2009/09/14
★実践プロマネ[構成管理(2)]★
2009/09/14 No.124 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 組織内の構成管理で重要なことは、アプリケーションの起動を管理者側で制 限することで、利用されるソフトウェアを特定したり、ソフトウェアのバー ジョンを統一することです。 クライアントPCに、任意のアプリケーションのインストールを許してしま えば、企業のITガバナンスを実現することはできません。 これを許してしまうと、クライアントPCを利用した日常業務において、多 くの問題が生じます。 統制のとれていないアプリケーションの利用は、業務アプリケーションへの 影響は全く予測がつかず、問題が発生しても原因究明と復旧に多くの時間を 要します。 場合によっては、業務そのものが成り立たなくなります。 セキュリティ上も問題もはらんでおり、クライアントPCの統制管理は企業 にとって絶対条件です。 内部統制の基本的要素として、リスクの評価と対応、情報と伝達、モニタリ ングなどの業務処理統制とともに構成管理が要求されています。 組織内では、業務プロセスの可視化、モニタリング、記録保持、構成管理な どのルール作りが必要になります。 認証、アクセスコントロール、ログ管理、情報漏えい防止など総合的な管理 を実現するためにも構成管理は欠かせません。 それでは、構成管理のマネジメントガイドラインと成熟度モデルについて 確認していきます。 【マネジメントガイドライン】 構成管理の達成目標とその評価指標を以下に示します。 (↑↓測定)は達成目標とその評価指標の関係を表します。 (↓設定)はIT、プロセス、アクティビティの関係を表します。 ★IT 達成目標 ・ITインフラストラクチャ、資源、および能力の最適化 ・すべてのIT資産の所在明確化と保護 (↑↓測定) 評価指標 ・不適切な資産構成に起因するビジネス上のコンプライアンスに関する問 題の数 (↓設定) ★プロセス 達成目標 ・すべての資産、構成属性およびベースラインを含むリポジトリの作成 ・構成管理用リポジトリのインテグリティを保持 ・リポジトリのベースラインに対する実際の資産構成のコンプライアンス 状況のレビュー (↑↓測定) 評価指標 ・構成管理用リポジトリと実際の資産構成の間で確認された相違の数 ・リポジトリ内の、購入済みライセンスと所在不明ライセンスの割合 (↓設定) ★アクティビティ 達成目標 ・すべての構成管理アイテムを含む集中管理リポジトリの作成 ・構成管理アイテムの識別と構成データの保守 ・構成データのインテグリティのレビュー (↑↓測定) 評価指標 ・相違の特定から修正までに要する平均時間 ・不完全または失われた構成情報による相違の数 ・成果、セキュリティ、および可用性のサービスレベルに合致する構成管 理アイテムの割合 【成熟度モデル】 「ITインフラストラクチャ、資源、および能力を最適化し、IT資産の詳 細を把握する。」というITに対するビジネス要件です。 このビジネス要件を満たす上で、「構成管理」プロセスにおける管理の成熟 度は、以下のとおりです。 成熟度0 -不在- マネジメント層は、ITインフラストラクチャ(ハードウェアやソフトウェ アの構成)に関する報告と管理のプロセスを整備する利点について、正しく 認識していません。 成熟度1 -初期/その場対応- 構成管理の必要性が認識されている。基本的な構成管理作業(ハードウェア とソフトウェアのインベントリーなど)が、各担当者の裁量に応じて実施さ れています。 標準の実施基準が定められていません。 成熟度2 -再現性はあるが直感的- マネジメント層が、IT構成をコントロールする必要性を認識しています。 構成情報を正確かつ網羅された状態で維持することの利点を理解しています。 技術要員の知識と力量に暗黙裡に依存しています。 構成管理ツールがある程度利用されていますが、プラットフォーム間で異な ります。 また、標準的な作業の実践方法が定められていません。 構成データの内容が限定的であり、相互に関連するプロセス(変更管理と問 題管理など)で使用されていません。 成熟度3 -定められたプロセスがある- 手続と作業の実践基準が文書化、標準化、および周知されています。 ただし、研修への参加と標準の適用は個人の判断に委ねられています。 プラットフォーム間をまたいで、同種の構成管理ツールが導入されつつあり ます。 手続からの逸脱が発見される可能性は低く、物理的な検証が一貫性のない方 法で実施されています。 装置とソフトウェアの変更に関する追跡の自動化がある程度は進められてい ます。 構成データは、相互に関連する複数のプロセスで使用されています。 成熟度4 -管理され、測定可能である- 構成管理の必要性が組織内のすべてのレベルで認識されており、優れた実践 基準の継続的な改善が図られています。 手続と標準が周知され、研修に組み込まれています。 逸脱についてモニタリング、追跡、および報告されています。 自動化ツール(プッシュ技術など:ブロードキャストされる情報をクライア ント側で解釈、表示する技術の総称)が標準の施行と安定性の向上に活用さ れています。 構成管理システムはほとんどのIT資産に対応しており、適切なリリース管 理と配付コントロールを可能にしています。 物理的検証に加え、例外分析が一貫して実施されており、例外の根本原因が 調査されています。 成熟度5 -最適化- すべてのIT資産が、統合された構成管理システム内で管理されています。 このシステムには、構成要素、構成要素間の相互関係、およびイベントに関 するすべての必要情報が組み込まれています。 構成データとベンダーカタログの整合性が取られています。 相互に関連する複数のプロセスが完全に統合されています。 これらのプロセスにおいては、構成データが自動化された手法で使用され更 新されます。 ベースラインに関する監査レポートには、各装置の修理、保守、保証、アッ プグレード、および技術評価に必要不可欠なハードウェア/ソフトウェアに 関するデータが記載されています。 許可されていないソフトウェアのインストールを制限する規則が徹底して施 行されています。 マネジメント層は、アップグレード計画と技術更新能力に関する情報を含む 分析報告から、修理とアップグレード実施の見通しを立てています。 資産について追跡し、個々のIT資産をモニタリングすることで、これらの 資産を保護し、盗難、誤用、悪用を未然に防止しています。 次号では、「問題管理」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(9月21日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
