日本版SOX法を巡る動きが加速している。2009年3月期の決算期からの対応が見込まれ、残された準備期間はそれほど多くない。この限られた時間の中で、企業は何を行っていけば良いのだろうか。

求められるIT統制

日本版SOX法の草案が公開されたが、その中に書かれていることのひとつがIT統制の実施である。今や企業にとって不可欠となったITだが、内部統制の実施には、このITレベルでの対応も必要になってくる。これがIT統制である。そして、IT統制の2本柱として「業務処理統制」と「全般統制」が定められているが、運用の側面から関連してくるのが「全般統制」である。

全般統制とは

全般統制とは、ITの基盤となるサーバ、ネットワークといったITインフラが、正しく構築され、かつ運用されているかどうかを統制するものである。日本版SOX法による内部統制では、そのフレームワークを、米SOX法が準拠している米国公認会計士団体が策定した「COSO」に準拠するものとしている。さらにその中でIT統制に関する部分は、ITガバナンスのフレームワーク「COBIT」に対応づけている。そして、COBITが定める項目で、全般統制に関わる、つまり運用に関わるものとしてあげられているのが、サービスレベルの管理、構成管理、問題と障害の管理、運用管理といったものである。

決して目新しいものではない

COSOやCOBIT、また新しい言葉が出てきたとウンザリする方もいるかもしれない。でも、実は言葉が変わっただけで、慣れ親しんだ言葉に置き換えることができる。それがITILだ。数年前から急速に認知度が高まり、すでに多くの企業がITILを適用した運用プロセスの可視化、改善に取り組んでいるが、今回の日本版SOX法で求められるものも、このITILを適用した運用と、それほど遠くにあるものではない。

異なるのは目的だけ

ITILの目的は、運用を可視化することで、業務の効率化、品質の向上を目指していた。一方、日本版SOX法においては、システムの正確性、信頼性が運用のキーワードとなっている。しかし、だからといって目指す運用が変わるわけではなく、障害の根本的な原因を追及する（問題管理）、サービスレベルを規定して維持する（サービスレベル管理）、ITの構成情報や他のプロセスの最新情報を管理する（構成管理）、業務に必要な可用性の実現を計画、監視する（可用性管理）など、日本版SOX法に対応するために行うべき主要な管理項目は、そのままITILの管理プロセスに置き換えることができるのだ。

日本版SOX法への対応はITILの導入で対応可

このように、ITILが目指す運用の可視化は、そのまま企業活動を透明化しようという内部統制、IT統制の目的と合致するのだ。つまり、これまでITILの導入を進めてきた、もしくは導入を検討してきた企業は、目的が異なるため、運用項目についての見直しは必要かもしれないが、基本的な流れまで変える必要はない。TIL適用という流れに沿っていれば、日本版SOX法という新たな課題にも基本的に対応できるということだ。

ITIL的運用手法を具現化し、日本版SOX法対応を支援するVantageファミリー

そして、ITIL的手法による運用を実現する製品群が、日本コンピュウェアが提供するVantageファミリーである。Vantageファミリーは、7つのツールで構成されたスイート製品で、ネットワーク、サーバー、アプリケーション処理等のさまざまな視点から、アプリケーションのパフォーマンス管理をサポートしている。環境に合わせて複数のツールを組み合わせて使用しながら、ひとつのインターフェイスから、システムのすべてを可視化することができ、現状把握から将来予測まで、システムの全体最適化を図ることが可能だ。

どうだろう。日本版SOX法という新たな課題の出現により、また新しい何かをしなければいけないのではと危惧した方もいるかもしれない。しかし、IT統制の全般統制に関して言えば、この数年の流れと大きく異なることはない。VantageファミリーによるITIL的手法による運用管理が、日本版SOX法時代に求められる運用を、そしてIT統制を実現するといえる。