COBIT(英: control objectives for information and related technology)とは、情報システムコントロール協会 (ISACA)とITガバナンス協会
(ITGI)が1992年に作成を開始した情報技術 (IT) 管理についてのベストプラクティス集(フレームワーク)である。COBIT はマネージャ、監査人、ITユーザーに一般に通じる尺度や判断基準、ビジネスプロセスやベストプラクティスを提供して情報技術を利用して得られる利益を最大化するための補助とし、企業内の適切なITガバナンスや内部統制の開発の補助となる。COBIT の初版は1996年にリリースされた。その目的は、「最新の国際的にも一般的にも認められた(マネージャや監査人の日々の業務に役立つ)情報技術制御目標を研究・開発・公表・促進すること」である。COBIT を使うことで、関係者(マネージャ、監査人、ユーザー)はそのITシステムのセキュリティレベルがどの程度なのか、企業の防衛策は十分かなどをITガバナンスモデルの開発を通して知ることができる。
COBIT は、4つのドメイン(領域)に分類された、34の目標があり、それらは210のアクティビティで構成されている。4つの領域とは、計画と組織(PO[1])、調達と導入(AI[2])、サービス提供とサポート(DS[3])、モニタリングと評価(ME[4])である。
COBIT はマネージャに対して、IT関連の判断と投資についての基盤を提供する。COBIT は戦略的なIT計画立案や情報アーキテクチャの定義、IT戦略の実行に必要なハードウェアやソフトウェアの取得に関する補助となって判断をより効率的に行えるようにし、サービスの連続性やシステムの性能監視を可能とする。COBIT によってコントロールやセキュリティ・プロセスの管理が定義されることでITユーザーは保証を得ることになる。監査人にとっては企業のIT基盤の統制ポイントの識別や、監査検出事項の確認に役立つ。
ISACA は COBIT と関連する Val IT
をリリースした。これは、経営よりの観点でまとめられたもので、IT投資の視点および利益を得ることができているかに重点を置いている。最初のバージョンは 1996年に公表された。第2版は1998年で、管理指針が追加された。第3版は2000年(オンライン版は2003年に公表)、第4版は2005年12月である。
COBIT 4 は COBIT 3 から大きく拡張され、これまで分冊化されていたものを1つにまとめて参照を容易にした。新たな節として各プロセスについて以下が記述されている。
他の COBIT プロセスとの入出力についてのクロスリファレンス
各プロセスについてRACI図を付与(各レベルのマネージャがそのプロセスで果たす役割を記述)
ISACA は COBIT 4.1 を公表している。主な変更点は以下の通り。 COBIT は、まずIT業界で受け入れられ、ITガバナンスの国際的フレームワークとなりつつある。ISO/IEC 17799:2005は、セキュリティ管理に関するベストプラクティスの国際的標準である。これらの標準は競合しているわけではなく、互いに補完する関係である。COBIT がより幅広い範囲をカバーし、ISO/IEC 17799 はセキュリティについてより深く扱っている。 以下の表は両者の関係を示したものである。 COBIT ドメイン12345678910111213 2002年のサーベンス・オクスリー法に関わるアメリカの株式公開企業は COBIT を採用したり、トレッドウェイ委員会支援組織委員会(COSO)の策定したフレームワークを採用している。米国証券取引委員会は COSO のフレームワークを推奨している。COBIT は COSO に比較するとITガバナンスに特化しているが、ITILに比べると範囲が広く、やや抽象的である。
成熟モデルサポート
目標の記述を簡素化
プロセス間やITプロセスとビジネスの関係をより詳しく記述。
他の標準規格との関係
COBIT と ISO/IEC 17799:2005
計画と組織×◎××◎◎◎◎××○・・
調達と導入◎○○×○◎・・・・・・・
サービス提供とサポート×◎○◎◎・◎○○○◎○○
モニタリングと評価×○×○・・・・・・・・・
(◎) よく一致している(ISO/IEC 17799:2005 の3つ以上の目標が COBIT プロセスにマップされている)(○) 一部一致(ISO/IEC 17799:2005 の1つか2つの目標が COBIT プロセスにマップされている)(×) 一致していない(ISO/IEC 17799:2005 の目標が COBIT プロセスにマップされていない)(・) 存在しない
COBIT とサーベンス・オクスリー法
参考文献
⇒COBIT Wiki
⇒ISACA
⇒ISACA 東京支部
⇒COBIT User Forum
⇒Two Views of Internal Controls: COBIT and the ITCG
⇒CobiTCampus
COBIT (Control Objectives for Information and related Technology)
⇒日本ITガバナンス協会
⇒SOX法と内部統制 NTTデータ
脚注^ 英: plan and organize
^ 英: acquire and implement
^ 英: deliver and support