運用管理

経産省のシステム管理基準を簡単に解説!

システム管理、およびシステムの監査を適切に行う上では経産省が策定した「システム管理基準」が参考になります。ここでシステム管理基準について簡単に解説していきますので、システムの適切な管理に向けた体制作り、ルール作りの手法を知りたい方、ガイドラインの概要を知りたいという企業の方は、ぜひ参考にしてください。

経産省のシステム管理基準を簡単に解説!

Microsoft Digital Trust Security ソリューション一覧

システム管理基準とは

経済産業省は、企業などの組織が情報システムの適切な管理をするために知っておくべき事柄をガイドラインとして策定・公表しています。これが「システム管理基準」です。
これが策定される以前から「システム監査基準」という監査に関するガイドラインは公開されていたのですが、その内容のうち管理者が特に配慮すべき規範をまとめたものとなっています。

企業の経営者、一定の権限を持つ立場にある方などで、これから内部体制を整えて水準を上げていきたいと考えているのであれば、実際の資料の内容も確認してみると良いでしょう。
規模の大きな会社のみならず、中小規模の会社でも役に立つ知識・ノウハウがまとめられています。

システム管理基準の内容を簡単に解説

システム上では様々なリスクが想定されます。このリスクのコントロールをする1つの手段がシステム監査であり、その実施において監査人が具体的にどのような判断尺度を持てばいいのか、これがシステム管理基準に記載されています。

ITガバナンスや企画、開発に関することなど、いくつかのテーマから構成されており、全部で100ページ以上のボリュームとなっています。以下で大きなテーマに言及し、その概要を紹介していきます。

1. ITガバナンス

ここでいう「ITガバナンス」とは、システム戦略の策定やその実現に必要な組織能力と定義されています。とりわけ、ステークホルダーのニーズに基づいて組織の価値を高めるための能力であることが重視されています。

経営陣には、以下6つの原則に即した実践が求められます。

  1. 責任     :役割に責任を負う人が権限を持つこと
  2. 戦略     :現在と将来両方のニーズを満たすことが重要
  3. 取得     :システム導入に際しては、短期的および長期的に見たときのリスクと資源のバランスを考慮する
  4. パフォーマンス:現在と将来のニーズを満たすサービスを提供
  5. 適合     :システムを関連法令に適合させる
  6. 人間行動   :システム維持に関わる人の行動を尊重する

これから本格的に取り組もうと考えているのであれば、経営者の方は上の原則を念頭に、具体的施策に取りかかることが大事でしょう。

2. 企画フェーズ

企画フェーズでは、プロジェクト計画の管理・要件定義の管理・調達の管理が重視されます。
経営者に対しては「プロジェクト運営委員会の設置」や「プロジェクトマネージャー(PM)の任命」を行うことが求められています。

PMは同計画を策定する役割を担い、システム戦略達成に向けた適切で実現性ある計画を策定していかなければなりません。その上で委員会が策定された計画の内容を精査し、ステークホルダー等のニーズが反映されていることを確認できれば承認する、という流れで進めていくのです。

その他PMには要件定義のために必要な体制を確保し、利害関係者のニーズの分析や調整、開発方針の策定といった任務が課せられています。

3. 開発フェーズ

開発ルールの管理や基本設計、詳細設計の管理などを行い、プロジェクト遂行に向けた重要な段階に進みます。

まず、開発ルールの管理においては、開発業務で不正が発生しないよう開発と運用の責任を分離することが重要であると説明されています。そこで開発および運用部署の責任を分離することが求められます。
ここでのPMの役割は、基本設計・詳細設計の作成とその文書化、委員会からの承認を得ることが挙げられます。特に詳細設計に関しては、個別具体的な要件が満たされるよう、基本設計に基づき仕様等の詳細を定義していくことになります。その上で品質を高めるためテスト要件の検討も行います。

4. アジャイル開発

開発手法には大きく「ウォーターフォール型」と「アジャイル型」があります。
前者が従来型であり、計画の着実な実行に適した手法です。
これに対し後者は、柔軟性が高く、変化に強く迅速な開発が可能な手法です。

アジャイル開発とは、要は反復開発のことです。計画・実行・評価を複数回繰り返しながら全体としての開発を進めていく手法です。
システム管理基準ではこのアジャイル開発に対し、プロダクトオーナーと開発チームの役割を示しています。

開発目的達成のために必要な権限を持つのがプロダクトオーナーで、達成要件の提示、開発完了の判断をすることが求められています。
開発チームに対しては、複合的な技能とそれを発揮する主体性が求められています。従来型の開発手法のようにあらかじめ計画された組織体制や工程に基づく分業を行わないため、分析や設計、プログラミング、テストといった複合的な技能を備えていること、開発作業を自律的に推進する力がより必要だからです。

常に同じ体制で取り組むのではなく、開発のタイプに応じて必要になるスキル等は異なるということを認識し、その場面に応じたチーム作りをしていかなければなりません。そうすることで、各手法の効果を最大限発揮することができるようになります。

5. 運用・利用フェーズ

所定環境における運用、利用部門に対する支援を提供する段階です。
運用管理者が運用管理のルールを作成します。その他セキュリティやアクセス、ログに関することなど、安全な利用を続けていく上で重要となる事項についてもルールを作成していくことになります。
例えば組織のセキュリティ方針に基づいたルールの作成をするとともに、その内容に従った運用ができているのかどうか、状況確認も行うことが大切です。
具体的には、サイバー攻撃への対処策の作成とその有効性の保持などを行います。

またアクセス管理に関するルールも作成し、認められていない者によるアクセスを防止するよう努めます。作成したルールに関しては関係者に周知し、定期的な見直しも行うことになります。
特に近年は情報漏えいなどが取り沙汰されることも多く、この点の対策を取っていくことの重要性はとても高いと考えられます。作業効率の向上などにだけ着目するのではなく、どうすれば社会的信用を落とさないように、安全に運営を続けられるのか、といった視点も持たなくてはなりません。

6. 保守フェーズ

保守フェーズでは、情報システム部門長が保守対象や保守を実施するための体制、その役割を明確にしていきます。そこで「保守管理者」を定めます。

保守管理者は開発の成果物を引き継ぐことが必要です。この成果物には「ソースコード」「ドキュメント」「テストで作成されたデータ」などが含まれます。また保守の手順書を作成する役割も担います。これは基本的な枠組みを取りまとめたもので、確実で円滑な実施のために基本的な事柄を明確化していきます。

さらに詳細度を上げたマニュアルも作成します。修正作業に必要な詳細をこれにまとめていきます。

6. その他

他にもいくつかのテーマにも言及されています。
例えば外部サービスに関しては、外部委託元部門長が中心となり外部サービスを利用する際の計画を作成し、委員会による承認を得ることが求められます。委託先の選定や委託契約に関するルールを策定していきます。

事業の継続性に関しても、主にリスクの回避を目指した施策としてその内容が提示されています。自然災害などのリスクが自社に与える影響を明確にし、その対策等を検討していきます。そこで復旧計画や訓練の管理、計画の見直しの管理などを進めていきます。

人的資源に関しては、情報システムの部門長が「業務の特性などに応じて各人の責任・権限を定める」「各人の責任・権限につき環境の変化に応じた見直しを行う」ことが提示されています。また、各要員には責任を果たし権限を遵守すること、管理者には作業分担等を適切に検討することなどが求められています。

まとめ

企業の方は、システム管理基準に沿った情報システムの管理・監査を行い、リスクのコントロール、ITガバナンスの実現に努めることが大切です。
なお、包括的なシステム管理、企業システムの正確で継続的な運用を実現するためにはMicrosoftの「System Center製品ファミリー」がおすすめです。

  • fb-button
  • line-button
  • linkedin-button

無料メルマガ

RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP