中小企業の経営者層や管理者クラスの人は、経産省のシステム管理基準に関する知識を身に付けておく必要があります。そうすることで、より業務をスムーズに行え、万が一のリスクにも備えられるようになるからです。今回は、経産省が掲げているシステム管理基準とはどのようなものかについて解説します。

経済産業省の掲げる「システム管理基準」とは

システム管理基準の基盤は経済産業省が制定したものです。企業が生き残るための作戦、他企業との競争に勝つための方法を考え、そのためにどういったシステムを導入した方がよいか、またリスク回避のためにはどう動かしていけばよいのかといった内容が組み込まれています。

現代社会において、企業戦略に打ち勝つためにはITの活用は欠かすことはできません。特に情報システムは常に進化し続けているため、今後多様化はもちろん複雑になっていくことが予想されます。

こうした進化に伴い危険性やリスクも高まるといえます。今後の企業経営の課題として考えられることは、危険性のコントロールです。システム管理基準は、危険性を回避するための整備や運用への実践規範にもなっているのです。

参照URL: https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri_h30.pdf

システム監査基準との違い

経済産業省で制定しているシステム監査基準は、監査を行う方法や手続きの基準を定めたものをいいます。

システム監査基準は、安全性・信頼性・効率性です。安全性は、災害時や不正アクセスといった問題への対策についての監査のことをいい、信頼性は性能が発揮され異常停止などの誤作動時にも的確に対応できるかを判断します。そして、効率性は企業経営において貢献しているかの監査実施を行います。

同じく、経済産業省がシステム管理基準を規定していますがこの2つの大きな違いは監査人の判断基準です。システム監査基準は「主旨」「解釈指針」が決められていることに対して、システム管理基準は「主旨」「着眼点」が記載されています。

平成16年10月8日までは、各項目に関して詳しい説明がありませんでした。しかし、改定したことでより詳しい内容で監査を実施できるようになり、実務に沿ったリアルな形で実施、運用できるように変化しました。

システム管理基準の改定ポイント

システム管理基準においては、ITガバナンスに関する概要や業務継続計画などから構成されていました。しかし、公開後に業務継続について国際規格が成立したため、国際的に影響力のあるCOBITなどの内容を踏まえて平成16年10月8日に見直しが行われました。

その他にも、クラウドの活用における整理やアジャイル型のシステム開発の取り扱いなども見直されました。また、それぞれの項目においては、より運用がしやすいように主旨や着眼点が記載され、わかりやすい内容となったのです。

システム管理基準の内容をわかりやすく解説

ここからは、システム管理基準について、その内容を詳しく解説していきましょう。

1. ITガバナンス

ITガバナンスとは、経営者がステークホルダの需要に沿って全体的な価値を向上するための行動や、本来の情報システムの姿を表す戦略、方法、さらに実施するために必要となる企業全体の能力のことをいいます。

さらに、ITガバナンスを行う上で注意しなければいけない情報システムに関するリスク、それらを実施するために必要な予算、人員の配分、情報システムを導入することで得られる結果などにも注視する必要があります。

ITガバナンスを成功させるため経営陣は、責任、戦略、取得、パフォーマンス、適合、人間行動の6つの採用が好ましいといわれています。6つの原則に関して、具体的にどのようにするか説明していきます。

  1. 責任…役割に責任を背負う人は最後までやり遂げる権限を持つ
  2. 戦略…情報システムを、現在はもちろん将来への能力を考えた形にし、時代にあったニーズを満たす必要がある
  3. 取得…情報システムの導入に関して短期、長期の両方で効果やリスク、資源のバランスが平等になっており、意思決定に沿った形になっている
  4. パフォーマンス…現在、将来を見据えたサービス提供が必要
  5. 適合…関係する全部の法律や規則にマッチさせる必要がある
  6. 人間行動…パフォーマンスを維持する人間、それらに関わる人々の行動を大切にする必要がある

これらの6つの原則を取り入れ、経営者としてやらなければいけない役割を果す必要があります。

2. 企画フェーズ

企画フェーズは、プロジェクトを遂行するための重要なフェーズだと考えられています。円滑に進めるには、社内における情報や目的の共有が重要です。経営陣がプロジェクト運営委員会を設置しますが、利害関係者が持つニーズに反映されるようにしなければいけません。

では、どのように運用していけばよいのでしょうか。システム基準における管理フェーズ運用方法は、まずプロジェクトマネージャを任命する必要があります。プロジェクトマネージャは、プロジェクトの計画をして運営委員会の承認を得ます。

この要件を元にプロジェクト運営委員は情報システムからずれていないか、要件に対して優先順位が適切についているかを検証します。こういったことから、プロジェクトマネージャとプロジェクト運営委員との間にはコミュニケーションが密にとれる関係性が作られている必要があります。

規模が小さい企業や調整が簡単にできる場合、プロジェクト運営委員を決めないという選択肢もありますが、プロジェクト遂行へのリスクを避けるためにもプロジェクト運営委員は必要です。

3. 開発フェーズ

開発フェーズでは、開発ルール、基本設計などを行い、基本となる部分を構築していきます。開発の中心となるシステム部門長は、システム開発とシステム運用に関する部署の責任を分離する必要があります。

そしてプロジェクトマネージャは、プロジェクトの標準を策定して文書化し、委員会の承認を得る必要もあるのです。また、基本設計の作成と文書化、詳細設計の作成と文書化もプロジェクトマネージャが行います。それらが完了したら、プロジェクト計画などに則り、プログラミングと実装を行います。

実装後は、システムテスト(総合テスト)やユーザ受入テストに関する計画も立て、文書の作成を行うのです。プロジェクトの進捗は、モニタリングによって確認することが定義されているため、コミュニケーションがかなり重要になってきます。

4. アジャイル開発

アジャイルは、システムやソフトウェアの開発方法の1つで、従来の方法よりも開発期間を短くできます。そのため、素早いという意味のアジャイルという言葉が使われています。

アジャイル開発において重要な役割を担うのがプロダクトオーナーで、開発する目的達成に必要となる権限を持っている人材です。開発チームは、分析やプログラミングなどに関する複合的な技能を持ち、それを発揮できるようにしておく必要があります。そのためのリリース計画やミーティングは必要不可欠です。他にも、開発プロセスの評価やデモンストレーションも行います。

アジャイル開発はリスクの早期発見ができるだけではなく、柔軟な対応を行うためにも必要です。

5. 運用・利用フェーズ

運用・利用フェーズでは、情報システムやソフトウェアの運用による支援を行っていきます。管理者が運用に関するルールを定めたり、情報システムの部門長がそのルールを承認したりします。それだけではなく、運用管理者は作業の手順を明文化すること、年間の運用計画を考えること、運用管理ルールがきちんと守られているかチェックすること、ジョブスケジュールを立てて優先度を考えることなどもしていかなければいけません。

セキュリティやアクセス、データ、ログ、構成などの管理も重要な役割の1つです。システムを円滑に運用し、利用してもらうために重要な役割を担うフェーズだといえます。品質の維持や運用改善を実現するためのフェーズです。

6. 保守フェーズ

保守フェーズでは、保守管理に関する取り組みを行います。保守ルールは、部門長が保守する対象を明確にし、体制や役割を整得られるようにしなければいけません。保守管理を行う人は、開発フェーズから保守に必要な成果物を引き継ぎます。そして、バグなどを修正し、最適化や改良を行っていくのです。

緊急性が高いと考えられる改修や不具合の発見にも役立ちます。企業によっては、子会社に保守作業を依頼しているケースもあります。

保守フェーズでは、ただ改修などを行うだけではなく、改善の提案も行っていきます。バージョンアップや違うソフトウェアへの移行を行った場合は、以前使っていたソフトウェアの廃棄計画も考え、廃棄したことを記録に残さなければいけません。

7. 外部サービス管理

外部サービス管理は、外部委託元部門長が中心となって行います。外部サービスを利用する際の計画は、情報システムの戦略に関する委員会の承認が必要です。部門長が選定時の基準を決めたり、候補先に対する要求を提示したりします。

契約の締結に関しても管理者が行うことになっています。外部委託等契約書の内容は、委託先とのトラブルが生じないようにしなければいけません。契約や管理に関しては、外部サービス利用計画に基づいて行う必要があります。

そして、外部委託契約をする際にサービスレベル管理(SLM) の締結も検討します。外部へ委託する場合は、あらかじめ責任の範囲について確認し、リスクを回避できるようにしておくことも大事です。

8. 事業継続管理

事業継続管理は、作成された方針に基づいて行われます。リスクを回避したり、提言したりするための取り組みです。

リスクアセスメントでは、自然災害などのリスクや情報システムにどのような影響を与えるかを明確にし、その影響を考慮した上で対策を講じなければいけません。業務継続計画の管理、システム復旧計画の管理、訓練の管理、計画の見直しの管理は、リスクアセスメントの結果に基づいて作成する必要があります。

訓練の管理を行うことによって、万が一の時に適切な対応がとれるようになるため、とても重要です。これを怠ってしまうと、災害時などに大きな損失を被るおそれがあるでしょう。

まとめ

経産省が掲げているシステム管理基準がどのようなものか解説してきました。これは、業務を円滑に進めたり、リスクを回避したりするためにも重要な要素になります。システム監査基準との違いを知っておくことで、より理解を深めることができるでしょう。

システム管理基準の概要だけではなく、どのような内容が盛り込まれているか知ることも重要なポイントです。仕組みを実行したり、情報や目的の共有をしたりするために必要なフェーズが盛り込まれているからです。それだけではなく、従来と比べるとよりスピーディーな開発を実現するための方法についても盛り込まれています。

経産省のシステム管理基準に盛り込まれている内容に沿って進めていくとリスクマネジメントもしやすくなります。ぜひ、本記事を参考に業務をスムーズに行ってみてください。