COBIT(Control Objectives for Information and Related Technologies)とは? ITガバナンスの国際フレームワークを中小企業視点で解説
「ITガバナンスを強化したい」「IT投資の判断基準が欲しい」「上場準備でIT統制の整備を求められた」——こうした場面で参照すべき国際フレームワークが**COBIT(Control Objectives for Information and Related Technologies)**です。
COBITはISACA(Information Systems Audit and Control Association)が策定した、ITガバナンスとマネジメントのためのフレームワークです。最新バージョンはCOBIT 2019で、世界中の企業・政府機関で採用されています。
COBITが必要とされる背景
企業のIT依存度が高まる中、「ITに関する意思決定を誰がどう行うか」「IT投資が経営戦略に貢献しているか」「ITリスクを適切に管理できているか」を体系的に評価・改善するためのフレームワークが求められています。
COBITは以下の課題に対応します。
- ITと経営戦略の整合性が取れていない
- IT投資の効果が見えにくい
- ITリスクが管理されていない
- IT監査・内部統制の基準が必要(J-SOX、上場準備)
- ITガバナンスを「属人的な判断」から「仕組み」に変えたい
COBITと他のフレームワークの関係
COBITは他のフレームワークと競合するものではなく、上位の「ガバナンスフレームワーク」として他のフレームワークを包含・参照する位置付けです。
COBIT: ITガバナンス全体の設計と評価。「何をすべきか」を定義。
ITIL: ITサービスマネジメント(運用)のベストプラクティス。「どう運用するか」を定義。COBITの管理目標を実装する手段としてITILのプロセスを参照。
ISO 27001: 情報セキュリティマネジメントシステム(ISMS)。COBITのセキュリティ関連の管理目標を実装する手段としてISO 27001を参照。
NIST CSF: サイバーセキュリティフレームワーク。COBITのリスク管理目標とマッピング可能。
つまり、COBITは「ITガバナンスの全体像を設計する傘」であり、具体的な実装にはITIL、ISO 27001、NIST CSFなどの各フレームワークを組み合わせます。
COBIT 2019の基本構造
ガバナンスシステムの6つのコンポーネント
COBITでは、ITガバナンスシステムを構成する要素を6つのコンポーネントで定義しています。
1. プロセス: IT活動を構造化した手順。40のガバナンス/マネジメント目標として定義。
2. 組織構造: ITに関する意思決定の権限と責任。取締役会、CIO、IT運営委員会、CISO等の役割定義。
3. 情報フロー: ITに関する情報の流れ。経営層への報告、リスク情報の共有、パフォーマンス指標のモニタリング。
4. 人材・スキル・コンピテンシー: IT人材の能力要件と育成計画。
5. ポリシーと手順: 文書化されたルールとガイドライン。情報セキュリティポリシー、IT利用規程など。
6. 文化・倫理・行動: ITに対する組織の姿勢と価値観。セキュリティ意識、リスク認識、コンプライアンス文化。
5つの原則
COBIT 2019は以下の5つの原則に基づいています。
原則1:ステークホルダーのニーズを満たす。 ITガバナンスの最終目的は、ステークホルダー(経営層、株主、顧客、従業員、規制当局)のニーズを満たすこと。
原則2:企業全体をカバーする。 ITガバナンスはIT部門だけでなく、企業全体のガバナンス体系の一部として位置付ける。
原則3:統合されたフレームワークを適用する。 他のフレームワーク(ITIL、ISO 27001等)と整合性を持ち、統合的に活用する。
原則4:包括的なアプローチを可能にする。 6つのコンポーネントを総合的に設計し、プロセスだけでなく組織構造、文化、人材も含めて考える。
原則5:ガバナンスとマネジメントを区別する。 ガバナンス(方向付け、評価、監視)とマネジメント(計画、構築、実行、監視)を明確に分離する。
40のガバナンス/マネジメント目標
COBITの中核は、40の目標(Objectives)です。ガバナンス目標5つ+マネジメント目標35に分かれています。
ガバナンス目標(EDM:Evaluate, Direct, Monitor)— 5目標
取締役会・経営層が担う「方向付け・評価・監視」の領域です。
- EDM01:ガバナンスフレームワークの設定と維持の確保
- EDM02:ベネフィット提供の確保
- EDM03:リスク最適化の確保
- EDM04:リソース最適化の確保
- EDM05:ステークホルダーの透明性の確保
マネジメント目標 — 35目標(4ドメイン)
IT部門・IT責任者が担う「計画・構築・実行・監視」の領域です。
APO(Align, Plan, Organize): IT戦略の整合、計画、組織 — 14目標。IT戦略計画、予算管理、リスク管理、セキュリティ管理、人材管理など。
BAI(Build, Acquire, Implement): システム構築、調達、導入 — 11目標。変更管理、ソリューション構築、資産管理、構成管理など。
DSS(Deliver, Service, Support): サービス提供、運用、サポート — 6目標。運用管理、サービス要求・インシデント管理、継続性管理、セキュリティ運用など。
MEA(Monitor, Evaluate, Assess): モニタリング、評価、アセスメント — 4目標。パフォーマンス監視、内部統制の評価、コンプライアンスの評価、品質保証など。
成熟度モデル(Capability Levels)
COBITでは、各プロセスの成熟度を0〜5の6段階で評価します。
| レベル | 名称 | 意味 |
|---|---|---|
| 0 | 不完全 | プロセスが存在しない、または目的を達成していない |
| 1 | 実施済み | プロセスが目的を達成しているが、体系化されていない |
| 2 | 管理済み | プロセスが計画・監視・調整されている |
| 3 | 確立済み | 標準化されたプロセスが定義され、組織全体で適用 |
| 4 | 予測可能 | プロセスが定量的に管理され、パフォーマンスが予測可能 |
| 5 | 最適化 | 継続的改善が組み込まれ、プロセスが最適化されている |
中小企業がすべてのプロセスでレベル5を目指す必要はありません。重要なプロセス(セキュリティ、リスク管理)でレベル2〜3を目指し、それ以外はレベル1で十分というのが現実的な目標です。
中小企業にとってのCOBITの活用方法
活用1:上場準備のIT統制整備
上場準備(IPO)では、J-SOX(内部統制報告制度)への対応が求められます。IT統制の整備においてCOBITは「何を統制すべきか」のチェックリストとして活用できます。監査法人からも「COBITに準拠したIT統制」は評価されやすいです。
活用2:ITガバナンスの「見える化」
「ITに関する意思決定が社長の一存で行われている」「IT投資の基準がない」——こうした状態を改善するために、COBITの原則に基づいてIT運営委員会の設置、IT戦略計画の策定、IT予算の評価プロセスを導入する。
活用3:IT監査の基準
内部監査や外部監査でITの統制状況を評価する際、COBITの40目標を監査項目として活用できます。
中小企業が注力すべきCOBITの目標(優先5項目)
40目標すべてに取り組むのは非現実的です。中小企業がまず注力すべきは以下の5つです。
APO12 リスク管理: ITリスクの特定、評価、対応。情報漏えい、システム停止、サイバー攻撃への備え。
APO13 セキュリティ管理: 情報セキュリティポリシーの策定、MFA、条件付きアクセス、バックアップ。→ M365セキュリティ設定 完全ガイド
BAI09 資産管理: IT資産(PC、SaaS、ライセンス)の把握と管理。→ IT資産管理 完全ガイド
DSS02 サービス要求・インシデント管理: ヘルプデスクの仕組み化、インシデント対応手順の文書化。
MEA01 パフォーマンスとコンフォーマンスの監視: セキュアスコアの追跡、SLAの達成率モニタリング。→ セキュアスコアを経営層への報告に使う方法
COBITの学習リソース
ISACA公式サイト: COBIT 2019のフレームワーク本体はISACAのWebサイトから入手可能(一部無料、詳細ガイドは有料)。
COBIT Foundation認定: ISACAが提供する入門レベルの認定資格。オンラインで受験可能。
日本語書籍: 日本ITガバナンス協会(ITGI Japan)やISACA東京支部が日本語の解説資料を提供しています。
まとめ
COBITは「ITガバナンスの全体像を設計するフレームワーク」であり、ITILやISO 27001などの実装フレームワークの上位に位置します。中小企業がCOBITの40目標すべてに取り組む必要はありませんが、リスク管理、セキュリティ管理、資産管理、インシデント管理、パフォーマンス監視の5項目を優先的に整備することで、ITガバナンスの基盤を構築できます。
上場準備やIT統制の整備でお悩みの場合は、情シス365にご相談ください。COBITに基づいたIT統制の設計を支援しています。