常に進化していますが、2012年にリリースされたCOBIT 5も業界で広く利用されています。

原則とガバナンス

この要素は、意思決定、法令遵守、パフォーマンスの監視において重要です。

両版とも管理目標は同様ですが、組織目標に沿った要件の検証や関係者の期待を満たすための原則には違いがあります。

2019版では6つ採用され、COBIT 5では5つであったため、COBIT 2019のガバナンスはより包括的です。

プロセス

この部分は、COBIT 5からCOBIT 2019への移行に際して大幅な更新が行われました。COBIT 5では37のプロセスでしたが、2019版では40に増加しています。

例えば、APO10ではサプライヤをベンダーと表現し、MEAでは1つのプロセスが追加されたほか、「Monitor Evaluate and Assess」という用語が managed に置き換えられました。

COBITの比較

COBITは、ITガバナンスのための唯一のフレームワークではありません。ITILやTOGAFといった国際的に認められたフレームワークも存在します。ここでは、COBITとそれらの機能を比較します。

• COBIT と ITIL の比較

前述の通り、COBITはリスク管理に重点を置くため、その適用範囲はITILよりも広いです。COBITは複数の事業分野にわたってシームレスに機能します。一方、ITILはITサービス管理に特化しており、管理面は対象外です。

COBITの監査はISACA主導で認定監査人によって行われますが、ITILの監査には第三者ツール（例えば Tudor IT Process Assessment）が必要です。

• COBIT と TOGAF の比較

TOGAFはThe Open Groupによるフレームワークで、主にアーキテクチャの観点から設計されています。一方、COBITはITガバナンスに重点を置いています。初期、TOGAFはTAFIMとして米国国防総省によって設計されました。

TOGAFは情報アーキテクチャのレベルで、ITと事業目標の整合性を図ります。両者は共存可能で、堅固なITガバナンスフレームワークの構築に寄与します。

適用範囲において、COBITは企業全体での運用を目指しているため、より広範です。

COBITの利点

COBITフレームワークの参照は、企業に多大な価値をもたらし、以下のような幅広い利益を提供します。

• ITコストの最適化
• 戦略的目標を損なわずに革新的なツールや技術の導入が容易になる
• ITツールの利用が設定目標に沿っていることの確認
• ITリスク管理の容易な実現
• 包括的かつ統一されたITガバナンスシステムの構築
• 高度なIT安全性を実現するための最適なITセキュリティツールの採用

COBIT 5.0認証

COBITフレームワークを深く理解するため、IT担当者は認証コースの取得が可能です。COBIT認証は、ITガバナンス、管理、各構成要素など、フレームワーク全体の知識を深めるのに役立ちます。認証を取得することで、

• 現状のIT管理の問題点を早期に把握し、事業への影響を判断できる
• ITガバナンス、管理、運営が多様であることを理解し、適切に対応できる
• COBIT 5.0プロセスから最大の成果を引き出すための最適な手法を把握できる
• 目標の連携やモデルに基づいた文脈でCOBIT 5.0について議論できる

結論

企業のITインフラの複雑さは、新たなツールや技術が次々と導入されるにつれて増大しています。急速な技術採用は進歩や生産性向上の証ですが、ガバナンスとシステム管理はなお課題です。

ITガバナンスや管理を標準化することで、IT専門家や監査人が業務を的確に把握できます。COBITフレームワークは、ITを理解しやすくする共通の言葉を提供します。