COBIT
ISACAとITGIによるITのフレームワーク
From Wikipedia, the free encyclopedia
COBIT(英: control objectives for information and related technology)とは、情報システムコントロール協会 (ISACA)とITガバナンス協会 (ITGI)が1992年に作成を開始した情報技術 (IT) 管理についてのベストプラクティス集(フレームワーク)である。COBIT は、情報技術を利用して得られる利益を最大化するために、マネージャ、監査人、ITユーザーに一般に通じる尺度や判断基準、ビジネスプロセスやベストプラクティスを提供しており、企業内の適切なITガバナンスや内部統制の開発の補助となる。各プロセスは、プロセスの入力と出力、主要なプロセス活動、プロセス目標、パフォーマンス測定手段、および基本的な成熟度モデルとともに定義されている[1]。
フレームワークと構成要素
COBIT の目的は、「最新の国際的にも一般的にも認められた(マネージャや監査人の日々の業務に役立つ)情報技術制御目標を研究・開発・公表・促進すること」である。COBIT を使うことで、関係者(マネージャ、監査人、ユーザー)は、戦略的なIT計画立案や情報アーキテクチャの定義、IT戦略の実行に必要なハードウェアやソフトウェアの取得に関する補助となって判断をより効率的に行えるようにし、サービスの連続性やシステムの性能監視を可能とする。COBIT によってコントロールやセキュリティ・プロセスの管理が定義されることでITユーザーは保証を得ることになる。監査人にとっては、企業のIT基盤の統制ポイントの識別や、監査検出事項の確認に役立つ。
以下COBIT2019の構成要素について述べる。
6つのシステム原則と3つのフレームワーク原則
ガバナンス・システムの原則
6つの原則は、企業内で運用されるガバナンスに対する機能要件を定義している。単なるルールの遵守やIT管理にとどまらず、組織独自の文化や変化するビジネス環境に合わせて全体最適を図りながら、ステークホルダーへの価値提供を最上位の目的としている[2]。
- ステークホルダー価値の提供 (Provide Stakeholder Value:PSV) - 戦略を通じて、価値の創出、リスクの最適化、リソースの最適化のバランスをとる。
- 全体論的なアプローチ (Holistic Approach:HA) - プロセスだけでなく、人、文化、技術などを含めた構成要素全体で考える。
- 動的なガバナンス・システム (Dynamic Governance System:DGS) - ビジネスや技術の変化に合わせて、ガバナンスシステムも柔軟に変更可能であるべき。
- ガバナンスとマネジメントの分離 (Governance Distinct from Management:GDFM) - 監督(取締役会)と執行(経営陣)の役割を明確に分ける。
- エンタープライズのニーズへの適合 (Tailored to Enterprise Needs) - 「デザインファクター」を用いて、その企業独自の事情に合わせてカスタマイズする。
- エンドツーエンドガバナンス・システム (End-to-End Governance System) - IT機能だけでなく、企業のあらゆる情報をガバナンスの対象とする。
ガバナンス・フレームワークの原則
3つの原則は、ガバナンスを構築・整備するための「フレームワークそのものの設計思想を定義している。COSO、ITIL[3] 、BiSL、ISO 27000、CMMI、TOGAF、PMBOKなどの主要な国際標準と整合性を図り、普遍的に長期的に利用・拡張できる信頼性の高いプラットフォームであることを保証するものである[4][2]。
- 概念モデルに基づく (Based on Conceptual Mode:BCM)
- オープンかつ柔軟である (Open and Flexible)
- 主要なスタンダードに整合する (Aligned to Major Standards)
5つのドメイン
COBIT2019には40個の具体的なプロセスがあり、それらは5つのドメインに分類される。その内訳が「ガバナンス(1領域)」「マネジメント(4領域)」となっている。このマネジメントの4領域のことを「4つの分野」と認識されることが多い[2]。
ガバナンス領域
- 評価、指示、監視(Evaluate, Direct and Monitor:EDM)
マネジメント領域
- 整合、計画、組織化(Align, Plan and Organize:APO)
- 構築、調達、導入(Build, Acquire and Implement:BAI)
- 提供、サービス、サポート(Deliver, Service and Support:DSS)
- 監視、評価、査定(Monitor, Evaluate and Assess:MEA)
プロセス
COBIT 2019では、ガバナンス・マネジメント目標が設定されている。これらはプロセスとも言われる。 COBIT2019では、COBIT5の37個から、40個に増えた。EDMに5プロセス、APOに14プロセス、BAIに11プロセス)、DSSに6プロセス、MEAに4プロセスが割り当てられている[2]。
歴史
COBITは当初、「Control Objectives for Information and Related Technologies」であったが、フレームワークのリリース前には、「Control Objectives for IT」(ITのためのコントロール目標)[5]または「Control Objectives for Information and Related Technology」として「CobiT」と語られていた。[6]
1996年、ISACAはCOBIT の初版をリリースした。当初は、財務監査コミュニティがIT関連環境でより良く活動できるよう支援するためのコントロール目標のセットとしてであった[1][7] 。単なる監査領域を超えてフレームワークを拡張することに価値を見出したISACAは、1998年により広範なバージョン2をリリースし、2000年のバージョン3では管理ガイドラインを追加してさらに拡張した。
2005年1月のAS 8015: 『Australian Standard for Corporate Governance of Information and Communication Technology』(情報通信技術の企業ガバナンスに関するオーストラリア標準)[8]および、その直後の2007年1月にISO/IEC 38500となった国際的なドラフト標準ISO/IEC DIS 29382[9]の開発により、より多くの情報通信技術(ICT)ガバナンスの構成要素の必要性に対する認識が高まった。
ISACA は2005年と2007年にそれぞれバージョン4と4.1で関連する構成要素/フレームワークを追加し、「価値創造(Val IT)とリスク管理(Risk IT)におけるIT関連のビジネスプロセスと責任に対処」した[1][7]。これは、経営よりの観点でまとめられたもので、IT投資の視点および利益を得ることができているかに重点を置いている。
2012年、COBIT 5が発表された。COBIT5は、COBIT 4.1、Val IT 2.0、およびRisk ITフレームワークに基づいており、ISACAの『IT Assurance Framework』(ITAF)と『Business Model for Information Security』(BMIS)を利用している。[10][11]
2018年11月、COBIT 2019が発表。ISACAは、COBIT Foundations、COBIT Design & Implementation、およびImplementing the NIST Cybersecurity Framework Using COBIT 2019[12]の認定コースと、以前のバージョン(COBIT 5)[13][14]の認定の両方を提供している。
リリース履歴
最初のバージョンは 1996年に公表された。第2版は1998年で、管理指針が追加された。第3版は2000年(オンライン版は2003年に公表)、第4版は2005年12月である。
COBIT 4
COBIT 3 から大きく拡張され、これまで分冊化されていたものを1つにまとめて参照を容易にした。新たな節として各プロセスについて以下が記述されている。
- 他の COBIT プロセスとの入出力についてのクロスリファレンス
- 各プロセスについてRACI図を付与(各レベルのマネージャがそのプロセスで果たす役割を記述)
COBIT 4.1
主な変更点は以下の通り。
- 成熟モデルサポート
- 目標の記述を簡素化
- プロセス間やITプロセスとビジネスの関係をより詳しく記述。
COBIT 5
主な変更点は以下の通り。
- Val IT や Risk IT などの関連フレームワークを統合
- ガバナンスとマネジメントを明確に分離
- 5つの原則と7つのイネーブラーの導入
- 企業全体のITへの適用範囲拡大
- 成熟度モデルからプロセス能力モデル(ISO/IEC 15504ベース)への移行
COBIT2019
- デザインファクターとフォーカスエリアの導入[2]
- ガバナンスシステム原則を6原則へ拡張
- CPMの採用
- ガバナンス・マネジメント目標の拡張
- オープンソース的なアプローチによる継続的な更新
他の標準規格との関係
COBIT と ISO/IEC 17799:2005
COBIT は、まずIT業界で受け入れられ、ITガバナンスの国際的フレームワークとなりつつある。ISO/IEC 17799:2005は、セキュリティ管理に関するベストプラクティスの国際的標準である。これらの標準は競合しているわけではなく、互いに補完する関係である。COBIT がより幅広い範囲をカバーし、ISO/IEC 17799 はセキュリティについてより深く扱っている。
以下の表は両者の関係を示したものである。
| COBIT ドメイン | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 計画と組織 | × | ◎ | × | × | ◎ | ◎ | ◎ | ◎ | × | × | ○ | ・ | ・ |
| 調達と導入 | ◎ | ○ | ○ | × | ○ | ◎ | ・ | ・ | ・ | ・ | ・ | ・ | ・ |
| サービス提供とサポート | × | ◎ | ○ | ◎ | ◎ | ・ | ◎ | ○ | ○ | ○ | ◎ | ○ | ○ |
| モニタリングと評価 | × | ○ | × | ○ | ・ | ・ | ・ | ・ | ・ | ・ | ・ | ・ | ・ |
- (◎) よく一致している(ISO/IEC 17799:2005 の3つ以上の目標が COBIT プロセスにマップされている)
- (○) 一部一致(ISO/IEC 17799:2005 の1つか2つの目標が COBIT プロセスにマップされている)
- (×) 一致していない(ISO/IEC 17799:2005 の目標が COBIT プロセスにマップされていない)
- (・) 存在しない
COBIT とサーベンス・オクスリー法
2002年のサーベンス・オクスリー法に関わるアメリカの株式公開企業は COBIT を採用したり、トレッドウェイ委員会支援組織委員会(COSO)の策定したフレームワークを採用している。米国証券取引委員会は COSO のフレームワークを推奨している。COBIT は COSO に比較するとITガバナンスに特化しているが、ITILに比べると範囲が広く、やや抽象的である。
関連項目
- ITガバナンス
- ITIL
- ISO/IEC 38500
- Information Technology Infrastructure Library
- PMBOK
- ITガバナンス
- Val IT