MOF と COBIT/Val IT の比較およびクロスインプリメンテーションガイド

MOF と COBIT/Val IT の比較およびクロスインプリメンテーションガイド

COBIT/Val IT 環境で MOF を活用する方法

Version 1.02 日本語訳 Version 1.00 発行: 2009 年 6 月執筆者: Patrick Voon、CGEIT、CISA、CISSP

Senior Governance, Risk and Compliance Subject Matter Expert Edgile Inc.

Javier Salido、M.Sc.、MBA.、CIPP Senior Program Manager, Data Governance Trustworthy Computing Group、Microsoft Corporation

最新の情報については、 www.microsoft.com/datagovernance (英語) を参照してください。

http://www.microsoft.com/datagovernance�

Copyright © 2008 Microsoft Corporation. All rights reserved. お客様ご自身の責任において、適用される著作権関連の法

律を順守してください。このドキュメントに関するフィードバックを使用または提供することにより、下記の使用許諾契約書に同意するもの

とします。

このドキュメントをお客様が所属する企業または組織内において、商業用以外の目的のために内部で使用する場合のみ、クリエイティブコモンズライセンス (Creative Commons Attribution-Non Commercial License) に基づいて、お客様にこのドキュメントの使

用が許諾されます。本ライセンスのコピーをご覧になるには、http://creativecommons.org/licenses/by-nc/2.5/ (英語) を参照

するか、クリエイティブコモンズ (543 Howard Street, 5th Floor, San Francisco, California, 94105, USA) まで書面でご連

絡ください。

このドキュメントに記載されている内容は情報提供のみを目的としており、完全に現状のままで提供されるものです。このドキュメントは、

ユーザーの特定の環境に基づいて特定のユーザー向けに Microsoft Corporation が構築したカスタマイズサービスと情報を代用す

るものとして使用することはできません。法律で認められている範囲内において、マイクロソフトはいかなる種類の保証も行わず、一切の

明示的保証、黙示的保証、および法定的保証を放棄し、これらの資料または資料内の知的所有権に関連するいかなる種類の損害につ

いても一切責任を負わないものとします。

マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、またはその他の知的財産権を有する場合があ

ります。マイクロソフトの契約上で別途規定のない限り、このドキュメントはこれらの特許、商標、またはその他の知的財産に関するいか

なる権利もお客様に許諾するものではありません。

URL やその他のインターネット Web サイトの情報など、このドキュメントに記載されている情報は、将来予告なしに変更することがあり

ます。別途記載のない限り、このドキュメントで使用している会社、組織、製品、ドメイン名、電子メールアドレス、ロゴ、人物、場所、出来

事などの名称は架空のものです。

Microsoft、Active Directory、Excel、SharePoint、SQL Server、Visual Studio、Windows、および Windows Server は、米

国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

記載されている会社名、製品名には、各社の商標のものもあります。

お客様はマイクロソフトに対して、このドキュメントに関連するいかなる提案、コメント、またはその他のフィードバック (以下、「フィードバッ

ク」) を提供する義務はないものとします。ただし、お客様がマイクロソフトに対してフィードバックを提供する場合は、方法や目的を問わ

ず、フィードバックを使用、共有、および商品化する権利を無償でマイクロソフトに提供するものとします。また、フィードバックを含むマイ

クロソフトのソフトウェアやサービスの特定部分を使用し、あるいはこれと連携して使用するサードパーティの製品、テクノロジ、およびサ

ービスに必要なあらゆる特許権を無償でサードパーティに供与するものとします。マイクロソフトがお客様のフィードバックを取り入れた

ことにより、マイクロソフトがサードパーティに対しソフトウェアまたはドキュメントの使用許諾が必要なライセンスの対象となるフィードバ

ックについては、提供を控えてください。

Copyright. This publication includes COBIT 4.1, which is used by permission of ITGI. ©1996-2007 IT Governance Institute (ITGI). All rights reserved. COBIT is a registered trademark of Information Systems Audit and Control Association (ISACA) and ITGI 著作権。このドキュメント内の COBIT 4.1 に関する内容は ITGI の許可を得て使用しています。©1996-2007 IT Governance Institute (ITGI). All rights reserved. COBIT は、Information Systems Audit and Control Association (ISACA) およ

び ITGI の登録商標です。 Trademark. COBIT is a registered trademark of the Information Systems Audit and Control Association (ISACA) and the IT Governance Institute (ITGI). All rights reserved 商標。COBIT は、Information Systems Audit and Control Association (ISACA) および IT Governance Institute (ITGI) の登録商標です。All rights reserved. Neither ISACA nor ITGI endorse, sponsor, or are otherwise affiliated with this publication. Microsoft assumes sole responsibility for the use, reference, or inclusion of COBIT 4.1 and the accuracy of the use, reference, or inclusion of the COBIT 4.1 materials. Neither ISACA nor ITGI makes any representations or guarantees regarding the accuracy of the use, reference, or inclusion of COBIT 4.1 in this publication. Neither ISACA nor ITGI is affiliated in any manner with this publication or Microsoft. ISACA および ITGI はいずれも、このドキュメントを保証、支援するものではなく、いかなる関係もありません。COBIT 4.1 の使用、参

照、または包含、および COBIT 4.1 関連資料の使用、参照、または包含の正確性は、マイクロソフトが単独の責任を負うものとします。

ISACA および ITGI はいずれも、このドキュメントでの COBIT 4.1 の使用、参照、または包含の正確性に関して、いかなる表明また

は保証も行いません。ISACA および ITGI はいずれも、このドキュメントまたはマイクロソフトとはいかなる関係もありません。

This publication is translated into Japanese from the English language version by Microsoft.

このドキュメントは、マイクロソフトによって英語版から日本語に翻訳されたものです。

謝辞

このガイドは、ガバナンス、リスク、コンプライアンス (GRC) に関する専門家、監査人、コンサル

タント、およびそれぞれの組織で複雑な GRC の要件に取り組んでいる技術コミュニティのメン

バーの校閲を受けています。校閲にご協力くださった次の方々に深く感謝いたします。 John Howie 氏

Sr. Director Risk Program Management Global Foundation Services Group、Microsoft Corporation

Djalma Andrade 氏

Security Manager Microsoft Brazil

Jose Campos 氏

Director Worldwide Security Communities Trustworthy Computing Group、Microsoft Corporation

Michael Kranawetter 氏、CISA、CISM、CIPP

Chief Security Advisor Microsoft Germany

Douglas Lee 氏

Architect Microsoft Corporation

Jeffrey Miller 氏、CGEIT、CISSP

Senior Technical Program Manager Microsoft Corporation

Roin Nance 氏、CPA、CISA

COO and GRC Service Leader Edgile, Inc.

Betsy Norton-Middaugh 氏

Practice Manager Microsoft Corporation

Andy Shell 氏

Practice Manager Edgile, Inc.

Jerry J. Trammel 氏、MBA/MHA、CISSP、CHC

Director of Privacy and Security Compliance Kaiser Permanente

目次

謝辞 ................................................................................................................. iii I. はじめに ....................................................................................................... 5 概要 .................................................................................................................. 5 IT 価値提供の定義（バリュー・プロポジション） .................................................................. 5 概要とポイント ...................................................................................................... 5 II. フレームワークの説明 ........................................................................................ 7 Val IT .............................................................................................................. 7 COBIT ............................................................................................................. 8 MOF .............................................................................................................. 10 III. 各フレームワークの関係 ................................................................................... 13 MOF と Val IT ................................................................................................. 14 MOF と COBIT ................................................................................................ 15 IV. MOF を活用する方法 ..................................................................................... 16 V. まとめ ........................................................................................................ 23 付録 A – MOF インターフェイスと Val IT の詳細なマッピング .......................................... 24 付録 B – MOF コンポーネントと COBIT の詳細なマッピング ........................................... 33 付録 C – 用語集 ................................................................................................ 45 付録 D – リファレンス ........................................................................................... 48

I. はじめに

概要この『MOF と COBIT/Val IT の比較およびクロスインプリメーションガイド』では、IT 運用マネー

ジャーおよび IT 運用担当者が、MOF 4.0 における COBIT 4.1 (Control Objectives for Information and related Technology) および Val IT 2.0 ガバナンスフレームワークとの整合

性やサポートの状況を理解できるようにすることを目的としています。具体的には、MOF 4.0 を活用して、COBIT 4.1 および Val IT 2.0 フレームワークで定義されているガバナンス、リスク、コ

ンプライアンス (GRC) の目標を達成する方法に関するヒントやテクニックを紹介します。

IT 価値提供の定義（バリュー・プロポジション）

IT 運用マネージャーや担当者は、日常的に高品質で信頼性の高い IT サービスを管理し提供

する責任があります。IT は、日常の運用業務に加えて、企業のポリシーや標準、SOX、GLBA、European Union Data Protection Directive などの法的要件、PCI DSS などのレギュレーショ

ン、および ISO 27001 などのセキュリティ標準に準拠するためにも、そのニーズが高まってい

ます。

IT の運用は、このような多くの要件への準拠を証明しながら、サービスを管理しなければならな

いという課題に常に直面しています。これらの要件は、本質的にガバナンス、リスク、コンプライ

アンス (GRC) に分類されますが、多くの組織では、COBIT および Val IT ガバナンスフレーム

ワークを採用して GRC のニーズに対処しています。しかしこれらのフレームワークは、一般的

な企業や IT のガバナンスの指針を示すように設計されているため、IT の運用に必要な具体的

な運用上および技術上の指針は示していません。MOF が品質と信頼性の高いサービスの提

供という日常的な IT 運用に GRC の機能を統合する重要な役割を果たせるのが、このような

分野です。つまり、MOF によって、全体的なサービス管理ライフサイクルに GRC 機能を組み

込むための要素が IT 運用にもたらされます。GRC に専念する IT 技術者は、マイクロソフトが Web サイトを通じて提供している実践的で関連性の高い MOF ベースのサポート資料、ツール、

およびベストプラクティスを使用することにより、GRC 機能を実装することができます。その結

果、運用の優位性やコンプライアンスを実現するための作業を簡素化することができます。この

ドキュメントの目的は、このようなフレームワークの MOF へのマッピングを COBIT や Val IT の知識を有する IT 技術者に示し、彼らが MOF のサポート資料、ツール、およびベストプラクティ

スを活用できるようにすることです。

概要とポイント COBIT および Val IT のガバナンスフレームワーク以外に、MOF は ITIL サービス管理フレー

ムワークとも密接に関連しています。概念的に、MOF は "基盤となる運用フレームワーク" であ

り、Val IT や COBIT を、さらには ITIL (それ自体が運用フレームワーク) を支えるものである、

と見ることができます。つまり、MOF は、"戦略的な" 概念と "戦術的な" 方針を "運用" サービス

環境に導入することによって、COBIT および Val IT を直接サポートしています。図 1 は、この概

念を表しています。

はじめに 6

図 1 - MOF、Val IT、COBIT、および ITIL

このガイドでは、Val IT および COBIT の MOF へのマッピングに重点を置いています。MOF と ITIL はいずれも運用層のフレームワークであるため、そのマッピングについては別のガイドで

説明します。セクション II では、Val IT、COBIT、および MOF フレームワークの一般的な説明を

示します。そして、セクション III では、Val IT および COBIT の MOF との関連性について説明し

ます。セクション IV では、MOF を活用するためのヒントとテクニックを示すことにより、Val IT および COBIT のコンテキストにおいて GRC のニーズに対応できるようにします。MOF の活用方

法の説明にはシナリオを使用しています。推奨されるリソースへのリンクなどの参考資料一覧を

「付録 D」に記載しています。付録には、MOF と Val IT、あるいは COBIT との詳細なマッピングもあります。

II. フレームワークの説明ここでは、検討する 3 つのフレームワーク (Val IT 2.0、COBIT 4.1、および MOF 4.0) のそれぞ

れについて説明します。これにより、各フレームワークの用途や構造が全体的に把握できるよう

になります。各フレームワークの関連性を詳細に検討するには、各フレームワークの基本を理

解する必要があります。

Val IT Val IT は、Information Systems Audit and Control Association (ISACA) 傘下の独立系非営

利研究団体である IT Governance Institute (ITGI) によって開発および保守されています。Val IT は、IT価値提供の定義（バリュー・プロポジション）プロセスのグッドプラクティスを設定するフ

レームワークの必要性を認識した ITGI によって、COBIT に続いて開発されました。これは、IT投資によって実現したビジネス価値の測定、監視、および最適化に必要な構造が企業に提供さ

れることによって実現されました。したがって、Val IT フレームワークは、世界中の実務者や研

究者から集められた経験、既存および新規のプラクティスや手法、および急速に増加する研究

に基づいて開発されました。 Val IT は、総合的で実用的に組織されたフレームワークであり、IT 対応の投資によるビジネス

価値の創造を可能にします。COBIT と協調し補完するように設計されている Val IT によって、

実証済みの実践的なガバナンスの原則、プロセス、プラクティス、およびサポートガイドラインが

統合されます。それにより、取締役会、経営管理チーム、その他の企業リーダーは、IT 投資に

よる価値の実現を最適化できるようになります。つまり Val IT は、企業が適切な投資をしている

かどうかを把握し、投資から最大限の収益を得られているかどうかを判断するのに役立ちます。

COBIT は、そのような投資の結果開始されたプロジェクトが IT の観点から適切に実施されてい

るかどうかを企業が把握するのに役立ちます。ビジネスおよび IT の意思決定者は、Val IT と COBIT とを組み合わせることによって、総合的なフレームワークを獲得し、高品質な IT ベースサービスを提供するという価値を生み出せるようになります。 Val IT の原則は次のとおりです。

• IT 関連の投資は、投資のポートフォリオとして管理する。 • IT 関連の投資には、事業価値を達成する上で必要となるアクティビティが全て含まれ

る。 • IT 関連の投資には、経済的なライフサイクル全体を通じて管理する。 • 価値の提供の施策は、投資にさまざまな分類があるので、評価と管理の方法をそれぞ

れ変えて行う。 • 価値提供の施策では、主要な測定指標を定義し監視して、どのような変更や逸脱にも

迅速に対応できるようにする。 • 価値提供の施策では、能力の提供と事業面の効果が実現されるように、すべての利害

関係者を関与させ、適切な説明責任を割り当てる。 • 価値提供の施策は、継続的に監視、評価、および改善を行う。

http://www.isaca.org/�

http://www.itgi.org/�

フレームワークの説明 8

Val IT の原則は、価値を最大化するために以下の 3 つのドメインに適用されます。 • 価値ガバナンス - バリューマネジメント手順が企業内に確実に組み込まれ、経済的ラ

イフサイクル全体を通じて、IT 関連の投資から、最適な価値を確実に創出できるように

することです。 • ポートフォリオ管理 - IT 関連の投資のポートフォリオを通じて、企業が最適な価値を確

実に創出できるようにすることです。 • 投資管理 - 企業の個々のが、最適な価値に確実に貢献できるようにすることです。

各ドメインにおいて Val IT プロセスが定義されます (図 2 を参照)。

図 2 - Val IT のドメインとプロセス

Val IT は、各プロセスのサポートに必要となる一連の主要管理プラクティスを識別することによ

って、各プロセスを定義します。すべての主要管理プラクティスの一覧について

は、www.itgi.org/valitdownloads (英語)または、 http://itgi.jp/download.html（日本語）からダ

ウンロードできる Val IT 2.0 のドキュメントを参照してください。 Val IT は、さらに、企業がその環境において価値管理プロセスを設定および管理するための管

理ガイドラインを提供します。各 Val IT プロセスについて、Val IT 管理ガイドラインには次のも

のが含まれます。 • プロセスの入力と出力 • 役割と責任の明確化に役立つ RACI (実行責任、説明責任、コンサルティング、周知)

チャートを含む、アクティビティの説明 • 戦略、戦術、および運用レベルでの目標および測定基準

COBIT COBIT は、1996 年 4 月に ITGI によって最初に発行されました。それ以降、3 回の更新が行わ

れ、2007 年にリリースされた Edition 4.1 が最新バージョンになります。COBIT は、協会のメン

バー、業界の専門家、およびコントロールやセキュリティのプロフェッショナルの専門知識を集め

て作成されています。その内容は、IT のグッドプラクティスに関する最新の研究に基づいてい

ます。継続的に保守されることにより、経営幹部、マネージャー、IT 管理者、および監査人にと

http://www.itgi.org/valitdownloads�

http://itgi.jp/download.html�


って客観的で実用的なリソースになっています。COBIT の詳細については、全 COBIT 4.1 ドキュメントを www.isaca.org/cobit (英語)または http://itgi.jp/download.html（日本語）からダウン

ロード (無償) することをお勧めします。

Val IT が価値創造のプロセスに寄与する "目的地" のグッドプラクティスを設定するのに対し、

COBIT は "道のり" のグッドプラクティスを設定します。COBIT の目的は、基本的に、IT ガバナ

ンスをサポートするために、以下のことを実現する一般的なコントロールフレームワークを提供

することにあります。 • IT とビジネスの整合性がある。 • IT によってビジネスが実現され、収益が最大化される。 • IT リソースが、責任を持って使用されている。 • IT リスクが、適切に管理されている。

このような目的を果たすために、COBIT は、ビジネス重視、プロセス指向、コントロールベース、

および測定ドリブンという主な特性を持つよう構成されています。それにより、このフレームワー

クによって参照プロセスモデルおよび共通の言語が提供され、企業内のすべてのユーザーが IT アクティビティを表示し、管理できるようになっています。このフレームワークのプロセスモデ

ルは、次の 4 つのライフサイクルドメインで構成されています。

• 計画と組織 (PO) - 調達と導入 (AI) およびサービス提供とサポート (DS) ドメインに指

針を与えます。

• 調達と導入 (AI) - ソリューションを提供し、これをサービスに展開できるようにします。

• サービス提供とサポート (DS)。 - ソリューションを取得し、エンドユーザーが利用でき

るようにします。

• 監視と評価 (ME) - 提供した指針が順守されるようにすべてのプロセスを監視します。

COBIT では、これら 4 つのドメイン全体で、IT 組織で一般的に使用される 34 の IT プロセスを

特定します。これら 34 のプロセスそれぞれについて、サポートされるビジネス目標および IT 目標へのリンクが作成されます。目標の測定方法、重要なアクティビティや主要な成果物、および

これらの責任者に関する情報も提供されます。

COBIT では、34 のすべてのプロセスについてコントロール目標を定義すると共に、包括的なプ

ロセスや業務処理のコントロールも定義します。コントロール目標は、経営陣が考慮する必要が

あるすべての要件を提供し、各 IT プロセスが効果的に管理できるようにします。コントロール目

標には、次のような特長があります。 • ビジネス価値を高め、リスクを削減するための管理上のアクションのステートメントであ

る • ポリシー、手続き、プラクティス、および組織構造で構成されている • ビジネス目標が達成され、望ましくないイベントが防止または発見され、修正されること

を合理的に保証するように設計されているコントロール目標の詳細については、COBIT 4.1 のドキュメントを参照してください。

企業においてその IT システムの状況を理解し、提供する必要のある管理およびコントロールの

レベルを決定するために、COBIT では以下の測定手法を使用します。 • ベンチマーク評価を行い、必要な能力向上を特定できるようにする成熟度モデル • バランススコアカードの基準に照らして IT プロセスがビジネスと IT の目標をどう達成

しているかを測定する、IT プロセスの目標および測定基準 • 各プロセスにおいて、プロセスを実行し、パフォーマンスを測定するための活動目標

これらの測定手法の詳細は、COBIT 4.1 のドキュメントに記載されています。図 3 は、COBIT フレームワークのコンポーネントをまとめたものです。

http://www.isaca.org/cobit�



図 3 - COBIT フレームワーク

MOF Microsoft® Operations Framework (MOF) は、IT ソリューションおよびサービスの信頼性を得

るための包括的なガイドラインとなる統合されたベストプラクティス、原則、およびアクティビティ

で構成されます。MOF では、質問ベースのガイダンスが提供されるため、現在組織で必要なも

のや、将来 IT 組織を効率的で効果的に運用し続けるためのアクティビティを判断できます。 Microsoft Operations Framework のガイダンスには、IT サービスの管理に関連するすべての

アクティビティとプロセス (概念、開発、運用、保守、および最終的には廃止) が含まれています。

MOF では、これらのアクティビティとプロセスがサービス管理機能 (SMF) としてまとめられ、IT サービスのライフサイクルを反映したフェーズにグループ化されています。各 SMF はライフサイ

クルのフェーズ (計画、提供、運用、および管理層) に関連付けられており、そのフェーズの目


的をサポートする固有の目標と成果のセットが含まれています。IT サービスのあるフェーズから

次のフェーズへの移行は、管理レビューによって確認されるので、目標が適切な形で達成され、

IT の目標と組織の目標の整合性が保証されます。図 4 は、MOF の IT サービスライフサイク

ルのフェーズと、関連する SMF (箇条書きの項目) および管理レビュー (ひし形) を表していま

す。

ビジネス/ITの連携信頼性ポリシー財務管理

ポートフォリオ

可視化プロジェクト計画構築安定化展開

プロジェクト計画承認

出荷作業

ガバナンス、リスク、コンプライアンス変更と設定チーム

ポリシーと制御

運用サービス監視と制御顧客サービス問題管理

運用の健全性

サービスアラインメント

MOF の目標は、IT サービスの作成、運用、およびサポートに役立つガイダンスを IT 組織に提

供すると共に、許容レベルのリスクの下で予測されたビジネス価値を IT 投資が生み出せるよう

にすることです。 MOF の目的は、効率と効果を向上させるプロセスや標準的な手続きを定義するプロアクティブ

なモデルを使用して、ビジネスと IT が運用面での成熟に向けて協調できる環境を構築すること

です。MOF によって、意思決定やコミュニケーション、および IT サービスの計画、展開、サポー

トに対する論理的なアプローチが促進されます。MOF は http://microsoft.com/mof (英語) で公開されており、ダウンロードすることができます。

図 4 - MOF のサービスライフサイクルおよび SMF

http://microsoft.com/mof�

III. 各フレームワークの関係前のセクションでは、COBIT が価値創造のプロセスに寄与する "道のり" のグッドプラクティス

を設定し、Val IT が IT 投資から生まれるビジネス価値の最適化という "目的地" のグッドプラ

クティスを設定することを説明しました。MOF は、IT サービスの計画、提供、運用、および管理

の基本的要素を処理する運用フレームワークです。Val IT は、基本的に、企業ガバナンスの最

終状態と深い関係があり、COBIT は、その最終状態の達成に必要な IT コントロールに重点を

置いています。また、MOF は目的の企業ガバナンスの最終状態の達成に必要な IT コントロー

ルの運用面での実装 (サービス管理) の詳細を設定します。図 5 は、この関係を表しています。

図 5 - MOF、COBIT、Val IT の関係

図 5 では、Val IT が戦略 (適切なことを実施しているか) および評価 (利益が得られているか) という問題に対処し、COBIT が戦術的なレベルでアーキテクチャ (適切な方法で実行している

か) および提供 (適切に提供されているか) の問題に対処するという、各フレームワークの目的

が明確に説明されています。それに対して、MOF は運用的な実装の問題 (必要な最終状態の

各フレームワークの関係 14

機能を実現しているか) に対処します。1

MOF と Val IT

MOF で取り上げられる問題に対処するために、MOF の SMF および Val IT のプロセスやプラクティスとのインターフェイスがどのようになっているか、

またSMF が COBIT のプロセスやコントロールにどのようにマップされているかを見てみましょう。

次のセクションで説明するように、MOF の SMF は、対応する COBIT のプロセスおよびコントロ

ール目標に直接マップできますが、Val IT には直接マップできません。Val IT と MOF には重な

る機能がなく、MOF の SMF は、結果を入力として Val IT のプロセスに提供することにより、

Val IT のインターフェイスになります。MOF の SMF プロセスのサブセットのみが Val IT プロセ

スとのインターフェイスになります。図 6 は、高レベルのインターフェイスを表しています。

1 John Thorp 氏が著書『The Information Paradox』(富士通との共著、1998 年初版発行、2003 年改訂) で説明している「4 つの領域」に基づく

図 6 - MOF と Val IT の高レベルのインターフェイス

各フレームワークの関係 15

黒字で示されている SMF のみが Val IT とのインターフェイスになり、灰色で表示されている SMF はインターフェイスにはなりません。MOF と Val IT の詳細なインターフェイスの対応につ

いては、「付録 A」を参照してください。

MOF と COBIT プロセスのライフサイクルの観点から、MOF の 3 つのライフサイクルフェーズ (計画、提供およ

び運用) は、COBIT の 4 つのドメイン (計画と組織、調達と導入、サービス提供とサポート、およ

び監視と評価) に対応しています。同時に、MOF の管理層および管理レビューは、COBIT の 4 つのドメインすべてに対応しています。ただし、MOF と COBIT の各フレームワークは、互いに

他方には含まれていない IT 管理の側面にも対応しているので、完全に重なり合うものではな

いことに注意してください。図 7 は、高レベルのマッピングを表しています。

MOF の運用フェーズは、COBIT の監視と評価ドメインの一部にもマップすることがわかります。

MOF の 3 つのライフサイクルフェーズのそれぞれおよびその管理層において、SMF は各 COBIT ドメイン内の対応する COBIT のプロセスやコントロール目標にマップします。MOF と COBIT の詳細なマッピングについては、「付録 B」を参照してください。

図 7 – MOF と COBIT の高レベルのマッピング

IV. MOF を活用する方法 MOF と COBIT および Val IT との関係について理解したので、次に、組織の COBIT および Val IT 環境において MOF ベースのガイダンスやツールを活用する方法について説明します。この

ガイドの冒頭で、IT 運用部門において、関連性の高い、実践的な MOF の資料、ツール、およ

びベストプラクティスを使用することによって GRC 機能を実装できると説明しました。ここでは、

シナリオのほか、付録 A および B の相互参照の対応表を使用し、マイクロソフトからのヒントや

テクニックを交えながら、MOF の活用方法を詳しく説明します。

シナリオ MOF 自体および前述のツールやガイダンスを活用して、"ユーザーアカウント管理" など、特定

の IT サービスでの運用の優位性やコンプライアンスを実現できます。ここで仮定するのは、経営管理部門において、新しい従業員が業務の遂行に必要な IT リソー

スにアクセスするための専用個人情報が整備されるまでに数週間かかっている、というシナリオ

です。新しい従業員は、ビジネス部門から多数の苦情を受けています。この問題を回避するた

めに、その従業員は、既存の従業員の個人情報を共有するよう勧められています。これは、内

部監査では、個人の説明責任に関する企業ポリシーと外部規制に違反しており、問題であると

考えられています。また社外監査人は、「異動した従業員が、以前に割り当てられていたアクセ

ス権限を保持している」という深刻な調査結果を提出しています。「3 か月以上前に退職した従

業員のシステムアカウントがアクティブなままになっている」という調査結果も出ています。 IT 組織にはこのような問題を解決する責任があります。しかし、残念ながら、IT 部門では、提供

するサービスとしての "ユーザーアカウント管理" が明確に定義されておらず、このサービス領

域でパフォーマンスを測定できていません。"ユーザーアカウント管理" に関連する運用の多く

は、文書化されていない、IT 組織内での常識に基づいています。どこから、どのようにして、こ

のような問題を解決していけばよいのでしょうか。

MOF の活用運用、戦術、および戦略のレベル (MOF と COBIT と Val IT) を向上させるために、まず、MOF 自体をどのように活用できるかを見ていきます。MOF 4.0 を参照すると、IT 部門では、サービ

スの識別とマッピングのビジネス/IT 連携 SMF プロセスを調べることによって、計画フェーズを

開始できます。この SMF プロセスにおいて、IT 部門が "ユーザーアカウント管理" サービスの

サービスマップ作成の目標を設定できることがわかります。このサービスマップを、IT 組織全

体で使用することによって、SLA (サービスレベルアグリーメント)、OLA (運用レベルアグリー

メント)、テクノロジ、顧客、およびサービス提供への影響の間にある依存関係を明確にすること

ができます。サービスマップによって、サービスカタログに記述されているサービスの提供に必

要なリソース、サービスの提供者、およびサービスの利用者を識別することができます。サービスマップは、ビジネスとユーザーの観点から見た各サービスを表します。次の 5 つのセ

クションに分かれています。 • 顧客．サービスを使用する個人やグループの分類されたリスト。 • ハードウェア．サービスの提供に必要なハードウェアプラットフォーム。

MOF を活用する方法 17

• アプリケーション．サービスで必要なオペレーティングシステムおよびその他のアプリケーション。

• 設定．サービスが機能するために必要な設定。 • 内部/外部サービス．サービスの可用性を保証するコンポーネント。

このサービスマップを作成する際には、以下のアクティビティをお勧めします： • サービスと所有者を識別する。 • 主な顧客とユーザーを識別する。 • 主なサービスコンポーネントグループとサービス所有者をレビュー、区別、および分類

する。 • サービスマップを公開する。

このような各アクティビティにおいて、主な質問、各アクティビティの入力と出力、およびベストプラクティスなどのガイダンスが IT 部門に提供されます。たとえば、サービスと所有者を確認する

ために、IT 部門では以下のことを検討する必要があります。主な質問: • ビジネス部門ではこのサービスを何と呼んでいますか？ • IT 部門では、だれがビジネスサービスの説明担当ですか。そのサービスのビジネス担当

者はだれですか？ • IT サービス担当者は、IT 部門のサービス所有者がこのサービスに依存していることを知っ

ていますか？入力: • 既存の責任のマトリックス - 実行責任/説明責任/コンサルティング/周知 (RACI) チャートな

ど • ビジネスアプリケーションとサービスのリスト • インフラストラクチャサービスのリスト • 構成管理システム (CMS) • サービスポートフォリオ、サービスカタログ出力: • ビジネスおよび IT の担当者を含む、サービスおよびサービス所有者のリスト • IT に依存するすべてのサービス所有者のリスト • RACI マトリックスベストプラクティス: RACI、CMS、およびビジネスの連続性/障害回復 (BC/DR) 計画により、他の方法では確認で

きないサービスおよび所有者を確認します。

このようなアクティビティは、プロセスへの入力となる特定の資料が利用できるかどうかに依存し

ます。そのため、このような資料が存在せず、作成する必要があることが明らかになる場合があ

ります。これは、人に依存した知識（社会的な知識）を保守管理が可能なドキュメントやプラクテ

ィスに変換するのによい機会になります。基本的な成果物の作成に役立つテンプレートなど、関連する作業支援資料も IT 部門に提供さ

れます。たとえば、計画フェーズの SMF では、OLA、SLA、およびサービスカタログテンプレー

トなどの作業支援資料を利用できます。このような基本的な成果物の作成に加えて、"ユーザーアカウント管理" サービスのグラフィック

表現をサービスマップの形式で作成する必要があります。図 8 は、"ユーザーアカウント管理" サービスのサービスマップのサンプルを表しています。


ユーザーアカウント

管理サービス

顧客ハードウェアアプリケーション必要なサービス

内部顧客

• ビジネスユニット• IT• ボランティア

外部顧客

• 契約社員

• ベンダー

• パートナー

サーバー

• Dell サーバー • AS/400

ワークステーション

• Dell デスクトップ

• Dell ラップトップ

Identity Lifecycle Manager

Remedy

GPO

Workflow

設定

PeopleSoft

Workflow

Active Directory

Windows Server 2008

SQL Server 2005

Core Network Infrastructure

Services

SMTP

所有者• ITサービスオーナー• ビジネスオーナー

ここでは、前述のシナリオで MOF のガイダンスを使用して COBIT をサポートする方法について

説明します。「

MOF と COBIT

付録 B」の MOF と COBIT のマッピングを参照すると、COBIT の PO1 IT 戦略計

画の策定プロセスにマップする、計画フェーズにおけるビジネス/IT の連携 SMF のサービスの

識別とマッピングのプロセスの結果が、PO1.2 ビジネスと IT の整合および PO1.5 IT 実行計

画に関連付けられているコントロール目標を達成していることがわかります。"ユーザーアカウ

ント管理" サービスに関連する問題を解決するには、残りの MOF フェーズおよび管理層にわた

る他のさまざまな SMF も当然必要になります。ここでは、説明を簡潔にするために、潜在的に

適用されるすべての SMF について考察するのではなく、"ユーザーアカウント管理" サービス

に直接関係する COBIT の 2 つのコントロール目標、つまり、DS5.3 ID 管理と DS5.4 ユーザーアカウントの管理について説明します。再度、「付録 B」で MOF と COBIT のマッピングを参照

することにより、これら 2 つのコントロール目標が、それぞれ MOF の運用フェーズ、運用 SMF、運用作業の計画、運用作業の実行といったプロセスにマップされていることがわかります。

このため、IT 部門では、コントロール目標を直接満たすような結果 (たとえば、ユーザーアカウ

ント管理の運用ワークフローの手続きなど) を作成するために、これら 2 つの MOF SMF プロ

セスのアクティビティガイダンスに特に注意する必要があります。運用 SMF には、運用とサー

ビスの説明テンプレートというサポート資料があります。このシナリオでは、このテンプレートを

使用して非公式な知識をすべて文書化することにより、その使用を標準化および共通化するこ

図 8 - "ユーザーアカウント管理" サービスのサービスマップのサンプル


とができます。このドキュメントの内容によって、サービスの利用者、サポートチーム、サービス/サポートの可用性、サービスレベルの目標 (アカウントの準備や準備解除など)、測定基準、監

視、およびレポートも識別されます。このような要素の多くは、COBIT の関連するコントロール目

標の達成に役立ちます。

Val IT の場合も同様に、「

MOF と Val IT 付録 A」を参照することにより、Val IT の VG3 ポートフォリオの特性

の定義にマップされる、計画フェーズにおけるビジネス/IT の連携 SMF のサービスの識別とマ

ッピングプロセスが、VG3.1 ポートフォリオの種類の定義および VG3.2 カテゴリ (ポートフォリ

オ内) の定義に関連付けられる主要管理プラクティスのインターフェイスになることがわかりま

す。たとえば、MOF のサービスの識別とマッピングの結果によって、"ユーザーアカウント管理" サービスが "共有サービスポートフォリオ" の一部として識別される場合があります。さらに、こ

のサービスが必須として分類される場合もあります。 IT 部門が COBIT や Val IT の要件を満たそうとしているかどうかに関係なく、MOF リソースを

活用することにより、定義、文書化、および保守管理できるプロセス、ポリシー、標準、手続き、

ガイドライン、および補助的な成果物を通してこれらの要件を満たすことができます。MOF は SMF ごとに選択して使用できるように設計されていますが、このシナリオからわかるように、

SMF の間には入力/出力の依存関係があります。問題をより複雑にしているのは、IT 部門が、

競合および変化するいくつもの要件に直面しているということです。このような課題に対して、こ

こで紹介するヒントやテクニックを使うことによって、COBIT や Val IT 環境のサポートに MOF 関連リソースを活用する際に、GRC 機能を円滑に実装できるようになります。

固有環境への適合どのようなフレームワークにおいても、"そのまま" の (組織の文化やニーズに合わせて調整しな

い) 純粋な実装では意図されたメリットを完全に実現できないことは、ほぼ明らかです。MOF、COBIT、Val IT のいずれの場合も、組織では各フレームワークを十分に評価し、組織固有の環

境に適合させる必要があります。

組織で COBIT および Val IT フレームワークを採用している場合は、その実装が継続的に発生

する組織のビジネス目標と一貫性を保つように、これらのフレームワークの要素がカスタマイズ

されている可能性があります。したがって、これらのフレームワークと連携して MOF およびマイ

クロソフト関連のガイダンスを活用する場合は、GRC の専門家 (SME) に相談し、どのような変

更が行われているのか、およびフレームワークがどのように適用されているのかを理解すること

が重要です。たとえば、組織で運用されている実際のプロセスに合わせるために、COBIT のコ

ントロール目標をあるプロセスから別のプロセスに再配置することを選択している可能性があり

ます。このような場合には、「付録 A」に示されているコントロール目標のマッピングを、変更内

容に合わせて修正する必要があります。そして、新しく関連付けられる SMF プロセスを、このよ

うなコントロール目標に合わせて調整する必要があります。

組織での現在の COBIT または Val IT の実装に合わせて MOF ガイダンスを調整することに加

え、SMF を評価し、現在の運用状況に従って調整することも不可欠です。または、SMF プロセ

スに合わせて現在のプロセスのリエンジニアリングをすることも選択できます。たとえば、冗長な

プロセスを 1 つのプロセスにまとめることにより、既存のプロセスを改善できる可能性が見つか

る場合があります。逆に、運用状況に合わせて、複雑なプロセスをより小さく管理が容易なコン

ポーネントに分解することが必要になる場合もあります。


優先順位の設定 IT 部門は、COBIT および Val IT の要件をサポートするために、関連するガイダンスを評価およ

び調整することに加え、急激に変化するビジネスおよびテクノロジ環境で競合するプロジェクトを

処理しなければならない、という継続的な課題に直面しています。このような場合、MOF のガイ

ダンスを実践してみることができます。計画フェーズのビジネス/IT の連携 SMF、需要の識別と

ビジネス要求の管理プロセスから検討してください。次に、管理層の GRC SMF、IT ガバナンス

の確立およびリスクの評価、監視、および管理プロセスを検討してください。このような SMF プロセスのアクティビティに従うことにより、実行されるすべての作業がビジネスの優先順位に従っ

ていること、経営陣によって承認されていること、必要なリソースが提供されること、リスクに基

づいて管理されていることが確実となります。

リスクベースの優先順位付けを確認する方法として、たとえば、"リスクエクスポージャ" のレベ

ルを、リスクを緩和または排除するために必要な "作業および複雑さ" と比較することができま

す。比較をする際には、図 9 のようにマップを使用すると内容が明確になります。

図 9 - リスクベースの優先順位付けマップ

図の縦軸はリスク測度のレベルを表し、横軸はリスク測度を緩和または排除するために必要な

作業と複雑さのレベルを表しています。このヒートマップは、次の 4 つの一般的な領域に分類

されます。

• 実行しない- リスク測度が低く、緩和するために必要な作業や複雑さのレベルが高いこ

とを表します。リスクを解決するために必要な作業のコストがリスク測度エクスポージ


ャ自体のコストよりも高い状態です。この作業を行うことにビジネス上の意味はありま

せん。 • 低い優先順位- リスク測度が低く、必要な作業や複雑さが最小限であることを表します。

この領域に分類される作業は、スケジュールしておいて、都合のよいときに完了するこ

とができます。 • クイックヒット- リスク測度が高く、必要な作業や複雑さが最小限であることを表します。

この領域に分類される作業は、すぐに価値の高い利益、たとえば直接の投資回収率 (ROI) などを生み出すので、優先順位を高く設定する必要があります。

• 戦略的な投資- リスク測度が高く、必要な作業や複雑さのレベルが高いことを表します。

この領域に分類される作業は、通常、長期的な性質を持ち、複数のフェーズで発生し

ます。この作業は、優先順位を中から高に設定すると共に、戦略の達成に向けた進捗

状況を確認できるように公式なスケジュールを設定して監視および調整する必要があ

ります。

作業を目標としてこのようなカテゴリにまとめることによって、各目標の優先順位および順序を

示すロードマップを作成できます。

計画ロードマップができたら、次のステップは各目標に対する行動計画を作成することです。多くのク

イックヒットの目標については、プロジェクト計画は単純なものになります。一方、戦略的な投資

の目標では、通常、より複雑なマスタープロジェクト計画と、その下位の計画が必要になります。

MOF ガイダンスを活用する場合は、プロジェクト計画で文書化されるタスクの相互依存関係を

正確に見極めるために、各プロセスアクティビティの入力と出力を入念に評価します。各プロジ

ェクトについて、MOF の提供フェーズの可視化およびプロジェクト計画 SMF で提供されるガイ

ダンスの使用を検討します。提供フェーズで利用可能な関連する作業支援テンプレートとして、"ビジョンスコープ" テンプレートと "機能仕様" テンプレートがあります。このような作業支援資料

は、プロジェクトの目標、目的、前提条件、制約、依存関係、受け入れ基準 (重要な成功要因)、機能の要件や機能以外の要件を文書化するのに最適です。

最後に、プロジェクト管理オフィス (PMO) などの中心的な機能では、複数のプロジェクトを調整

する監視機能を想定しておく必要があります。これにより、組織では進行中のすべてのプロジェ

クトの全体像を把握し、プロジェクト間の問題やリソースの競合を回避または迅速に解決できま

す。さらに、PMO ではすべてのプロジェクトのステータスを追跡し、上級管理者にレポートする

ことができます。

成功の鍵 MOF を適切に活用するための鍵は、典型的な誤りを避けることです。たとえば、技術的なリス

クに甘んじている組織では、より多くのことをより早く取り入れる傾向があります。利益とリスクの

比較や、適切なプロジェクト計画を行わずに、多くの目標を積極的にクイックヒットとして分類す

る可能性があります。通常、このような場合は目標を達成できません。前の「優先順位の設定」

と「計画」で説明されているヒントに従うことにより、このような望ましくない結果を回避し、成功を

保証することができます。

間違いやすいもう 1 つの点は、プロセス間の相互依存関係や COBIT や Val IT のサポートとの

関連を考慮しないで、断片的に MOF ガイダンスを検討することです。MOF はモジュール化さ

れた形でも活用できますが、他のプロセスへの影響や他のプロセスからの影響を考慮しないと、


後で大幅な修正が必要になる可能性があります。これは、前の「調整」で説明されているヒント

に従うことによって、回避することができます。

これ以外にも、次のような成功へステップがあります。

十分に検討した企業文化との統合- 組織にとって最も大きな落とし穴の 1 つは、変化

が企業文化にうまく統合されないことでしょう。全社的に変化が受け入れられるように

するには、経営陣が変化の理由とメリット、変化が各個人にどのように影響するか、お

よび各個人が変化の成功にどのように寄与できるかを明確に示す効果的なコミュニケ

ーション計画を作成する必要があります。これには、変化のプロセスを通じて、タイムリ

ーなコミュニケーションと意味のある内容を提供する必要性を認識し、企業文化に沿っ

た形式で示す必要があります。明確な役割と責任- 役割と責任をあいまいにするのではなく、明確に定義、伝達、およ

び認識されるようにします。意味のある測定基準- 測定基準を定義するときには、測定基準が収集可能で、関連性

があり、定義された目標や目的に従ってパフォーマンスを測定することに意味があるこ

とを確認します。持続可能なプロセス- 高度に複雑なプロセスでは、持続するために多くの労力とリソー

スが必要になります。プロセスを管理しやすく、持続可能にするために、分解し、簡素

化することを検討します。一貫性のある実施- 確固としたポリシー、標準、手続き、およびプロセスが設定されて

も、その順守を強制する方法がなければ、コントロールは意図したとおりに機能してい

るという錯覚に陥ります。これを回避するには、MOF の管理レビューおよび管理層の SMF を検討します。

マイクロソフトテクノロジ環境における GRC 機能の活用のヒントとガイダンスについては、マイ

クロソフトの IT ガバナンスとコンプライアンスソリューションアクセラレータの Web ページ (http://www.microsoft.com/compliance) (英語) を参照してください。

特に、GRC ガイダンスについては、「IT コンプライアンス管理ガイド (英語)」を参照してください。

このガイドは、MOF に基づくアプローチによって GRC の要件と組織全体のガバナンス構想に

対処するのに役立ちます。このガイドのダウンロードには、IT Compliance Management Resources.xlsx という名前の Excel ブックが含まれています。このブックには、GRC 業務が割

り当てられた IT 部門に適用される高度な目標を一覧表示するワークシートが含まれています。

別のワークシートには、GRC 目標と、これらの目標を達成するための関連するマイクロソフト製

品の構成ガイダンスが含まれています。また、GRC 管理インベントリワークシートには、GRC 管理ガイダンスと GRC ソリューションを管理するための追加の製品ガイダンスが含まれていま

す。

有益な別の Microsoft Solution Accelerator には、「セキュリティリスク管理ガイド」もあります。

このガイドは、あらゆるユーザーが適切なセキュリティリスク管理プログラムを計画、構築、およ

び保守できるようになるのを支援します。このガイドも前述の URL の Web サイトで入手できま

す。

http://www.microsoft.com/compliance�


V. まとめ COBIT および Val IT 環境のサポートにおいて MOF が提供する価値を説明するために、この

ガイドでは、各フレームワークの基本事項、MOF と COBIT や Val IT との関係、このような関係

の相互参照マップ (付録 A と B)、および MOF と補助的なマイクロソフトのガイダンスの活用方

法に関するヒントを提供してきました。

各フレームワークが、それぞれ異なる観点から、異なる目的のために設計されていることを説明

しました。Val IT の重点は企業ガバナンス (戦略) に、COBIT の重点は IT コントロール (戦術) に、MOF の重点はサービス管理 (運用) にあります。MOF の SMF プロセスは COBIT のコント

ロール目標に直接マップできますが、Val IT に直接マップすることはできません。Val IT の場合、

MOF の SMF プロセスの一部だけが Val IT のプロセスおよび主要管理プラクティスのインター

フェイスになります。

次に、事例のシナリオを使用して、MOF ガイダンスについて少し詳しく説明しました。このガイダ

ンスには、主な質問事項、アクティビティの入力と出力、およびベストプラクティスなど、各 SMF プロセスの詳細なアクティビティが含まれていることを示しました。各 MOF フェーズでは、カスタ

マイズが容易で、実際に使用できるドキュメントおよびワークシートテンプレートなどのサポート

資料やツールを利用できます。

また、MOF リソースを活用する際の調整、優先順位の設定、計画、および成功の鍵についての

ヒントやテクニックも示しました。これらのヒントやテクニックを使用することにより、各組織の環

境で MOF ガイダンスを適切に活用できるようになります。マイクロソフトは、IT ガバナンスとコ

ンプライアンスソリューションアクセラレータの Web サイトでも、MOF に基づく特定の GRC ガイダンスを提供しています。

このような全体的な情報に基づき、それぞれの IT 環境において MOF を活用し、マイクロソフト

のガイダンスに従うことによって、実践的なメリットを得ることができるでしょう。特に、組織にとっ

ての主なメリットは、COBIT および Val IT 要件のサポートする際の IT 運用で GRC 機能を有

効にできることにあります。

付録 A – MOF インターフェイスと Val IT の詳細なマッピング

この付録の表は MOF のフェーズごとにまとめられており、関連する Val IT コンポーネント (該当する場合) にマップされた個々の SMF インターフェイスをすべて示しています。MOF と Val IT には重なる部分がなく、すべての SMF プロセスが Val IT プロセスへのインターフ

ェイスを持つわけではないことに留意してください。インターフェイスのない SMF プロセスは、

表内では、グレーの背景色のセルに "該当なし" と記載されています。

MOF Val IT

フェーズ SMF プロセスドメインプロセス主要管理プラクティス

計画ビジネス/IT の連携

IT サービス

戦略の定義ポートフォリ

オ管理 PM1 戦略的方針を策

定し、投資ミックスの目

標を設定する。

PM1.1 事業戦略と達成目標の

明確さをレビューし、確認

する。

PM1.2 IT が事業戦略にもたらす

影響と支援の機会を特定する。 PM1.4 ビジネス戦略と目標を IT 戦略と目標に変換する

サービスの

識別とマッピング

価値ガバナ

ンス VG3 ポートフォリオの特

性を定義する

VG3.1 ポートフォリオの種類を定

義する VG3.2 分類(ポートフォリオ内)を定

義する

需要の識別

とビジネス要

求の管理ポートフォリ

オ管理

PM1 戦略的方針を策

定し、投資ミックスの目

標を設定する。 PM1.3 適切な投資ミックスを定義

する

PM4 資金投入するプロ

グラムを評価し、選択す

る。

PM4.1 プログラムのビジネスケー

スを評価し、相対的点数を付ける。

PM4.2 投資ポートフォリオの全体

概要を作成する。

PM4.3 投資の意思決定を行い、伝

達する。

PM4.4 選択したプログラムの節目

を定め、資金を割り当てる。

PM4.5 事業目標、予測、予算を調

整する。

付録 A – MOF インターフェイスと Val IT の詳細なマッピング 25

MOF Val IT


計画

ビジネス/IT の連携

IT サービスポートフォリ

オの作成と評

価価値ガバナ

ンス

VG3 ポートフォリオの特

性を定義する

VG3.3 個々の分類ごとに評価基

準を策定し、伝達する。

VG3. 基準を重み付けする。 VG3.5 個々の分類ごとに節目での

レビューとその他のレビューに関す

る要件を定義する。

サービスレベル管理

VG5 有効なガバナンス

監視を確立する。

VG5.1 主要な測定指標を特定す

る。

VG5.2 情報収集のプロセスとアプ

ローチを定義する。

VG5.3 報告の方法と技法を定義

する。

信頼性

計画

ポートフォリ

オ管理 PM6 投資ポートフォリオ

の成果を最適化する。

PM6.1 投資ポートフォリオの成果

を最適化する。

PM6.2 投資ポートフォリオの優先

順位を見直す。

実装

計画の監視

と改善

ポリシー

ポリシーが必

要な領域の

決定

価値ガバナ

ンス

VG2 プロセスを定義し、

導入する。

VG2.2 現行プロセスの品質と適用

範囲を評価する

VG2.3 プロセス要件を特定し、優

先順位を付ける。

ポリシーの作

成 VG2.4 プロセスを定義し、文書化

するポリシーの検

証

ポリシーの公

開 VG2.5 役割、実行責任、説明責任

を定め、実施し、伝達する。

VG2.6 組織構造を確立する

ポリシーの適

用および評

価


監視を確立する。 VG5.4 成果改善策を明確化し、監

視する

ポリシーのレ

ビューおよび

保守

財務管理サービス要件

の確立およ

び予算計画

VG4 バリューマネジメン

トと企業財務計画を整

合し、統合する。


る


ローチを定義する VG4.3 報告の方法と技法を定義

する。

計画財務管理

サービス要件

の確立およ

び予算計画ポートフォリ

オ管理 PM2 資金源と調達可能

性を特定する。 PM2.1 投資資金全体を確定する

財務管理

価値ガバナ

ンス


トと企業財務計画を整

合し、統合する。

VG4.4 バリューマネジメントのため

の最適な財務計画手順を導入す

る。 IT アカウント

およびレポー

トの実行

管理レビュ

ーサービスの連

携 VG5 有効なガバナンス


視する。


MOF Val IT


ポートフォリ

オ管理ポートフォリ

オ管理

PM5 投資ポートフォリオ

の成果を監視し、報告

する。 PM5.1 投資ポートフォリオの成果

を監視し、報告する。


の成果を最適化する。 PM6.1 投資ポートフォリオの成果

を最適化する。 PM6.2 投資ポートフォリオの優先



MOF Val IT


提供

可視化

コアチーム

の組織

投資管理

IM1 初期段階のプログ

ラムコンセプトに基づく

ビジネスケースを作成

し、評価する。

IM1.1 投資機会を認識する。

ビジョン/スコ

ープドキュメ

ントの作成

IM1.2 初期段階のプログラムコン

セプトに基づくビジネスケースを作

成する。

ビジョン/スコ

ープドキュメ

ントの承認

IM1.3 初期段階のプログラムコン

セプトに基づくビジネスケースを評

価する。

プロジェク

ト計画

製品とテクノ

ロジの評価 IM2 候補となるプログラ

ムと導入オプションを理

解する。

IM2. 候補となるプログラムについ

て明確で完全な理解を得る。 IM2.2 代替案の分析を実施する。

機能仕様の

作成 IM4 ライフサイクル全体

のコストと効果を策定す

る。

IM4.1ライフサイクル全体の

コストと効果を特定する。

IM4.2 効果実現計画を策定する。 IM4.3 適切なレビューを実施し、承

認を得る。

マスタープロ

ジェクト計画

のパッケージ

化

IM5 候補となるプログラ

ムの詳細なビジネスケ

ースを作成する。

IM5.1 プログラムの詳細なビジネ

スケースを作成する。 IM5.2 明確な説明責任と担当責任

を割り当てる。

IM3 プログラム計画を

策定する。 IM3.1 プログラム計画を策定する。マスタースケ

ジュールの作

成

プロジェクト

計画の承認

されたマイル

ストーンのレ

ビュー

IM5 候補となるプログラ

ムの詳細なビジネスケ

ースを作成する。 IM5.3 適切なレビューを実施し、承

認を得る。

構築

開発の準備

IM6 プログラムを開始

し、管理する。 IM6.2 プログラムを管理する

ソリューション

の開発

リリースの準

備

スコープ完成

マイルストー

ンのレビュー

安定化

リリース候補

の安定化

パイロットテストの実施

リリース準備

マイルストー

ンのレビュー

展開コアコンポー

ネントの展開


MOF Val IT


サイトの展開

展開の安定

化

提供

展開展開完成マイ

ルストーンの

レビュー

投資管理

IM6 プログラムを開始

し、管理する。 IM6.2 プログラムを管理する。

管理レビュ

ー

プロジェクト

計画承認

IM7 運用 IT ポートフォ

リオを更新する IM7.1 運用 IT ポートフォリオを更

新する。

IM8 ビジネスケースを更

新する。 IM8.1 ビジネスケースを更新する。

リリースの準

備 IM6 プログラムを開始

し、管理する。 IM6.2 プログラムを管理する。


MOF Val IT


運用

運用

運用作業要

件の定義

該当なし該当なし該当なし

運用作業指

示の構築

運用作業の

計画

運用作業の

実行

運用作業指

示の保守

運用作業の

管理

サービス監

視と制御

サービス監視

要件の定義価値ガバナ

ンス VG5 有効なガバナンス



る


ローチを定義する

VG5.3 報告の方法と技法を定義

する

新しいサービ

スの実装該当なし該当なし該当なし

継続的な監

視

価値ガバナ

ンス VG5 有効なガバナンス


視する

ポートフォリ

オ管理 PM5 投資ポートフォリオ


する。

PM5.1 投資ポートフォリオのパフ

ォーマンスを監視およびレポートす

る

制御とレポー

ト

価値ガバナ

ンス VG5 効果的なガバナン

スの監視を確立する VG5.4 パフォーマンス向上アクショ

ンを識別および監視する

ポートフォリ

オ管理 PM5 投資ポートフォリ

オのパフォーマンスを監

視およびレポートする

PM5.1 投資ポートフォリオのパフ

ォーマンスを監視およびレポートす

る

顧客サービ

ス

ユーザーの

要求の記録

該当なし該当なし該当なし

ユーザーの

要求の分類

要求の解決

解決の確認

と要求処理

の完了

適切なサービ

スの実施投資管理 IM9 プログラムを監視

し、報告する。 IM9.3 運用(サービス提供)の成果

について監視し、報告する。

問題管理

問題の文書

化

該当なし該当なし該当なし問題のフィル

ター処理

問題の調査

運用問題管理成果の調査投資管理 IM9 プログラムを監視




MOF Val IT


管理レビュ

ー稼働状態

ポートフォリ

オ管理



する。


を監視し、報告する




を最適化する PM6.2 投資ポートフォリオの優先


投資管理 IM9 プログラムを監視




MOF Val IT


管理層ガバナン

ス、リスク、

コンプライ

アンス

IT ガバナン

スの確立価値ガバナ

ンス

VG1 情報に裏付けられ

た確固たるリーダーシッ

プを確立する。

VG1.1 IT の意義とガバナンスの

役割に関する理解を得る。 VG1.2 有効な指揮命令系統を確

立する。 VG1.3 指導者層のフォーラムを設

立する。 VG1.4 企業にとっての価値を定義

する。 VG1.5 主要なビジネス達成目標に

基づき事業と IT 戦略の整合およ

び統合を確保する。

VG2 プロセスを定義し、

導入する。

VG2.1 価値ガバナンスのフレーム

ワークを定義する。 VG2.2 現行プロセスの品質と適用

範囲を評価する。 VG2.3 プロセス要件を特定し、優

先順位を付ける。 VG2.4 プロセスを定義し、文書化

する。VG2.5 役割、実行責任、説

明責任を定め、実施し、伝達する。

VG2.6 組織構造を確立する。




る。 VG5.2 情報収集のプロセスとアプ

ローチを定義する。 VG5.3 報告の方法と技法を定義

する。

リスクの評

価、監視、お

よび管理

VG5.4 成果改善策を明確化し、監

視する。

ポートフォリ

オ管理



する。


を監視し、報告する。




を最適化する。

PM6.2 投資ポートフォリオの優先


管理層

ガバナン

ス、リスク、

コンプライ

アンス

リスクの評

価、監視、お

よび管理投資管理

IM9 プログラムを監視

し、報告する。

IM9.1 プログラム(ソリューション提

供)の成果について監視し、報告す

る。 IM9.2 ビジネス(効果/成果)の成果

について監視し、報告する。 IM9.3 運用(サービス提供)の成果


IM10 プログラムを終了

する。 IM10.1 プログラムを終了する。

指示の順守該当なし該当なし該当なし

変更と構成

構成のベー

スラインの定

義該当なし該当なし該当なし

変更の開始


MOF Val IT


変更の分類

変更の承認

とスケジュー

ル

変更の作成

とテスト

変更のリリー

ス

変更の検証

とレビュー

チーム必要な変更

の識別ポートフォリ

オ管理 PM3 人的資源の調達

可能性を管理する。

PM3.1 事業部門の人的資源の一

覧を作成し、維持する PM3.2 (事業部門の人的資源につ

いて)現在および将来の需要を理

解する

PM3.3（事業部門の人的資源につ

いて現在および将来の需要間の)不足状況を特定する

PM3.4 (事業部門の人的資源につ

いて)戦術計画を作成し、維持す

る。 PM3.5 (事業部門の要員配置を)監視、レビュー、調整する PM3.6 IT 関連の人的資源の一覧

を作成し、維持する PM3.7 (IT 関連の人的資源につい

て)現在および将来の需要を理解

する PM3.8 IT 関連の人的資源につい

て現在および将来の需要間の)不足状況を特定する

PM3.9 (IT 関連の人的資源につい

て)戦術計画を作成し、維持する

管理層

チーム

実行責任の

割り当てポートフォリ

オ管理 PM3 人的資源の調達

可能性を管理する。 PM3.10 (IT 部門の要員配置を)監視、レビュー、調整する。役割の割り

当て

管理レビュ

ーポリシーと制

御価値ガバナ

ンス


ト手順を継続的に改善

する

VG6.1 得られた教訓を取り入れ

る。

付録 B – MOF コンポーネントと COBIT の詳細なマッピング

この付録の表は MOF のフェーズごとにまとめられており、関連する COBIT コンポーネント (該当する場合) にマップされた個々の SMF をすべて示しています。一部の SMF プロセス

は、対応する COBIT ドメインではなく、別の COBIT ドメインにマップされています。たとえば、

計画フェーズのビジネス/IT の連携 SMF のサービスレベル管理プロセスは、COBIT のサ

ービス提供とサポートドメインの DS1 プロセスにマップされています。逆に、特定の COBIT プロセスが対応する MOF フェーズにマップされていない場合もあります。たとえば、COBIT の PO10 プロジェクト管理プロセスは、MOF の計画フェーズの SMF ではなく、MOF の提

供フェーズの可視化とプロジェクト計画の SMF にマップされています。このような項目に

ついて、各 MOF フェーズの表の最後に記載しています。

MOF COBIT

フェーズ SMF プロセスドメインプロセスコントロール目標

計画

ビジネス/IT の連携

IT サービス

戦略の定義

計画と組織

PO1 IT 戦略計画の策

定

PO1.1 IT 価値の管理 PO1.2 ビジネスと IT の整合

PO1.4 IT 戦略計画

サービスの識

別とマッピン

グ PO1 IT 戦略計画の策

定 PO1.2 ビジネスと IT の整合

PO1.5 IT 実行計画

需要の識別

とビジネス要

求の管理 PO1 IT 戦略計画の策

定 PO1.2 ビジネスと IT の整合 PO1.5 IT 実行計画

IT サービスポートフォリ

オの作成と評

価

PO1 IT 戦略計画の策

定

PO1.3 現在の能力と成果の評価

サービスレベル管理

サービス提

供とサポート DS1 サービスレベルの

定義と管理

DS1.1 サービスレベル管理フレー

ムワーク DS1.2 サービスの定義

DS1.3 サービスレベルアグリーメ

ント

DS1.4 オペレーショナルレベル・ア

グリーメント

信頼性計画計画と組織

PO2 情報アーキテクチ

ャの定義

PO2.1 企業の情報アーキテクチャモデル

PO2.2 企業データディクショナリ

およびデータ構文規則

PO2.3 データ分類体系

PO3 技術指針の決定 PO3.1 技術指針計画の策定

PO3.2 技術インフラストラクチャ計

画

計画信頼性実装計画と組織

PO2 情報アーキテクチ

ャの定義 PO2.4 インテグリティの管理

PO3 技術指針の決定 PO3.4 技術標準 PO3.5 IT アーキテクチャ委員会

付録 B – MOF コンポーネントと COBIT の詳細なマッピング 34

MOF COBIT


計画の監視

と改善

PO3 技術指針の決定 PO3.3 将来の動向および規制の

モニタリング

PO8 品質管理

PO8.1 品質管理システム

PO8.2 IT 標準および品質の実践

基準

PO8.3 開発および調達基準 PO8.4 顧客中心

PO8.5 継続的改善 PO8.6 品質の測定、監視、および

レビュー

ポリシー

ポリシーが必

要な領域の

決定

PO6 マネジメントの意

図と指針の周知 PO6.1 IT ポリシーおよび統制環

境 PO6.2 企業の IT リスクおよび内

部統制のフレームワーク

PO9 IT リスクの評価と

管理

PO9.1 IT リスクマネジメントとビジ

ネスリスクマネジメントの整合 PO9.2 リスクをめぐる状況の明確

化

PO9.3 イベントの特定 PO9.4 リスク評価

PO9.5 リスクへの対応 PO9.6 リスク対応実行計画の維持

およびモニタリング

ポリシーの作

成 PO6 マネジメントの意

図と指針の周知 PO6.3 IT ポリシーの管理

ポリシーの検

証 PO6 マネジメントの意


ポリシーの公

開 PO6 マネジメントの意

図と指針の周知 PO6.3 IT ポリシーの管理 PO6.5 IT 目標と指針の周知

ポリシーの適

用および評

価


図と指針の周知 PO6.3 IT ポリシーの管理 PO6.4 ポリシー、標準、および手

続きの展開

計画

ポリシーポリシーのレ

ビューおよび

保守

計画と組織



財務管理

サービス要件

および計画

予算の確立

PO5 IT 投資の管理 PO5.1 IT 財務管理フレームワーク PO5.2 IT 予算内での優先順位の

決定

財務管理 PO5 IT 投資の管理 PO5.3 IT 予算編成

PO5.4 コスト管理

IT アカウント

およびレポー

トの実行

PO5 IT 投資の管理 PO5.4 コスト管理

PO5.5 便益管理

管理レビュ

ー

サービスの連

携サービス提

供とサポート DS1 サービスレベルの

定義と管理 DS1.5 サービスレベル達成状況

の監視と報告

ポートフォリ

オ管理計画と組織 PO1 IT 戦略計画の策

定 PO1.6 IT ポートフォリオの管理


COBIT の注:

PO4 IT プロセスと組織およびそのかかわりの定義のプロセス、およびコント

ロール目標は、MOF の管理層の GRC SMF にマップされます。 COBIT の PO7 IT 人材の管理のプロセスおよびコントロール目標は、MOF の管理層

のチーム SMF にマップされます。 COBIT の PO10 プロジェクト管理のプロセスおよびコントロール目標は、MOF の提供

フェーズの可視化およびプロジェクト計画 SMF、および管理層の IT ガバナンスの確

立 SMF にマップされます。


MOF COBIT


提供

可視化

コアチーム

の組織

計画と組織 PO10 プロジェクト管理

PO10.4 利害関係者の関与

ビジョン/スコ

ープドキュメ

ントの作成

PO10.5 プロジェクト範囲の記述

ビジョン/スコ

ープドキュメ

ントの承認

PO10.6 プロジェクトの各フェーズ

の開始

プロジェク

ト計画

製品とテクノ

ロジの評価

調達と導入

AI1 コンピューター化対

応策の明確化

AI1.1 ビジネスの機能的および技

術的要件の定義と保守 AI1.2 リスク分析報告

AI1.3 実現可能性調査および代替

対応策の策定 AI1.4 要件および実現可能性の決

定および承認

AI2 アプリケーションソフトウェアの調達と保守

AI2.1 概要設計

AI3 技術インフラストラ

クチャの調達と保守

AI3.1 技術インフラストラクチャの

調達計画

AI3.2 インフラストラクチャ資源の

保護と可用性

機能仕様の

作成

AI1 コンピューター化対

応策の明確化 AI1.1 ビジネスの機能的および技

術的要件の定義と保守

AI2 アプリケーションソフトウェアの調達と保守

AI2.2 詳細設計 AI2.9 アプリケーション要件の管理

AI2.10 アプリケーションソフトウェ

アの保守

マスタープロ

ジェクト計画

のパッケージ

化

AI5 IT 資源の調達

AI5.1 調達のコントロール AI5.2 サービスプロバイダとの契約

の管理 AI5.3 サービスプロバイダの選択

AI5.4 IT 資源の調達

AI7 ソリューションおよ

びその変更の導入と認

定

AI7.2 テスト計画

AI7.3 導入計画 AI7.5 システムおよびデータの変

換

提供プロジェク

ト計画

マスタープロ

ジェクト計画

のパッケージ

化

計画と組織

PO10 プロジェクト管理

PO10.7 統合プロジェクト計画

PO10.8 プロジェクトの資源

マスタースケ

ジュールの作

成

プロジェクト

計画承認マイ

ルストーンの

レビュー PO10 プロジェクト管理

PO10.9 プロジェクトのリスクマネ

ジメント

PO10.10 プロジェクトの品質計画


MOF COBIT


構築

開発の準備

調達と導入

AI3 技術インフラストラ

クチャの調達と保守 AI3.3 インフラストラクチャの保守

AI3.4 実現可能性テスト環境



定

AI7.4 テスト環境

ソリューション

の開発 AI2 アプリケーションソフトウェアの調達と保守

AI2.3 業務処理統制および可監査

性

AI2.4 アプリケーションのセキュリ

ティおよび可用性

AI2.5 調達したアプリケーションソフトウェアの構成および導入

AI2.7 アプリケーションソフトウェア

の開発

リリースの準

備

AI2.6 既存システムの大幅なアッ

プグレード

AI2.8 ソフトウェアの品質保証

サービス提

供とサポート DS7 利用者の教育と研

修 DS7.1 教育と研修のニーズの特

定

スコープ完成

マイルストー

ンのレビュー計画と組織 PO10 プロジェクト管理


ジメント

安定化

リリース候補

の安定化調達と導入



定

AI7.6 変更のテスト

パイロットテストの実施

AI7.7 最終受け入れテスト

リリース準備

マイルストー

ンのレビュー計画と組織 PO10 プロジェクト管理


ジメント

展開コアコンポー

ネントの展開調達と導入 AI4 運用と利用の促進

AI4.1 運用上のソリューションの計

画 AI4.2 ビジネス部門の管理者への

知識の移転 AI4.3 エンドユーザーへの知識の

移転 AI4.4 運用スタッフおよびサポートスタッフへの知識の移転

提供

展開

コアコンポー

ネントの展開

サービス提

供とサポート DS7 利用者の教育と研

修 DS7.2 教育と研修の実施

DS7.3 受講研修内容の評価

調達と導入 AI7 ソリューションおよ


定

AI7.8 本番環境への移行サイトの展開

展開の安定

化 AI7.6 変更のテスト

展開完成マイ

ルストーンの

レビュー

AI7.9 導入後レビュー

管理レビュ

ー

プロジェクト

計画承認計画と組織 PO10 プロジェクト管理

PO10.6 プロジェクトの各フェーズ

の開始 PO10.9 プロジェクトのリスクマネ

ジメントリリースの準

備


COBIT の注:

AI6 変更管理のプロセスおよびコントロール目標は、MOF の管理層の変更

と構成 SMF にマップされます。


MOF COBIT


運用運用

運用作業要

件の定義

サービス提

供とサポート

DS13 オペレーション管

理

DS13.1 オペレーション手続きと指

示運用作業指

示の構築

運用作業の

計画

DS13.2 業務のスケジュール策定 DS13.3 T インフラストラクチャのモ

ニタリング DS13.4 機密文書と出力デバイス

DS13.5 ハードウェアの予防的保

守

DS4 継続的なサービス

の保証

DS4.1 IT 継続フレームワーク DS4.1 IT 継続計画

DS4.3 重要な IT 資源

DS5 システムセキュリ

ティの保証

DS5.1 IT セキュリティの管理

DS5.2 IT セキュリティ計画 DS5.3 ID 管理

DS5.6 セキュリティインシデントの

定義

DS6 費用の捕捉と配賦 DS6.1 サービスの定義

DS11 データ管理

DS11.1 データ管理におけるビジ

ネス要件 DS11.6 データ管理におけるセキ

ュリティ上の要件

DS12 物理的環境の管

理 DS12.1 サイトの選定と配置

運用作業の

実行 DS13 オペレーション管

理

DS13.2 業務のスケジュール策定 DS13.3 IT IT インフラストラクチャ

のモニタリング

DS13.4 機密文書と出力デバイス DS13.5 ハードウェアの予防的保

守

運用運用運用作業の

実行サービス提

供とサポート DS4 継続的なサービス

の保証

DS4.4 IT 継続計画の保守

DS4.5 IT 継続計画のテスト DS4.6 IT 継続計画に関する研修

DS4.7 IT 継続計画の配布 DS4.8 IT サービスの復旧および

再開 DS4.9 遠隔地におけるバックアッ

プ保管施設


MOF COBIT



ティの保証

DS5.4 ユーザーアカウントの管理

DS5.5 セキュリティのテスト、監

視、モニタリング

DS5.7 セキュリティ技術の保護 DS5.8 暗号鍵の管理 DS5.9 不正ソフトウェアの阻止、発

見、および是正 DS5.10 ネットワークのセキュリテ

ィ DS5.11 機密データの交換

DS6 費用の捕捉と配賦 DS6.2 IT 財務管理 DS6.3 費用モデルの策定と費用

請求

DS11 データ管理

DS11.2 データの保管と保持の調

整 DS11.3 メディアライブラリ管理シ

ステム DS11.4 廃棄

DS11.5 バックアップと復元


理

DS12.2 物理的なセキュリティ対策

DS12.3 物理的アクセス DS12.4 環境的要因からの保護

運用作業指

示の保守 DS13 オペレーション管

理 DS13.1 オペレーション手続きと指

示

運用作業の

管理

DS4 継続的なサービス

の保証 DS4.10 再開後のレビュー


ティの保証 DS5.5 セキュリティのテスト、監

視、モニタリング

運用

運用運用作業の

管理

サービス提

供とサポート

DS6 コストの捕捉と配

賦 DS6.4 費用モデルの保守


理 DS12.5 物理的施設の管理


理 DSIT インフラストラクチャのモニタ

リング

サービス監

視と制御

サービス監視

要件の定義

DS1 サービスレベルの

定義と管理 DS1.2 サービスの定義

DS1.3 サービスレベル・アグリーメ

ント

DS2 サードパーティの

サービスの管理 DS2.1 すべてのサービスプロバイ

ダとのリレーションシップの特定

DS3 性能とキャパシテ

ィの管理

DS3.1 性能とキャパシティの計画

策定

DS3.2 現状の性能とキャパシティ DS3.3 将来の性能とキャパシティ

新しいサービ

スの実装 DS3.4 IT 資源の可用性

継続的な監

視 DS1 サービスレベルの

定義と管理 DS1.5 サービスレベル達成状況の

モニタリングと報告


MOF COBIT



サービスの管理 DS2.4 サービスプロバイダの成果

のモニタリング


ィの管理 DS3.5 モニタリングと報告

制御とレポー

ト


定義と管理

DS1.5 サービスレベル達成状況の

モニタリングと報告 DS1.6 サービスレベル・アグリーメ

ントと請負契約の見直し


サービスの管理

DS2.2 サービスプロバイダとのリ

レーションシップ管理 DS2.3 サービスプロバイダにかか

わるリスクの管理



顧客サービ

ス

ユーザーの

要求の記録

DS8 サービスデスクと

インシデントの管理

DS8.1 サービスデスク

DS8.2 顧客からの問い合わせの

登録ユーザーの

要求の分類

要求の解決 DS8.3 インシデントエスカレーショ

ン

解決の確認

と要求処理

の完了

DS8.4 インシデントのクローズ

運用

顧客サービ

ス適切なサービ

スの実施

サービス提

供とサポート


インシデントの管理 DS8.5 報告と傾向分析

問題管理

問題の文書

化

DS10 問題管理

DS10.1 問題の特定と分類問題のフィル

ター処理

問題の調査 DS10.2 問題の追跡と解決

成果の調査 DS10.3 問題のクローズ

DS10.4 構成管理、インシデント管

理、および問題管理の統合

管理レビュ

ー稼働状態


理 DSIT インフラストラクチャのモニタ

リング


定義と管理

DS1.5 サービスレベル達成状況の

モニタリングと報告

DS1.6 サービスレベル・アグリーメ

ントと請負契約の見直し




インシデントの管理 DS8.5 報告と傾向分析


MOF COBIT


監視と評価 ME1 IT 成果のモニタリ

ングと評価

ME1.1 モニタリングアプローチ

ME1.2 モニタリングデータの定義

と収集

ME1.3 モニタリング方法 ME1.4 成果評価 ME1.5 取締役会と経営層への報

告 ME1.6 是正措置

COBIT の注:

DS7 利用者の教育と研修のプロセスとコントロール目標は、MOF の提供フ

ェーズの構築および展開 SMF にマップされます。 COBIT の DS9 構成管理のプロセスおよびコントロール目標は、MOF の管理層の変

更と構成 SMF にマップされます。


MOF COBIT


管理層ガバナン

ス、リスク、

コンプライ

アンス

IT ガバナン

スの確立

計画と組織

PO4 IT プロセスと組織

及びそのかかわりの定

義

PO4.1 IT プロセスフレームワーク PO4.2 IT 戦略委員会

PO4.3 IT 運営委員会 PO4.4 組織における IT 部門の配

置 PO4.5 IT 組織の構造

PO4.6 役割と責任の確立 PO4.15 リレーションシップ

PO10 プロジェクト管理

PO10.1 プログラム管理フレーム

ワーク PO10.2 プロジェクト管理フレーム

ワーク PO10.3 プロジェクト管理のアプロ

ーチ

監視と評価

ME4 IT ガバナンスの提

供

ME4.1 IT ガバナンスフレームワ

ークの確立

ME4.2 戦略との整合 ME4.3 価値の提供

ME4.4 資源の管理

リスクの評

価、監視、お

よび管理

ME4.5 リスクの管理

ME2 内部統制のモニタ

リングと評価

ME2.1 内部統制フレームワークの

モニタリング

ME2.2 監督レビュー ME2.3 コントロールの例外事項

ME2.4 コントロールセルフ評価 ME2.6 サードパーティにおける内

部統制 ME2.7 是正措置

指示の順守 ME2.5 内部統制の保証

管理層

ガバナン

ス、リスク、

コンプライ

アンス指示の順守監視と評価 ME3 外部要件に対する

コンプライアンスの保証

ME3.1 外部法律、規制、および契

約のコンプライアンス要件の特定 ME3.2 外部要件への対応の最適

化 ME3.3 外部要件に対するコンプラ

イアンスの評価 ME3.4 コンプライアンスの積極的

な保証

ME3.5 報告の統合

変更と構成

構成のベー

スラインの定

義サービス提

供とサポート DS9 構成管理

DS9.1 構成リポジトリとベースライ

ン DS9.2 構成管理アイテムの識別と

保守 DS9.3 構成のインテグリティのレビ

ュー

変更の開始調達と導入 AI6 変更管理

AI6.1 変更の標準と手続き

AI6.2 影響評価、優先順位付け、変更の分類


MOF COBIT


変更の承認

とスケジュー

ル

および認可

AI6.3 緊急変更 AI6.4 変更の状況追跡および報告

AI6.5 変更の終了および文書化変更の作成

とテスト

変更のリリー

ス

変更の検証

とレビュー

チーム必要な変更

の識別計画と組織

PO4 IT プロセスと組織

およびそのかかわりの

定義

PO4.12 IT スタッフの配置 PO4.13 主要 IT 担当者

PO7 IT 人材の管理

PO7.1 要員の募集および保持 PO7.2 要員の能力

PO7.3 役割に応じた人材配置 PO7.4 要員の研修

PO7.5 個人に対する依存 PO7.6 要員の人事認可手続き PO7.7 従業員の業績評価

PO7.8 職務の変更および解雇

管理層

チーム

実行責任の

割り当て

計画と組織 PO4 T プロセスと組織

及びそのかかわりの定

義

PO4.6 役割と責任の確立 PO4.7 IT の品質保証の責任 PO4. リスク、セキュリティ、および

コンプライアンスに関する責任 PO4.9 データおよびシステムのオ

ーナーシップ PO4.10 監督

PO4.11 職務の分離 PO4.14 契約社員に関するポリシ

ーおよび手続き役割の割り

当て

管理レビュ

ーポリシーと制

御監視と評価 ME2 内部統制のモニタ

リングと評価

ME2.1 内部統制フレームワークの

モニタリング

ME2.3 コントロールの例外事項 ME2.7 是正措置

COBIT の注:

ME1 IT 成果の監視と評価のプロセスとコントロール目標は、MOF の運用フ

ェーズの稼働状態管理レビュー SMF にマップされます。

付録 C – 用語集 Control Objectives for Information and related Technology (COBIT)

Information Systems Audit and Control Association (ISACA) 傘下の Information Technology Governance Institute (ITGI) によって作成および公開された IT ガバナンス

のコントロールフレームワーク。COBIT は、ドメインやプロセスフレームワーク全体のグッドプラクティスを提供し、管理しやすい論理的な構造でアクティビティを示します。COBIT のグ

ッドプラクティスは専門家のコンセンサスを表しています。これらのプラクティスは、実行より

もコントロールに大きな重点を置いています。これらのプラクティスによって、IT 化投資を最

適化し、サービスの提供を保証し、適切に機能していない場合には、それを判断するため

の手段を提供することができます。 EUDPD (European Union Data Protection Directive: 欧州連合データ保護指令)

個人データの処理に関する個人の保護および当該データの自由な移動に対する欧州連合 (EU) の指令 95/46/EC。1995 年に欧州委員会によって施行されました。

GLBA (Graham-Leach-Bliley Act: グラムリーチブライリー法)

Gramm-Leach-Bliley Financial Services Modernization Act (グラムリーチブライリー金

融サービス近代化法), Pub.L. 106-102, 113 Stat. 1338 とも呼ばれる、1999 年 11 月 12 日に米国議会によって制定された法律。Glass-Steagall Act of 1933 (1933 年グラスステ

ィーガル法) の一部を廃止し、銀行、証券会社、保険会社の競争が認められました。コンプ

ライアンスに関する、この法律の下での主な規則には、金融機関による顧客の個人的な金

融情報の収集と開示について定めた "The Financial Privacy Rule (金融プライバシー規

則)" があります。この規則は、金融機関であるかどうかに関係なく、このような情報を受け

取る企業に適用されます。"Safeguards Rule (セーフガード規則)" では、すべての金融機

関に対して、顧客情報を保護するためのセーフガードを設計、実装、および維持することが

求められています。 GRC

ガバナンス (IT) – IT ガバナンスは、上級管理職によって主導されます。その構成するアク

ティビティによって、決定権限を持つ担当者が明確になり、アクションの説明責任と成果の

実行責任が特定され、予測されたパフォーマンスの評価方法が決定されます。リスク – ビジネスまたは IT 目標に対する悪影響の可能性。リスクは、影響の大きさと可能

性で測定されます。コンプライアンス – 政府による規制、法律、および企業固有のポリシーに対する IT の準拠

を保証するためのリスク管理を適用すること。組織が実行すると宣言した内容を実際に実

行していることを保証するための手段です。

ITIL (Information Technology Infrastructure Library) ITIL は、情報技術 (IT) のインフラストラクチャ、開発、および運用を管理するための概念お

よびポリシーをまとめたものです。ITIL は、それぞれが IT 管理トピックに関する一連の書

籍として発行されました。ITIL および IT Infrastructure Library は、英国 OGC (Office of Government Commerce: 政府商務局) の登録商標です。ITIL には、多くの重要な IT プラ

付録 C – 用語集 46

クティスの詳細な説明と共に、それぞれの IT 組織に合わせて調整できる総合的なチェック

リスト、タスク、および手続きが示されています。

Information Systems Audit and Control Association (ISACA) 教育、リソース、共有、提唱、および専門的なネットワーキングによって、専門家のメンバー

をサポートすることにより、IT ガバナンスおよびコントロールの標準やプラクティスの普及を

促進する非営利団体。 Information Technology Governance Institute (ITGI)

IT 資産のガバナンスに関連する問題について、世界のビジネスコミュニティにガイダンスを

提供する非営利の独立系研究団体。ITGI は、1998 年に、非営利の会員団体である ISACA によって設立されました。その目的は、企業の目標に沿った形で IT が価値を生み

出し、そのリスクを軽減できること、IT リソースが適切に割り当てられること、および IT のパ

フォーマンスを測定できるようにすることです。 Microsoft Operations Framework (MOF)

MOF は、IT プロフェッショナルに対し、IT ライフサイクル全体にわたってガイダンスを提供

するために、マイクロソフトによって作成されました。2008 年初めに完成した MOF 4.0 では、コミュニティで生成されたプロセス、ガバナンス、リスク、コンプライアンスのアクティビテ

ィ、管理レビュー、およびベストプラクティスが統合されています。MOF のガイダンスには、

IT サービスの管理に関連するすべてのアクティビティおよびプロセス (概念、開発、運用、

保守、および廃止) が含まれています。

運用レベルアグリーメント (OLA) サービスレベルアグリーメント (SLA) に定められた用件をサポートする 1 つ以上の IT チーム間での内部アグリーメント。

PCI DSS (Payment Card Industry Data Security Standard) PCI DSS は、Payment Card Industry Security Standards Council (PCI SSC) によって

策定された世界的なセキュリティ基準です。PCI セキュリティ基準は、カード決済を処理す

る組織が、クレジットカードの不正使用、ハッキング、その他のセキュリティの脆弱性や脅

威を回避できるようにするために策定された、技術面および運用面での要件です。この基

準は、カード所有者のデータを保存、処理、または転送するすべての組織に適用されます。

そこには、これらのトランザクションで使用されるアプリケーションやデバイスのソフトウェア

開発者および製造元に対するガイダンスも含まれています。カード所有者のデータを処理、

保存、または転送する企業は、PCI DSS に準拠している必要があります。 RACI

担当者が実行責任 (Responsible)、説明責任 (Accountable)、コンサルティング (Consulted)、または周知 (Informed) の役割を持つアクティビティの一覧。

投資回収率 (ROI)

投資した金額に対する投資による収益または損失の割合。ROI は、どのプロジェクトを遂

行するべきであるかを評価し、プロジェクト遂行中に利益予測を管理することによって、実

現される利益を予測された利益に近づけるために使用されます。

付録 C – 用語集 47

リスクエクスポージャ関連する脅威と脆弱性に基づいて、リスクの影響の大きさと可能性を組み合わせたもの。

サービスカタログ IT 組織によって保守および公開される、ビジネスの優先順位や対応する SLA を含む、総

合的なサービスの一覧。サービスレベルアグリーメント (SLA)

要求されるサービスのレベルを文書化した書面でのアグリーメント。SLA は IT サービスプロバイダーとビジネス部門、または IT サービスプロバイダーとサードパーティのプロバイ

ダーとの間で結ばれます。SLA は、両者が成功を定義するために使用する測定基準と手

段の一覧である必要があります。サービス管理機能 (SMF)

MOF の中核となる機能であり、コンピューティング環境で情報技術アプリケーション用に採

用されているマイクロソフトテクノロジについての運用ガイダンスを提供します。SMF によ

って、ミッションクリティカルなシステムにおける IT ソリューションの信頼性、可用性、サポー

ト性、および管理性を実現することができます。 Solution Accelerators

Microsoft Solution Accelerator は、IT プロフェッショナルが積極的に IT システムを計画、

統合、および運用できるようにする、信頼できる無償のリソースです。メインのホームペー

ジは http://technet.microsoft.com/ja-jp/solutionaccelerators/default.aspx です。 SOX (Sarbanes-Oxley Act: サーベンスオクスリー法)

Sarbanes-Oxley Act of 2002 は、Public Company Accounting Reform and Investor Protection Act of 2002 (上場企業会計改革および投資家保護法) とも呼ばれますが、一

般的には Sarbanes-Oxley、Sarbox、または SOX と呼ばれ、頻発する大企業の不正会計

問題に対応するために 2002 年 7 月 30 日に制定された米国連邦法です。この法律によっ

て、新しい準公共機関である公開会社会計監視委員会 (PCAOB: Public Company Accounting Oversight Board) が設立されました。PCAOB は、公開企業の監査人として

の役割を持つ会計事務所に対して、監視、規制、調査、および懲戒を行います。同法の第 404 条は、監査人の独立性、コーポレートガバナンス、および内部統制の評価などの問題

にも対応しています。

Val IT Val IT は、ISACA 傘下の非営利研究機関である ITGI によって作成および保守されてい

ます。ITGI が COBIT を作成した際に考えたのは、IT 投資によるビジネス価値の実現を測

定、監視、および最適化するための必要な構造を企業に提供する必要があること、また、そ

のことを通じて価値創造のプロセスのグッドプラクティスを策定するフレームワークを作成

する必要があることでした。 Val IT はその結果、作成されました。Val IT は、世界中の実務

者や研究者から集められた経験、既存および新規のプラクティスや手法、および急速に増

加する研究に基づいて開発された、実践的で実証済みのガバナンスの方針、プロセス、プ

ラクティス、およびサポートガイドラインを統合しています。

http://technet.microsoft.com/ja-jp/solutionaccelerators/default.aspx�

付録 D – リファレンス

IT Governance Institute、『COBIT 4.1 Edition』、米国、2007 年、www.itgi.org (英語)

日本ITガバナンス協会、『COBIT 4.1 日本語版』、日本、2008 年、http://itgi.jp/download.html

(日本語)

IT Governance Institute、『Val IT 2.0 Edition』、米国、2008 年、www.itgi.org (英語)

日本ITガバナンス協会、『Val IT Framework Version 2.0 日本語版』、日本、2010

年、http://itgi.jp/download.html (日本語)

Microsoft Corporation、『MOF Version 4.0』、米国、2008 年、www.microsoft.com/mof (英

語。ベストプラクティス、作業支援資料、およびツールを含む)

マイクロソフトの IT ガバナンスおよびコンプライアンスソリューションアクセラレータの Web ペ

ージ: www.microsoft.com/compliance (英語。『IT コンプライアンス管理ガイド (英語)』、『セキ

ュリティリスク管理ガイド (英語)』、その他のベストプラクティス、およびツールを含む)

Microsoft Operations Framework （日本語のサイト MOF Version 3）

http://technet.microsoft.com/ja-jp/solutionaccelerators/dd285682.aspx

Pultorak D.、Henry, C.、Leenards P、『MOF 4.0 Pocket Guide』、Van Haren Publishing、

米国、2008 年





http://www.microsoft.com/mof�


http://technet.microsoft.com/ja-jp/solutionaccelerators/dd285682.aspx�

Documents

MOF と COBIT/Val IT の比較および クロスインプリメンテーションガイド

MOF と COBIT/Val IT の比較およびクロスインプリメンテーションガイド