Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

内部統制における標準化(属人性の排除)と自動化

  2008/09/12 19:42

内部統制への関心の高まりを受け、企業経営者・IT部門は継続的に運用可能なIT統制の実践が求められている。 IT全般統制におけるポイントは、いかに属人性の高い業務を排除して、各業務プロセスを共通化されたアプローチから実行するかだ。マクニカネットワークスで新製品の開拓とコンサルティング業務を担当している一丸智司氏が、業務プロセスの標準化と自動化における課題と現状、解決するための方法論について講演した。

IT部門の体制変化とサーバー管理の課題

マクニカネットワークス株式会社
ストラテジックマーケティング室 室長
一丸智司氏
一丸智司氏

 金融商品取引法の適用が開始され、対応作業もリスク分析やドキュメント化の段階から運用の段階へと移った。企業経営者・IT部門は継続的に運用可能なIT統制の実践が求められており、ここで課題となるのが日常的なPDCAサイクル実践によるプロセス見直し作業だ。

 一丸氏は、ITの中でもサーバーにフォーカスした内部統制について紹介。サーバーに特化したのは、ビジネス上のすべてのデータとロジックが集約されるために運用ミスによるリスクが大きく、しかも運用における属人性が高いからだ。さらに今後、企業の業務形態の変化やセキュリティ要件による変更のスピードアップが予想される。そして仮想化導入の加速により、運用がますます複雑化していくことが明らかでもある。

 一丸氏は、会計などのシステムごとに担当チームがいて、ハード、OS、データベース等のミドルウェアやアプリケーションの設定から運用までを一貫して行う従来の管理組織を縦割り型と呼ぶ。そこで求められてきたのは安定稼働と障害発生時の即時復帰であり、高い運用の経験値を持つ生き字引のような古参担当者に頼ることも多い縦割り型は、最適な形態だったといえる。しかし、職掌分掌と相互チェックを必須とする内部統制では、縦割り型は認められない。

 そこで開発と運用を分離し、さらに運用においてもインフラ管理とアプリケーション管理等のレイヤ毎に権限を分割し、相互チェックを可能にした横割り型への転換が求められている。もちろん内部統制下でも安定稼働は最重要課題であり、加えて誰でも運用できるようにするための標準化と文書化が求められる。

 一丸氏は、運用業務の標準化・自動化により、ミスオペレーションの撲滅が可能となり、ダウンタイムのリスクを未然に防ぐことができると、日本版SOX法が求める内部統制とは直接関係が無いメリットについても述べた。その理由として一丸氏は、米国と比較して日本の企業では内部統制のためだけの対応ツール導入などに消極的なことを挙げる。

 米国におけるSOX法対応では当初、人海戦術で文書化やプロセスの作成作業を進める以外の方法がなかったが、その後、効率化とコスト削減を可能にするツール類が出たために採用が相次いだ。ところが日本版SOX法の策定においては、米国におけるSOX法対応の際のような非効率が発生しないように考慮されているため、ツールの導入により削減するコストが存在しない。よって、ツールの導入を前向きに検討するには、ほかのコストメリットやダウンタイムのリスクを未然に防ぐなどの副次的なビジネスメリットが必要なのだ。

自動化・標準化されたオペレーションのあるべき姿とは

 オペレーションが自動化・標準化されていれば、誰が実行しても作業結果が同じになり、作業結果レポートの差もなくなる。そして一丸氏は「優秀な要員の能力を発揮してもらうためには、彼らがオペレーションの実行よりも標準パターンの作成に能力を発揮する組織にすることが望ましい」と提言した。

 標準パターンを確立し、自動化することにより、サーバーの設定が一致していない場合の発見が簡単になり、修正が容易になる。新人も、標準パターンがあれば、自分が学習してきた基礎知識と照らし合わせることで理解を早めることができる。

 サーバーオペレーションは、大きく作業と運用の2つに分けられる。作業は定型と臨時があり、定型はサーバー設定の確認とパッチ運用、臨時はアプリケーションの配布や設定ファイルの変更、新規サーバーの構築などだ。

 そしてその定型作業・臨時作業は、共通化されたフレームワークから実行されなければならない。そしてレポートのフォーマットを定型化することにより、実行したオペレーション結果の可視化を行う。さらに内部統制の観点から、職掌ごとの権限を分けて付与する必要がある。

 自動化・標準化に伴うメリットを総括すると、コンプライアンス上、常に正しいサーバーの設定を維持することができ、定型的な管理レポートが作成されるようになる。そしてサーバーのダウンリスクが低減され、同時に管理に要するコストを削減する。そして副次効果として、アプリケーション開発環境の素早い構築と、本番環境との一致性の保証が容易になる。また、自動設定ツールと仮想化環境を適切に使用すれば、急激なトラフィック増等を想定したダイナミックな構成変更も可能だ。

BladeLogicを活用した運用管理の効果

 以上のようにマクニカネットワークスでは、内部統制においてサーバーの構築、アプリケーション・パッチの配布、設定情報の比較を自動化することでき、かつ既に稼働中のサーバーに導入可能な製品について調査した。そこで新製品の開拓を担当している一丸氏らが見いだし、2年前から日本市場に導入しているのがBMC BladeLogic Operations Manager Suiteだ。

 元々はブレードロジック社の製品だったが、現在は同社を買収したBMCソフトウェア社の豊富な運用管理ツールの一つとなっている。BMCは企業のIT基盤の管理ツールを提供し事業価値を高める、企業向けビジネスサービス管理ツールのプロバイダーだ。提供されているITILベースのさまざまなフレームワークにBladeLogicを組み込んで、ITILベースの運用管理フレームワークの構築も可能にしている。

 現在BladeLogicは国内では大手データセンターに試験導入され、一部では実運用が始まっている。セッションで紹介された導入事例によると、たとえばApacheサーバーの設定配布を手動で行うと1台5.5時間かかっていたのを1台目1.5時間、2台目以降15分に短縮でき、ソフトウェア、パッチ、設定等の資産情報の収集時間は99.4%削減したという。

 これにより、導入事例の企業ではBladeLogicの購入に伴う投資を10ヶ月で運用コストの削減により回収することができ、設定ミスに伴うサーバダウンも導入後発生していないと述べている。

 一丸氏は「サーバーを50台以上持つところでは効果があると考えています。エンドユーザーが直接使うようになるのは今年から来年ぐらいと期待しています」と話し、セッションを閉じた。

資料ダウンロード

 ダウンロードはこちら

関連資料ダウンロード

【関連リンク】
マクニカネットワークス株式会社



著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

バックナンバー

連載:IT Compliance Summit 2008 Summer セミナーレポ―ト

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5