Day #16-2 エンタープライズアーキテクチャ (EA)
エンタープライズアーキテクチャ とは
エンタープライズアーキテクチャ ( EA *: Enterprise Architecture) は、組織全体の業務とシステムを、統一的な手法でモデル化し同時に改善していく組織の設計・管理手法です。
業務とシステムのモデル化では、次のようなモデルを作成します。
- As-Is モデル
- 現状をモデル化したもの
- To-Be モデル
- 最終目標のあるべき姿
- Target モデル
- 現実的な 次期モデル
As-Is モデル と To-Be モデル をギャップ分析し、そこから現実的な Target モデル を構築します。
アーキテクチャモデル
全体最適化 を図るため、 アーキテクチャモデル を作成します。
次の 4つ の分類体系で整理する方法が採られています。
政策・業務体系 (BA)
ビジネスアーキテクチャ (BA : Business Architecture) とも呼ばれ、組織の 目標や業務を体系化 したアーキテクチャです。
機能構成図 (DMM : Diamond Mandala Matrix) や 業務流れ図 ( WFA : Work Flow Architecture)* を、 DFD や UML を用いて作成します。
データ体系 (DA)
データアーキテクチャ (DA : Data Architecture) とも呼ばれ、組織の目標や業務に必要となる データの構成、データ間の関連を体系化 したアーキテクチャです。
情報体系整理図 (UML のクラス図) や E-R図 (ERD : Entity Relationship Diagram) を作成します。
適用処理体系 (AA)
アプリケーションアーキテクチャ (AA : Application Architecture) とも呼ばれ、組織の目標を実現するための *業務やアプリケーションの関係を体系化** したアーキテクチャです。
情報システム関連図 や 情報システム機能構成図 を作成します。
技術体系 (TA)
テクノロジーアーキテクチャ (TA : Technology Architecture) とも呼ばれ、業務を実行するための ハードウェア、ソフトウェア、ネットワークなどの技術を体系化 したアーキテクチャです。
ソフトウェア構成図 、 ハードウェア構成図 、 ネットワーク構成図 を作成します。
| アーキテクチャモデル | 体系化の対象 |
|---|---|
| 政策・業務体系(BA) | 業務フロー |
| データ体系(DA) | データ |
| 適用処理体系(AA) | アプリケーション |
| 技術体系(TA) | 技術構成 |
Day #16-1 情報システム戦略
情報システム戦略 とは
経営戦略の中でも、情報システムを活用するために立案される戦略や経営計画を 情報システム戦略 と言います。
CIO (Chief Information Officer : 最高情報責任者) が中心となり、経営戦略に基づいて基幹業務を含む業務の情報化やシステム化の戦略を策定します。
このとき、経済産業省が提案した IT 活用度を測る IT 経営力指標 を利用したり、実践においては BABOK (Business Analysis Body of Knowledge) と呼ばれるベストプラクティス集を用いた運用を行うことがよくあります。
全体システム化計画
全体システム化計画 では、組織や業務の全体におけるシステム化についての計画を立てます。
最初に 全体最適化方針 を決め、それに基づき 全体最適化計画 を立てます。
全体最適化方針
組織全体として情報システムがとるべき方法を示す指針です。具体的には、全体最適化目標を制定し、 IT ガバナンスを実施するにあたっての方針を明確にします。
また To-Be モデル と呼ばれる、情報システムが目指す あるべき姿 を明確に表した業務モデルを作成します。これは、後に現状と比較しギャップ分析を行うために用いられます。
全体最適化計画
全体最適化方針に基づき、各部署で独自に形成されたルールや個別の情報システムを統合化し、効率性や有用性を向上させるための計画です。
コンプライアンス (法令遵守) を考慮しながら、情報化投資の方針及び確保すべき経営資源の明確化、情報システムのあるべき姿を定義することなどが求められます。
情報システムの全体最適化を実現するため 情報システム化委員会 を設置し、情報システムに関する活動の モニタリング や 是正措置 を行います。また、技術情報の動向に対応するため 技術採用指針 も明確にします。
情報化投資計画
情報化投資計画 では、情報化投資に関する予算を適切に配分し計画を立てます。
経営戦略との整合性 を考慮すること、 投資効果の算出方法を明確にすること が求められます。
また、業績を 財務的な観点から評価 し IT の投資効果を管理する IT 投資マネジメント の観点も重要です。
全体最適化 や 情報化投資 など情報戦略についての指針は、 システム管理基準 にまとめられています。
yuzutan-hnk-ap-taisaku.hatenablog.com
yuzutan-hnk-ap-taisaku.hatenablog.com
システム化計画
全体システム化計画の従い、個別のシステム化計画を立案します。具体的なシステムとしては、次のようなものがあります。
- ERP (Enterprise Resource Planning)
- SCM (Supply Chain Management)
- 原材料の調達から消費者への販売までの一連のプロセスを、 企業の枠を超えて 統合的にマネジメントします。
- 余分な在庫の削減などに繋がり、無駄な物流が減少します。
- CRM (Customer Relationship Management)
- SFA (Sales Force Automation)
- KMS (Knowledge Management System)
- 個人の持つ 暗黙知を形式知 に変換し共有する ナレッジマネジメント を行うためのシステムです。
- SECIモデル というフレームワークでは、次の 4つ のプロセスが定義されています。
- 共同化 (Serialization)
- 表出化 (Externalization)
- 結合化 (Combination)
- 内面化 (Internalization)
- シェアドサービス
- 関連する複数の会社が共通で持っている部門を、共同の新会社として設立し請け負う形態。
- シェアードサービス - Wikipedia
Day #15 内部統制
内部統制 とは
企業などが健全かつ効率的な活動をしていくための体制を構築・運用する仕組みに 内部統制 というものがあります。
日本では、金融庁の企業会計審議会・内部統制部会が基準を制定した「 財務報告に係る内部統制の評価及び監査の基準 」で定められています。また「 財務報告に係る内部統制の評価及び監査に関する実施基準 」も定めています。
国際的には、米国の COSO (the Committee of Sponsoring Organization of the Treadway Commission : トレッドウェイ委員会組織委員会) が公表した COSO フレームワーク が標準となっています。
内部統制の目的
「 財務報告に係る内部統制の評価及び監査の基準 」では、内部統制は、次の 4つ の目的を達成するために実施されます。
- 業務の有効性及び効率性
- 事業活動の目的の達成のため、業務の有効性および効率性を高めること
- 財務報告の信頼性
- 財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること
- 事業活動に関する法令等の遵守
- 事業活動に関わる法令その他の規範の遵守を促進すること
- 資産の保全
- 資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ること
内部統制の基本的要素
「 財務報告に係る内部統制の評価及び監査の基準 」では、内部統制は、次の 6つ の基本的要素からなるとされています。
- 統制環境
- 組織の気風を決定する倫理観や、経営者の姿勢、経営戦略など、他の基本的要素に影響を及ぼす基盤
- リスクの評価と対応
- リスクを洗い出し、評価し、対応すること
- 統制活動
- 経営者の指示や命令が適切に実行されることを確保するための活動・手法
- 職務の分掌 (業務を実行する人と承認する人に分けるなどして 1人 で完了できないようにすること) などの方針なども含まれる
- 情報と伝達
- 必要な情報が適切に関係者へ伝達・処理されること
- モニタリング
- 内部統制が機能していることを継続的に評価すること
- 内部監査 もこの一部と言える
- IT への対応
- 目標を達成するために適切な方針・手続きを定め、それを踏まえて組織内外の IT に適切に対応すること
- IT 環境への対応 と IT の利用及び統制 から構成される
- COSO フレームワークにはない 日本独自の追加要素
ガバナンス
コーポレートガバナンス とは、 企業などが不正行為を行わずに競争力・収益力を向上させるための経営の仕組み のことです。
コーポレートガバナンスの手段として、 内部統制 や コンプライアンス (法令遵守) があります。
また、不正行為を行わず競争力・収益力を向上させるため、 情報システム戦略を策定し実施していく仕組み を IT ガバナンス と言います。
IT ガバナンスのフレームワークには COBIT (Control Objectives for Information and related Technology) があります。
※ IT ガバナンスは情報システム戦略を策定することが特徴であり、 IT の分野に限ってガバナンスを行っていくことではありません
法令遵守状況の評価・改善
情報システムの構築・運用では、そのシステムに関わる法令に遵守する必要があります。そのため、継続的に遵守状況を評価・改善することも重要です。
内部統制報告制度 は、財務報告の信頼性を確保するため金融商品取引法に基づき義務付けられた制度です。
CSA (Control Self Assessment : 統制自己評価) は、内部統制などの統制活動について主観的に検証・評価することです。
Day #14 システム監査技法
システム監査技法
システム監査の技法としては、一般的な資料の閲覧、収集、質問などのほかに次のような方法があります。
- 統計的サンプリング法
- 全体のうち一部分をサンプルとして抽出し、その分析結果を全体の性質として推測を行います。
- 監査モジュール法
- 対象のプログラムに監査用のモジュールを組み込み、実行時のデータを抽出します。
- ITF 法 (Integrated Test Facility)
- 稼働中のシステムにテスト用の架空口座 (テストデータ) を作成し、実際の口座と同じトランザクションを行い正確性をチェックします。
- コンピュータ支援監査技法 (CAAT : Computer Assisted Audit Techniques)
- ツールとしてコンピュータを利用する監査技法の総称。 ITF 法も CAAT の一例。
監査証跡とコントロール
監査対象のシステムの入力から出力までの処理の内容やプロセスを追跡できる一連の記録を、 監査証跡 と言います。アプリケーションのログファイルなどがこれに当たります。
監査証跡はシステムの 信頼性 、 安全性 、 効率性 が確保されていることを実証するために用いられます。
また、信頼性や安全性や効率性のために統制を行うことを コントロール と言います。画面上で入力した値が規則に則っているか検査する エディットバリデーションチェック や、データの合計を検査して入力間違いがないか確認する コントロールトータルチェック などがあります。
監査関連法規・標準
- システム監査基準
- システム監査人のための行動規範です。一般基準、実施基準、報告基準からなります。
- システム管理基準
- システム監査基準に則り 判断の尺度 に用いる項目です。全部で 287 項目もあります。
- 情報セキュリティ監査基準
- 情報セキュリティ監査人のため の 行動規範 です。システム監査基準の情報セキュリティバージョン…だそうです。
- 情報セキュリティ管理基準
- お察しの通り。
- ISO 27001 及び ISO 27002 をもとに策定され、「 ISMS適合性評価制度 」で用いられる適合性評価の尺度と整合されています。
- 個人情報保護関連法規
- 知的財産権関連法規
- 権利侵害行為を指摘するために用いられます。
- 労働関連法規
- 労働環境について指摘するために用いられます。
- 法定監査関連法規
- 会計監査などの法定監査との連携を図るために用いられます。
Day #13 システム監査
監査 とは
ある対象に対して遵守すべき法令や基準と照らし合わせ正しく運用されているかを評価し、ステークホルダに伝達することを 監査 と言います。
監査の種類は、対象、手法、 監査人 によって分類されます。
対象で区別する場合、 システム監査 、会計監査、 情報セキュリティ監査 、個人情報保護監査、コンプライアンス監査などに区別されます。
監査を行う 監査人 によって区別する場合、 外部監査 (独立した第三者が行う) と 内部監査 (組織の内部で行う) に分けられます。
さらに、監査の手法によって区別する場合は、 保証型監査 (基準との比較で適合を保証) と 助言型監査 (改善提案を行う) に分けられます。
システム監査人 の要件
システム監査人の要件の中で最も大切なのは 独立性 です。
内部監査の場合でも、社内の独立した部署で行われます。これは、監査対象から監査人が独立した立場にいなければならないためです。
外見上の独立性 だけでなく、公正かつ客観的な判断ができるよう 精神上の独立性 も求められます。また、監査人は 職業倫理と誠実性 、そして 専門能力 を持って職務を実施します。
こうした独立性を保った企業を探すための システム監査企業台帳 を経済産業省が公表しています。
システム監査の原本
システム監査基準の原本は、経済産業省のサイトで掲載されています。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf
システム監査の手順
システム監査は、次の手順で実施されます。
- 監査計画
- 予備調査
- 本調査
- 評価・結論
システム監査計画
実施するシステム監査の目的を有効かつ効率的に達成するため、監査手続の内容、時間、範囲などを 監査計画 としてまとめます。
監査計画は、臨機応変に修正できるよう弾力的に運用します。
システム監査の実施
監査結果を裏付けるのに十分な 監査証拠 を入手する手続きを 監査手続 と言います。予備調査、本調査ではこれを行います。
そして、監査手続の結果と関連資料を 監査調書 としてまとめます。
システム監査の報告
実施した監査についての 監査報告書 を作成し、監査の依頼者 (組織体の長) に提出します。
実施した監査の対象や概要、保証意見や助言意見、 指摘事項 と 改善勧告 、制約などを記載します。
システム監査終了後の任務
システム監査人は、調査報告書の記載事項について責任を負います。必要であれは、実施結果の妥当性を評価する システム監査の品質評価 も行われます。
また、監査の結果に基づいて改善できるよう フォローアップ (改善指導) を行います。
Day #11 サービスの運用
システム運用管理者の役割
システム運用管理者の役割は、ユーザに対して IT サービスを提供し業務に役立ててもらうことです。
従来は依頼があってからの リアクティブ (受動的) な運用が主でしたが、最近は自発的に貢献する プロアクティブ (能動的) な活動が推奨されます。
とくに、通常時の運用と障害時の運用の両方を考えたり、導入時の手順なども予め決めておきます。
スケジュール設計
通常時の運用では、日次処理 、 週次処理 、 月次処理 など段階別に運用内容を決定しておきます。
運用ジョブ についても、先行ジョブとの関連を考え ジョブネットワーク (ジョブのつながり方) を考慮してスケジュール設計を行います。
障害時運用設計
障害時の対応も予め設計しておく必要があります。
一般的には BCP (Business Continuity Planning : 事業継続計画) を策定し、復旧にかかる時間の目標である RTO (Recovery Time Objective : 目標復旧時間) や、どの時点のデータまで復旧できるかの目標である RPO (Recovery Point Objective : リカバリポイント目標) を決定します。
障害が起こると重大な影響があり 1秒 も停止させることが許されないシステムを ミッションクリティカルシステム と言います。また、災害などによる致命的な障害から復旧させることを ディザスタリカバリ (災害復旧) と言います。
バックアップ
バックアップの取得方法にはいくつか種類があります。
| フルバックアップ | 差分バックアップ | 増分バックアップ | |
|---|---|---|---|
| 容量 | 大 | 中 | 小 |
| 取得時間 | 長 | 中 | 短 |
| 復旧時間 | 短 | 中 | 長 |
フルバックアップを取得する周期が短いほど、復旧にかかる時間は短くなります。逆に、フルバックアップからの期間が長いと、差分バックアップや増分バックアップによってフルバックアップ後の更新作業をシミュレートするため、復旧が遅くなります。
システム運用の評価項目
実際の運用が要件を満たしているかどうか、定期的に評価する必要があります。
- 機能性評価指標
- 要求機能の実現度
- 使用性評価指標
- 使いやすさの実現度
- 性能指標
- 応答時間、処理時間など
- 資源の利用状況に関する指標
- 資源の利用状況
- 信頼性評価指標
- システム故障の頻度、障害件数、回復時間など
- 運用者の作業負担
- システム活用のためのユーザへの負担
サービスデスク (ヘルプデスク)
様々なサービスやイベントに関わるスタッフを一戸にまとめる機能です。ユーザにとっては問題が発生した場合の SPOC (Single Point Of Contact : 単一窓口) です。
一般的に、サービスデスクで解決できる問題の場合はその場で解決します。解決しない場合は、他の担当者に連絡して引き継ぐ エスカレーション を行います。
