pr

来年度の会計年度から本格的に適用される日本版SOX法（金融商品取引法）対応の肝となるのが「運用管理」だ。あと10カ月というわずかな期間で、効果的かつ迅速に日本版SOX法に対処するため、運用管理担当者がなすべきは、日本版SOX法対応を強力にサポートする日立製作所の「JP1( ジェイピーワン ) 」について効果的に学ぶことだ。

日本版SOX法対応の切り札 「運用管理」とは

　2008年4月以降、施行が予定されている日本版SOX法。会計を中心とした企業運営全般の統制を目的に、特に企業の「内部統制」の強化を求めている。

　日本版SOX法が出てきた背景には、企業の粉飾会計や経営破たんが続出するなど、企業モラルが問われる事態が相次いだという事由がある。そこで米国のサーベンス・オクスリー（SOX法）にならい、日本版SOX法が施行される運びとなった。このため、「日本版SOX法対応には、会計システムの整備と監査手順の確立が必須」とされているが、それ以上に重要な問題がある。それが「運用管理」だ。

　なぜ運用管理が重要なのか。これを理解するために、日本版SOX法で求められている内部統制について簡単に説明しよう。日本版SOX法では、（1）業務の有効性・効率性、（2）財務報告の信頼性、（3）法令などの遵守、（4）資産の保全の4点を達成するためのプロセスを業務に組み込み、適切な運用を行うことを内部統制実施基準と定めている。そのプロセスの基本要素となるのが、

• 統制環境
• リスクの評価と対応
• 統制活動
• 情報と伝達
• モニタリング
• ITへの対応

の6つであり、これらを実施する手段として、「ITによる業務処理統制」と「IT全般統制」の実施についても言及している。これが日本版SOX法の最大の特徴だ。「日常の業務プロセスにおいて、改ざんや不正が入ることなくスムーズに進行するための手段」として「ITによる業務処理統制」を位置付け、さらにそのITそのものが信頼性ある仕組みと証明するために「IT全般統制」が重要になるわけだ。

　そこで、業務アプリケーションからインフラまでを管理する運用管理が最大の肝となってくる。日常業務プロセスの遂行＝システムの稼働管理についての責任を負っているうえに、セキュリティ監視やログの保全など、すべての業務を法定基準に基づいて実施し、証憑（しょうひょう）として活用できる仕組みを整えなければならない。業務システムや監査手順の確立も重要だが、これらのプロセスを支える「ITの運用管理」の整備こそ、日本版SOX法の最大の山場なのだ。

日本版SOX法のために 運用管理担当者がやるべきこと

　日々システムの運用管理作業に忙殺されている運用管理担当者にとって、「日本版SOX法への対応」という負荷は、おそらく非常に重いものとなるはずだ。ただし、進め方によっては、「普段の業務も軽減し、かつ日本版SOX法へ準拠した運用管理を実現する」ことも不可能ではない。その方法は2つある。1つは、日本版SOX法に対応したIT統制を実現するツールを使うこと。そしてもう1つは、運用管理の基本と実施ポイントを再度復習し、ノウハウをしっかりと身に付けることだ。

　では、どのようなツールを選べばよいか。日本版SOX法で定められているITの統制のうち、特に運用面と深い関わりがあるのは、アプリケーション稼働状況のモニタリング、インフラ面の監視と管理、セキュリティ整備などがある。こうしたポイントを効率的に進めるために、内部統制の要件を強化した運用管理ツールがある。それが日立製作所の統合システム運用管理「JP1 V8.1（以下V8.1）」だ。

　JP1は、＠ITが2006年に実施した「＠ITシステム運用管理者調査」によると、国内シェアトップの運用管理ツールだ（図1参照）。

図1　システム運用管理ツールの使用状況 （「＠IT システム運用管理者調査」より）

　その特徴は、「モニタリング」「オートメーション」「ITコンプライアンス」「ファウンデーション」という4つの分野においてそれぞれツールを提供し、“運用管理”という大きな仕組みを実現していること（図2参照）。例えばオートジョブ管理や資産・配布管理などを、ツールを使って自動化することで、効率的かつ迅速にシステム全体の管理を行うことが可能となる。

図2　JP1の4つのカテゴリと日本版SOX対応強化の内容

そしてV8.1では、特に「ITコンプライアンス」と「モニタリング」の2分野で、それぞれ日本版SOX法の内部統制を支援するツールが投入されている。1つは、業務システムの運用ログを記録・管理する監査証跡管理製品「JP1/NETM/Audit-Manager （以下JP1/NETM/Audit）」。もう1つは、ITIL（IT Infrastructure Library）に基づいた運用管理を強化する「JP1/Integrated Management-Service Support（以下JP1/IM-SS）」だ。

　JP1/NETM/Auditは、クライアントPCはもちろん、業務システムそのものの運用ログを監査証跡として収集・保管するツールで、これは「ITコンプライアンス」分野を形成する。一方、JP1/IM-SSは、運用管理業務のベストプラクティスであるITIL（Information Technology Infrastructure Library）に準拠したサービスサポートおよび運用を支援するツールで、これは「モニタリング」に含まれる。どちらのツールも、既存のJP1製品とも連携できるので、ネットワークなどインフラの運用管理から、日本版SOX法に必要となる監査証跡の保管、ITILに基づくサービスレベルの向上まで、効率的に行えるわけだ。

日本版SOX法対応ポイントとなる 運用管理のノウハウを身に付けよう

　では、運用管理の基本と日本版SOX法対応ポイントとなる運用管理のノウハウをしっかりと身に付けるにはどうすれば良いか。それには、JP1製品カテゴリごとに設計された「JP1認定資格講座」で効率的に学習し、運用管理スキルの指標となる「JP1認定資格」を取得し、そのスキルレベルを客観的に証明することである。

　JP1認定資格講座および試験の特徴は、「単なるツールの使い方を問うものではない」という点にある。試験内容は、「運用管理業務の全体像」から各製品機能をひも付け、効率的に業務を進めるためのノウハウを問うものとなっており、むしろ「運用管理」という業務を体系立てて理解することが求められている。そのため、ITILはもちろん、日本版SOX法で規定されているような「監査証跡」の収集・保管業務はもちろん、「なぜそれが必要なのか」といった根本的なことまで、さまざまな事項が含まれる。こうした基本事項を経て、JP1の機能そのものも詳しく学べるので、「ツールを使って、効果的かつ迅速にIT統制を実現する」ノウハウが身に付くというわけだ。

　本認定資格の対象となるのは、JP1の「セールスエンジニア」と、JP1の構築・運用に携わる「構築・運用エンジニア」。それぞれで与えられる認定資格は異なり、特に構築・運用エンジニアにおいては、業務や製品の習熟度によって4段階の資格が設けられている（表1参照）。特にV8.1では、日本版SOX法を見越したツールや機能が盛り込まれているので、製品を知ることが、日本版SOX法を理解する足がかりともなる。「やることが多くて、何をやったらいいのか分からない」と悩む運用管理担当者や、構築・運用エンジニアにとっては、格好の教材といえよう。

　ちなみに試験の認定基準は、「JP1認定セールスコーディネーター」で80％以上の正解率、「JP1認定エンジニア」「JP1認定プロフェッショナル」「JP1認定コンサルタント」で70％以上の正解率となる。また、JP1認定シニアコンサルタントとして認定されるには、JP1認定コンサルタント資格を3カテゴリ以上取得していることが条件となる。決してたやすい基準ではないが、通りいっぺんの記憶力ではなく、真の運用管理ノウハウを身に付けるなら、ぜひクリアしたい目標値だ。具体的なスキルの基準を表1に挙げておく。

認定資格名 認定スキル 認定カテゴリ JP1認定 エンジニア JP1全般を理解しており、運用に必要なテクニカルスキルを習得したエンジニアを認定   JP1認定 プロフェッショナル JP1の各カテゴリ製品の導入とシステム構築ができるテクニカルスキルを習熟したエンジニアを、カテゴリごとに認定 以下の7カテゴリ別の認定になります。 ・統合管理 ・アベイラビリティ管理 ・ジョブ管理 ・資産・配布管理 ・セキュリティ管理−情報漏えい防止− ・ネットワーク管理 ・ストレージ管理−バックアップ管理− JP1認定 コンサルタント JP1の各カテゴリ製品について、最適なコンサルテーションができるテクニカルスキルを習熟したエンジニアを、カテゴリごとに認定 以下の 4 カテゴリ別の認定になります。 ・ジョブ管理 ・資産・配布管理 ・セキュリティ管理−情報漏えい防止− ・ネットワーク管理 JP1認定 シニアコンサルタント JP1製品について、トータルソリューションを実現するためのコンサルテーションができるテクニカルスキルを習熟したエンジニアを認定   JP1認定 セールスコーディネーター  お客さまに対し最適なJP1の提案、見積もりができるセールススキルを習熟したエンジニアを認定

表1　JP1の認定資格と求められるスキル基準

　なお、日立が提供する認定資格講座および試験は、 JP1のほかにも、統合システム構築基盤である「Cosminexus（コズミネクサス）」や、データベース製品である「HiRDB（ハイアールディービー）」でも実施している。総称して「オープンミドルウェア認定資格制度」と呼ばれており、いずれも製品知識だけではなく、製品を使った業務やノウハウを主眼に、資格の認定を行っているという。

　日本版SOX法施行まで10カ月を切ったいま、もはや“待ったなし”の状態。いまこそ、JP1認定資格制度を通じて、日本版 SOX 法に必要な運用管理ノウハウを学びなおすチャンスだ。

抽選 200 名オリジナルマグカッププレゼント！

2007年7月23日〜9月15日の間に アール・プロメトリック株式会社で実施している 「日立オープンミドルウェア認定資格試験」を受験して、アンケートにお答えいただくと、抽選でオリジナルサーモ・マグが当たるプレゼントキャンペーンを行っております。キャンペーンについては、下記の「日立オープンミドルウェア新製品出荷記念キャンペーン」バナーをクリックしてください。

 

 

提供：株式会社日立製作所
企画：アイティメディア株式会社
制作：＠IT自分戦略研究所
掲載内容有効期限：2007年8月31日