COBITの枠組みを知る

エンタープライズ IT の 重要な枠組みの１つが COBIT です。 「情報および関連技術のコントロール目標」 を意味する COBIT は、 ITシステムの監査に関する国際団体の ISACA が策定しています。 有効で監査しやすい IT ガバナンスと IT マネジメントの手続きを 整備することで、 企業が株主に提供する価値を 高めることが目的です。 COBIT に含まれる さまざまなプロセスは、 計画、構築、実行、モニタリングの ４分野に大別されています。 計画グループは、図の左上の 「整合、計画、組織化」のことで、 APO01 から APO13 までの プロセスです。 構築グループは、 左中央の「構築、調達、導入」で、 BAI01 から BAI10 までの プロセスです。 実行グループは、左下の 「提供、サービス、サポート」で、 DSS01 から DSS06 までの ６つのプロセスです。 最後のモニタリンググループは、 画面右の「モニタリング、評価、 アセスメント」で、 MEA01 から MEA03 までの ３つのプロセスです。 金融セクターでは、COBIT の枠組みを IT 全般統制の外部監査に使っています。 COBIT に対応した セキュリティの枠組みを確立することは、 法令に準拠した IT 環境を 構築するための第一歩です。 サイバーセキュリティの観点から COBIT を見ると、 主要なプロセスは、 APO13「セキュリティの管理」と、 DSS05「セキュリティサービスの管理」 の２つです。 ただし、それ以外のプロセスにも セキュリティが関係する部分は 数多くあります。 例えば、セキュリティインシデントの管理 という重要な活動は、 DSS02 「サービス要求とインシデントの管理」 として全体的な IT プロセスに 含まれています。 では、APO13「セキュリティの管理」で セキュリティマネジメントが どのように規定されているかを 見てみましょう。 ここでは、 「情報セキュリティマネジメントシステムの 定義、運用、モニタリング」 のプロセスであるとされ、 その目的が５つ挙がっています。 IT と業務のコンプライアンスを 支援すること、 IT マネジメントとリスクマネジメントを 支援すること、 IT のコストとベネフィットの透明化に 寄与すること、 情報、インフラ、アプリケーションの セキュリティを確保すること、 意思決定のための信頼できる情報を 提供することです。 APO13 は、次の３つのプラクティスで 構成されるプロセスです。 APO13.01 は、 事業体の 情報セキュリティマネジメントシステム、 略して ISMS を確立して 維持するプラクティスです。 APO13.02 は、 情報セキュリティリスクと プライバシーリスクへの対応計画を策定して 維持するプラクティスです。 APO13.03 は、 出来上がった ISMS を モニタリングして 評価するプラクティスです。 事業体の ISMS には、 情報セキュリティの有効性を保証する アプローチを定義します。 一般的には、 情報セキュリティマネジメントシステムに 関する国際規格である ISO 27001の内容を踏まえて 定義します。 APO13.01 の記述は簡潔ですが、 ここに書かれた取り組みには、 ISO 27000 シリーズに定められた 多くの詳細な統制の仕組みが 関係しています。