itsmf Japan White Paper ITSMWP 年 5 月 10 日 itsmf Japan アセスメント標準 ISO/IEC15504 の展開と IT マネジメント領域における課題 ~ ご注文は 3P ですか? ん 煌めく三宝珠?! 花の都三つ子の宝石も Prett

特定非営利活動法人 itSMF Japan 1

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

COBIT® is a trademark of ISACA registered in the United States and other countries. ITIL® is a registered trade mark of AXELOS Limited. TIPA® is a registered trademark of the Luxembourg Institute of Science and Technology. IT Capability Maturity Framework™and IT-CMF™are trademarks of the Innovation Value Institute.

アセスメント標準 ISO/IEC15504 の展開と

IT マネジメント領域における課題

～ 「ご注文は３P ですか？」 「ん…煌めく三宝珠 ?!」 「花の都三つ子の宝石も Pretty よ

♥」 ～

はじめに 　IT プロセスの 5 段階の成熟度という概念を生んだ 米国発祥の CMM/CMMI は、日本では特に 21 世紀に入り ソフトウェア業界で注目され、そのアプレイザル（第 三者評価）の結果はソフトウェア開発取引における事 業者の格付けの基準として普及した。そして最新の報 告 [1] でも CMMI のアプレイザルを受けた組織の累計 は世界的な拡大を続けている。 　ソフトウェア開発プロセスに始まった CMM の成熟 度の概念は、各種の IT 関連プロセスの評価方法を中 心に多様な派生を見せる一方で、20 世紀末から 21 世 紀にかけて国際標準への集約の取組がなされ 2003 年 には ISO/IEC15504 というアセスメントの国際標準規 格として公開された。ISO/IEC15504 の IT マネジメン ト領域への適用は、COBIT®5 のアセスメント・プログ ラムや ITIL® 向けのアセスメント手法 TIPA® 等、当該 規格に準拠したアセスメント手法を通じて日本でも 間接的に普及が拡大しつつある。 　本稿では、アセスメント標準 ISO/IEC15504 の展開 とその評価内容の概要を振返り、IT サービスマネジ メントの肝である「３つの P」の観点からその評価尺度 を整理しつつ、ITIL® 等 IT マネジメント領域への適 用における課題と対策を考察する。更にソーシングの 複雑化、技術変革へのビジネス要請等 IT マネジメン トを取り巻く昨今の主な課題に対するアセスメント・ モデルとしての新たな対応策を提言する。 　本年 2016 年に入って発足したitSMF Japan の分科 会のなかでも新アセスメント分科会、IT 活用能力研 究分科会等、アセスメント手法との関係が予想される 活動が久しぶりの賑わいを見せている。アセスメント 手法を活用して自身の CSI 推進にあたる読者を含め、 関係者の今後の活躍を期待しつつ、本稿が諸活動の一 助となれば幸いである。 I. アセスメント標準 ISO/IEC15504 の位置付けと 　IT 関連フレームワーク 　国際標準規格と言えば、QMS の ISO9001 や ISMS の ISO/IEC27000、本誌の読者であれば何より ITSMS の ISO/IEC20000 を頭に浮かべられることと思う。 　本章では、上記の規格とは位置付けの異なるアセス メント標準 ISO/IEC15504 を理解する上でのポイント を紹介し、IT 関連フレームワークに対する位置づけ や適用状況を整理しておこう。 I.1 アセスメント標準 ISO/IEC15504 と各種プロセス・ モデルの位置付け 　ISO/IEC15504 と ISO9001 のような組織認証に伴い 普及した他の国際標準規格との最大の違いは、マネジ メントシステムに求められるプロセス自体の要求事 項を示すのではなく、対象のプロセスを特定せず、プ ロセスのレベルを評価する上での要求事項を示して いる点である。敢えて言うなら評価プロセス自体の要 求事項は示しているが、プロセスより寧ろ評価の尺度 に力点が置かれた規格となっている。 　言い換えれば、定義されたプロセス・モデルは別に あり、そのプロセス・モデルのレベルを評価するため の尺度となるアセスメント標準を ISO/IEC15504 が提 itSMF Japan

特定非営利活動法人 itSMF Japan 2

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

供しているということである。図 I-1 に示すように、 各種プロセス・モデルの各々の型に対し、アセスメ ント標準が共通のモノサシの目盛の付け方を提供す ることで、共通した評価基準によるモノサシが各種 プロセスに対し生成される、と言う位置付けになる。 各種プロセス・モデル向けに具体化した評価基準は PAM（プロセス・アセスメント・モデル）と呼ばれる。 図 I-1 アセスメント標準と各種プロセス・モデルの関係 　例えば、ITIL® をプロセス・モデルとした場合、イ ンシデント管理や問題管理等が評価対象プロセスに 挙げられる。ISO/IEC15504 はこれらに成熟度レベル というモノサシを与え、共通のモノサシによる個々 の組織のアセスメントを実現可能するのである（図 I-2 を参照されたい）。 　ISO/IEC15504 の評価基準は、プロセス能力の尺度 として 5 つのレベルを規定し、各レベルに対し対す る要件を属性として分類している。図 I-3 に評価基 準の構成イメージを示すので参照されたい（訳語は、 ISO/IEC15504 を日本語化した JIS X 0145[2] に基づ いている）。 0 1 2 3 4 5 インシデント管理 要求実現 問題管理 変更管理 成 熟 度 レ ベ ル 評価対象プロセス ・・・ ISO/IEC15504で 評価基準を定義 各種プロセス・モデル (SLCP、ITIL®等)で プロセスを定義 図 I-2 ISO/IEC15504 とプロセス・モデルによる評価イメージ プロセスCの評価 プロセスBの評価 プロセスAの評価 PA1.1 プロセス実施属性 下位レベルの属性 PA2.1 実施管理属性 PA2.2 作業成果物管理属性 下位レベルの属性 PA3.1 プロセス定義属性 PA3.2 プロセス展開属性 レベル１： 実施され た レベル２： 管理され た レベル３： 確立され た レベル４： 予測可能 な レベル５： 最適化し ている 下位レベルの属性 PA4.1 プロセス測定属性 PA4.2 プロセス制御属性 下位レベルの属性 PA5.1 プロセス革新属性 PA5.2 プロセス最適化属性 図 I-3 ISO/IEC15504 の評価基準の構成イメージ 各種プロセス・モデル アセスメント標準 各種プロセスの 評価基準

特定非営利活動法人 itSMF Japan 3

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

I.2 IT フレームワークにおける ISO/IEC15504 の普及 　上記のように ISO/IEC15504 は評価基準を提供するが、個々 の組織に対する第三者認証・評価を提供するもので はないため、認証組織数などを普及状況の指標とす ることは難しい。本稿では、プロセス・モデルを提供 する側の IT フレームワークでの採用状況からアセ スメント標準 ISO/IEC15504 の普及状況を整理しよ う。表 I-1 に主要な IT フレームワークにおける ISO/ IEC15504 の採用状況を、図 I-4 には時系列で展開の 略称 フレームワーク名（訳例） 発行元 領域 _{ISO/IEC 15504採用状況} CMM/

CMMI CMMI for Development（開発のための_CMMI）等 ※他にfor Service(-SVC)等 米国 ISACA (2016年 CMUより 移管₎ SW開発、 ITサービ ス、調達、 他 V1.02(2000年)で同等のレベル定義 を先立って採用 但し独自にプロセス個別のレベル要 求を定義 ISO/IEC

12207 Systems and software engineering —Software life cycle processes （ソフトウェアライフサイクルプロセス）

ISO SW開発 ISO/IEC 15504:Part5(2006年)で参照 モデルとして規定

日本ではIPAによりSPEAK-IPA（SW開 発プロセス改善手法、_{2007年）として} 活用

ISO/IEC/

IEEE 15288 Systems and software engineering —System life cycle processes （システムライフサイクルプロセス）

ISO システ

ム開発 ISO/IEC 15504:Part6(2008年)で参照モデルとして規定 COBIT® Control OBjectives for Information and

related Technology 米国ISACA ITガバナンス COBIT5(2012年)アセスメント・プログラムとして準拠 ITIL® IT Infrastructure Library 英国

AXELOS ITSM ITIL® Maturity Model &Self-assessment Service(2013年)では未 採用_{(CMMI以前の古い定義)} ル国_{LISTによるTIPA®(ITILのアセスメ} ント手法。_{2003年)では準拠} 表 I-1 IT フレームワークと ISO/IEC15504 の採用状況 SLCP 等 CMM/ CMMI COBIT® ITIL® 1995 2000 2005 2010 2015 ▲ISO/IEC TR15504 (1998-1999) ▲ISO/IEC 15504 (2003-2008) ▲SW-CMM v1.1 (1993) ▲ISO/IEC 15288:2003

▲OGC ITIL® _{Service Management self assessment} (2001) ▲ITIL®v3 (2007) ▲ITIL ® ₂₀₁₁ edition ▲COBIT® _v4.1 (2007) ▲COBIT ®_v5 (2012) Part5:2006 Part6:2008 ▲ITIL® v2 (2000,2001)

ITIL® _{Maturity Model & ▲}

self assessment Service(2013)

▲ISO/IEC 12207:1995 ▲SPEAK-IPA (2007) ▲_{CMMI v1.1} (2002) ▲_{CMMI-DEV v1.2 (2006)} ▲CMMI-SVC v1.2 (2006) ▲_{v1.3 (2010)} ▲ISO/IEC 12207:2008 ▲_{ISO/IEC 15288:2008} ▲_{LIST TIPA}®₍₂₀₀₃₎ 図 I-4 IT フレームワークへの ISO/IEC15504 の展開

特定非営利活動法人 itSMF Japan 4

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

流れをまとめた。 　各フレームワークの状況を以下に記すが、ITIL® については第三者により PAM が補完されている状況 にあるものの、アセスメント標準として各領域に着 実に普及しつつある状況と言える。 (1)CMM/CMMI 　ソフトウェア開発領域において成熟度評価の先駆 け と な っ た CMM は、ISO/IEC15504 に 対 し て は 準 拠 する位置付けでなく先行する位置付けにある。CMMI v1.1 で既に ISO/IEC15504 で採用されるレベル定義 を用いていた。 　 尚、v1.2 か ら ITIL® を 参 考 に し た ITSM 領 域 の CMMI-SVC（サービスのための CMMI）をプロセス・モ デルに加えている。 (2)SLCP 等 　ソフトウェア開発のライフサイクル規格の ISO/ IEC12207、システム開発ライフサイクル規格 ISO/ IEC15288 は、ISO/IEC15504 側 か ら そ の Part5、 Part6 として PAM を補完し、それぞれの適用性が提示 されている。 　 ま た 日 本 で は 独 立 行 政 法 人 IPA か ら ISO/ IEC15504、ISO/IEC12207 に準拠したソフトウェア開 発改善手法として SPEAK-IPA が展開されている。 (3)COBIT® 　IT マ ネ ジ メ ン ト 領 域 全 般 の IT ガ バ ナ ン ス・ フ レ ー ム ワ ー ク で あ る COBIT® に お い て は 2012 年 版 v5[3] のアセスメント・プログラムとして ISO/ IEC15504 を採用した。 　以前の v4.1 では CMM から派生したレベル定義を 用いていたため、この変更により同じレベルでも評 価基準にずれが生じていることを説明している点が 象徴的である。表 I-2 を参照されたい。 (4)ITIL®

　 発 行 元 の AXELOS が 提 供 す る ITIL® Maturity Model & self assessment Service においては現時 点（2013 年版）でも未だに CMM ベースのレベル定義 を用いている。尚、ITIL® v2 に対応したセルフアセ スメント・ツールが当時発行元の OGC より提供され ていたが独自のレベル定義を用いていた ( 参考：表 II-2)。 　尚、ルクセンブルグの研究機関 LIST で開発された ITSM のアセスメント手法 TIPA® が、ITIL® プロセス

を対象にした ISO/IEC15504 準拠の PAM を提供して おり日本でも認定アセッサの育成とともに普及しつ つある。 　　 　　表 I-2 COBIT® に見る成熟度の定義の変化 II.ISO/IEC15504 に見られる「3 つの P」と 　 IT マネジメント領域における課題 　第 1 章、特に図 I-3 で示したように ISO/IEC15504 およびそれを採用した各種のフレームワークは一 見、評価基準の中心をプロセス能力においたアセス メント手法に見える。従来 IT サービスマネジメント の重要な要素は 3 つの P、即ち People（人材、組織、文 化）、Process（プロセス）、Product（製品、技術）と 言われてきた。また、ITIL® v3 ではこれらに Partner （ベンダー、メーカ）を加えた４つの P が提唱されて いる。Partner の協力無しには他の３つの P が成り 立たない IT サービスマネジメントの現状を踏まえ たものとされている。（図 II-1） 図 II-1 3 つの P と Partner 　 本 章 で は、 一 見 プ ロ セ ス 偏 重 に 見 え る ISO/ IEC15504 がどの程度 3 つの P のバランスをとってい るかを把握し、IT マネジメント領域にとってどのよ うな課題となるかを考察する。

II.1 ISO/IEC15504 に見る People の観点

　先ず、People の観点で ISO/IEC15504 の評価基準 を探っていくと、各レベルの求めるプロセス属性（図 I-3 で PA n.n と示された領域）の中の記載に People の側面の多くの要件をプロセスに関わる責務として 読み取ることが出来る。これらを表 II-1 にまとめた COBIT4.1 CMMベース ISO/IEC15504準拠COBIT5 レベル_{5 最適化された} レベル_{5 最適化している} レベル4 管理され、測定可能である レベル4 予測可能な レベル_{3 定義された} レベル_{3 確立された} レベル_{2 管理された} レベル_{2 繰り返し可能だが直観的} レベル_{1 実施された} レベル_{1 初期／アドホック} レベル0 存在しない レベル0 不完全な

特定非営利活動法人 itSMF Japan 5

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

が表の右列を見ると、組織的にプロセスを確実にま た最適に実施できるように、つまり組織的な成熟に つれてレベル毎に必要な人材が加わっていくことを 求めていることが分かる。 　このように、ISO/IEC15504 では成熟度レベルの主 要な尺度として組織的な Process の確実・最適に必 要な People の存在を明確に示している。このことは 例えば ITIL® のようにオーナ／マネージャ／実務者、 と言ったプロセス・モデル側での大まかな People の規定に留まっているフレームワークにとってはこ れを補強するものになるだろう。 　尚、各 People に必要な人材スキルや各 People の 行動を促進する組織文化の観点には踏み込んでおら ずプロセス・モデルを補強するものではない。例え ば、スキルなどの適確性については実施者の「適切な 教育，訓練及び経験に基づいた適格性」を求めるに留 まり、プロセス・モデル側のフレームワークでの適 確性の規定状況に依存している。 　また 4 つ目の P、即ち Partner の観点に関わるがア ウトソーシングの普及により多くの組織は People の大部分を組織外に求めている現状にあり、更に多 くは単一組織ではなく複数組織の集合で構成されて いる。一方、ISO/IEC15504 は組織単位の評価を謳っ ており評価基準に複数組織で構成される観点を除外 しているものと言える。このことは一つのプロセス が複数組織にまたがって実施・管理される場合に大 きな制約となる。

II.2 ISO/IEC15504 に見る Process の観点

　ISO/IEC15504 を Process の観点で見ると第 1 章、 特に図 I-1 に見るように基本的な位置付けとして、 プロセス・モデルを他のフレームワークに依存し自 身はプロセスの評価方法だけを扱っている。つまり Process の内容に関わらず一定の評価基準を提供し ている一方で Process の内容については他力本願で あり、プロセス・モデルを補強するものではない。 　 ま た ISO/IEC15504 の 評 価 基 準 の 適 用 単 位 は Process 単位であり、個々の Process に対して共通の 評価基準を示したものである。一方、プロセス・モデ ル側では一般に複数のプロセス群からなるフレーム ワークを構成しており、個々の Process の内容だけ でなく、多くの Process 間にインタフェースがあり 依存関係をもって成り立っている。特に ITIL® に見 られる IT サービスマネジメントの個々の Process は個々の独立した目的に沿って独立に規定されつつ も互いの協調により更に効果的に機能する。ITIL® v2 の来日以来啓蒙されてきた「インシデント管理→ 問題管理→変更管理→リリース管理→インシデント 管理」といった循環サイクルを想起される読者も多 いことだろう。 　プロセス間のインタフェース部分を例えば、実施 事項としてとらえレベル 1 の PA1.1 プロセス実施 属性で評価する手段もあるが、プロセス間のインタ フェースはプロセス担当組織間の統合を必要とする 水準の高い要求であり、例えば ITIL® v2 向けに OGC から提供されていたセルアセスメント・ツールの評 価基準ではレベル 4.5 に相当する難度にあった（表 II-2）[4]。ISO/IEC15504 としては例えば「PA4.3 プ ロセス統合属性」のようなプロセス属性が追加され るべきだろう。 　ISO/IEC15504 の評価基準が個々の Process 単位を 対象としていることの限界は、第三者評価の視点に立 表 II-1 成熟度レベルの尺度に見る People の側面

特定非営利活動法人 itSMF Japan 6

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

つと CMMI との違いにも表れてくる。第三者評価によ って得られる組織上の期待効果の主たるものはビジ ネス上の格付けであり、これは消費者からの信頼や調 達元の RFP での入札条件への適合などに現れる。ビジ ネス上の格付けにおいては、フレームワーク単位の Process 群の総合評価が必要とされており、Process 単位の評価では細かすぎて現実性がないのである。例 えば CMMI では個々の Process に対し総合評価上のレ ベルの位置付けを定義しており、第三者評価を得た企 業が総合評価として「CMMI-DEV レベル４を達成！」と いったアピールを行うのである。図 II-2 に Process を各レベルの要件に配置したイメージ、表 II-3 に CMMI-SVC のプロセス領域に見られる成熟度レベルの 規定を示した [5] ので参考にされたい。 　総合評価の視点を補うためには、ISO/IEC15504 側 での規定は難しく、プロセス・モデル側のフレーム ワーク（例えば ITIL®）で基準を補うか、特定プロセ ス・モデル向けのアセスメント手法（例えば ITIL® 向けの TIPA®）において補う必要があるが、公的な評 価としての普及・認知には一段の期間が必要となろ う。寧ろレベル評価を有しない手法（例えば ITIL® で あれば ISO/IEC20000）が先んじて普及する可能性も ある。

表 II-2 OGC ITIL セルフアセスメントに見られたプロセス間の相互関係の評価レベル

総合的な評価 ― レベル１ レベル２ レベル３ レベル４ レベル５ 要求される プロセス領域 カテゴリ_A カテゴリ_B カテゴリ_C 要求される プロセス領域 (下位レベルを含む) 要求される プロセス領域 (下位レベルを含む) ― ― 要求される プロセス領域 ― ― ― 要求される プロセス領域 要求される プロセス領域 (下位レベルを含む) ・・・ 要求される プロセス領域 (下位レベルを含む) 要求される プロセス領域 (下位レベルを含む) 要求される プロセス領域 (下位レベルを含む) 図 II-2 CMMI に見る評価領域全体の総合的な評価のイメージ

特定非営利活動法人 itSMF Japan 7

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日 カテゴリ* 成熟度 レベル 略称 共有 プロセス領域 * _{ITIL®の関連領域} 2 SD 固有 サービスデリバリ サービスオペレーション全般(サービスデスク、いわゆる運_用保守) 3 IRP 固有 インシデントの解決と防止 インシデント管理、問題管理 3 SSD 固有 サービスシステムの展開 リリース管理および展開管理 3 SST 固有 サービスシステムの移行 サービストランジション全般 3 STSM 固有 戦略的サービス管理 サービスポートフォリオ管理、需要管理、サービスレベル管_理 2 CM コア 構成管理 サービス資産管理および構成管理 2 MA コア 測定と分析 7ステップの改善、サービスレベル管理、など 2 PPQA コア プロセスと成果物の品質保証 7ステップの改善、継続的サービス改善モデル、サービスの 妥当性確認およびテスト 3 DAR コア 決定分析と解決 サービスストラテジ策定、変更管理、問題管理、など 5 CAR コア 原因分析と解決 7ステップの改善、問題管理 2 REQM コア 要件管理 サービスレベル管理 2 SAM 共有 供給者合意管理 サプライヤ管理 2 WMC コア 作業の監視と制御 7ステップの改善、継続的サービス改善モデル、など 2 WP コア 作業計画策定 継続的サービス改善モデル 3 CAM 固有 キャパシティと可用性の管理 キャパシティ管理、可用性管理 3 IWM コア 統合作業管理 継続的サービス改善モデル 3 RSKM コア リスク管理 情報セキュリティ管理、可用性管理 3 SCON 固有 サービス継続性 ITサービス継続性管理 4 QWM コア 定量的作業管理 7ステップの改善、サービスレベル管理、など 3 OPD コア 組織プロセス定義 継続的サービス改善モデル 3 OPF コア 組織プロセス重視 継続的サービス改善モデル 3 OT コア 組織トレーニング 継続的サービス改善モデル 4 OPP コア 組織プロセス実績 継続的サービス改善モデル 5 OPM コア 組織実績管理 継続的サービス改善モデル サービスの 確立とデリ バリ 支援 プロジェクト と作業の管 理 プロセス管 理 表 II-3 CMMI-SVC における各プロセス領域が要求される成熟度レベル

II.3 ISO/IEC15504 に見る Product の観点

　ISO/IEC15504 における Product の観点は II.1 で People の観点を探ったように各レベルの求めるプロ セス属性 PA の要件から、表 II-4 のようにある程度 類推できる。People の観点に比べて補助的な尺度と して明確に技術基盤上の自動化を求めているもので はないが、プロセス属性の効率化を考える際に検討 すべき自動化の観点をプロセス・モデルに補強する ものと言える。II.1 で述べたように People 面と共 に Process の確実性や最適化度合いを示すと共に、 特に効率性の観点を補強しているとも言える。 　プロセスへの自動化については組織の規模によ る導入効果や自動化を実現する製品の普及状況の プロセスによる違い、また時間の経過による普及状 況の変化を考えるとアセスメント標準側でもプロセ ス・モデル側でも一定の要件を定めるのは難しいが、 ISO/IEC15504 側でも定期的な見直しにより表 II-4 の Product( 案 ) として挙げたような技術基盤の例 示や検討の必要性を Product 要件として盛り込んで 行かないと時代遅れの標準になってしまうだろう。 　またプロセス・モデル側でも時間の経過へのキャ ッチアップの限界はあるにせよ、プロセスを支える 製品の一般的な普及状況を踏まえた示唆は可能であ 表 II-4 成熟度レベルの尺度に見る Product の側面

特定非営利活動法人 itSMF Japan 8

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

ろう。例えば ITIL® のイベント管理プロセスであれ ばたとえレベル 1 でも OSS 含めてイベント検出から 通報までをカバーする製品が普及しており自動化さ れていない方が非現実的な状況となって久しい。ま た ITSM 製品の多くは、サービス・トランジションや サービス・オペレーションのプロセスを対象にワー クフロー基盤機能を提供している。これらの対象プ ロセスに関してはレベル３で自動化の検討が自然で あり、決してレベル５で求められる「革新的な技術」 には当たらないと考えるべきである。尚、プロセス・ モデル自体での対処が難しい場合、第三者的の PAM により補完すると言う選択肢もある。 II.4 IT マネジメント領域への適用における課題 　本章で見てきたように ISO/IEC15504 は Process に 重心を持ちながら評価基準の要件の中に People や 曖昧ながら Product の視点を含んだ幾分バランスの とれたアセスメント標準と言うことが出来る。一方、 ３つの P の観点から ISO/IEC15504 を IT マネジメン ト領域に適用する際の課題を振り返ると以下にまと められる。尚、(1)People の②については IT マネジ メント領域における重要課題として第 III 章にて考 察を加えたい。 (1) People の観点 ①スキル等適確性の明確化をプロセス・モデル側 に依存 ②単一組織を想定しており複合組織への対応が必要 (2) Process の観点 ①プロセス間インタフェースへの適切な評価が必要 ②プロセス優先付け、総合評価への対応をプロセ ス・モデル側に依存 (3) Product の観点 ①プロセスを支える技術基盤の示唆が必要 ②個々のプロセスを支える技術基盤の普及状況の 示唆をプロセス・モデル側に依存 III. IT マネジメント領域における今後の 　　 重要課題と対策 　本章では、マルチソーシング等アウトソーシング の複雑化や、バイモーダル IT（堅牢性と流動性の二 つのモード）で言うモード 2（流動性）で示されるビ ジネス・アジリティに関わる昨今および今後の IT マネジメントの重要な動向を踏まえ、アセスメント 手法に関わる対策を提言したい。 III.1 マルチソーシングと組織構造 　1960 年に米国で始まったと言われるアウトソーシ ングも、1980 年代のリストラクチャリングを踏まえ たフルアウトソーシング、部門アウトソーシングの 時代の反省から、ソーシングの最適化を目指したア ウトタスキングや外部クラウド活用、IT 競争力の強 化のためのバックソーシングやインソーシング等、 ソーシングの選択肢が入り乱れるマルチソーシング の様相を呈している。日本ではオンプレミス環境で 外部委託するようなアウトともインとも取れるソー シング形態も広く定着しており、SIer から実務事業 者への再委託によるソーシングの多層化等も含め、 IT 組織の複雑化が一層進んだ状況と言える。 　前章（II.4(1) ②）で述べたようにアセスメント標 準 ISO/IEC15504 は単一組織を前提においたもので あり、ソフトウェア開発など単一組織に収まりやす いプロセス・モデルではなく複雑な組織構造で成り 立っている IT マネジメント全般を対象にしたプロセ ス・モデルへの適用にそのまま当てはめるのは難し い。TIPA® など有償のアセスメント・サービスでは 評価範囲のスコーピング等、事前の調整フェーズを おいて評価に入るなどの現実的な工夫も見られる。 　日本でありそうな組織の組合せを ITIL® の「リリ ース管理及び展開管理」プロセスに当てはめて ISO/ IEC15504 の各レベルにマッピングしたイメージを図 III-1 に示す。もっともレベル５に至っている組織は 少ないと考えられ、あくまで理想像を含めたもので ある。前述の ISO/IEC15504 の前提である単一組織に 収まりやすいソフトウェア開発のプロセス・モデル の主要部分は本図のレベル１の層で言えば、「構築・ テスト」に該当し、この実施プロセスを詳細化した位 置付けにある。ITIL® と SLCP でプロセス・モデル間 のプロセスの粒度についての差を示す端的な例と言 える。 　このような複数組織で一つのプロセスを担当する 場合、個々の組織にとって自分が何をしていれば正 当なのかを示すにはプロセス単位の評価基準だけで は不可能である。図 I-3 のようなプロセス単位の評 価基準をそのまま当てはめると、下位レベルのプロ セス属性の要件は自分達では担当していないので不

特定非営利活動法人 itSMF Japan 9

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

図 III-1 複数組織によるプロセス運営のイメージ 適合、下位のレベルしか担当していないので上位レ ベルは目指せない、更に一部しか担当していないの でレベル１さえ部分適合、といった不都合が出てき てしまうのである。 　これらの課題に対して、以下のような対策を提言 したい（図 III-2 のイメージを参照されたい）。 ①「PA1.1 プロセス実施属性」における実施事項単位 の分担での評価を可能にする。 　　尚、プロセス・モデル側ではプロセスを構成す る実施事項を明確にする必要がある。 ②下位レベルを担当しない場合、上位レベルで下位 レベルの属性の要件を必要としない。 　　この処置と合わせて次項の③で補完することとする。 ③「PA n.n 下位コントロール属性」等のオプション要 件を追加する。 　上記②の処置の補填のため下位レベルの属性の 要件の代替として下位レベルの担当組織とのコミ ュニケーション等、下位レベルを他の組織が担当す る場合の当該組織に対するコントロール属性を要 件に追加して選択可能にする。 　上記は ISO/IEC15504 を例に説明したものだが、各 アセスメント手法や個々のアセスメント設計におい て上記のプロセス属性に相当する要件をテーラリン グ（仕立て直し）指針に加味頂ければ幸いである。 III.2 ビジネス・アジリティと IT 価値 　近年の IT の動向は、SMACT（ソーシャル、モバイル、 分析、クラウド、モノのインターネット）で語られビ プロセスAの評価 PA1.1 プロセス実施属性 下位レベルの属性 PA2.1 実施管理属性 PA2.2 作業成果物管理属性 下位レベルの属性 PA3.1 プロセス定義属性 PA3.2 プロセス展開属性 レベル１ レベル２ レベル３ レベル４ レベル５ 下位レベルの属性 PA4.1 プロセス測定属性 PA4.2 プロセス制御属性 下位レベルの属性 PA5.1 プロセス革新属性 PA5.2 プロセス最適化属性

①

②

③

図 III-2 複数組織向けの評価基準の調整イメージ

特定非営利活動法人 itSMF Japan 10

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

ジネスに直結する技術革新の広がりを強力に示して いる。ビジネスに対する IT 価値の位置付けも、業務の 効率化や業務量の拡大を支えるものだけでなく、ビ ジネス変革をもたらし他社との変革競争に勝つため の IT、つまりビジネス・アジリティを実現する IT と いう位置付けへのシフトが必要である。ガートナー が提唱するバイモーダル IT(2 つの流儀の IT) で言 えば、俊敏に対応するモード 2（流動性）を有する企 業がより多くを占めてくると予測されている（「2017 年までに、IT 部門の 75% はバイモーダル能力を持ち、 その半数は混乱を引き起こす。」／ガートナー「2015 年の展望：バイモーダル IT は CIO のクリティカル・ ケイパビリティである」[6]） 　バイモーダル IT の 2 つのモードの特徴 [7] を表 III-2 にまとめているが、従来のモード 1（堅牢性） の特徴の例としては、計画・プロセス重視、開発モデ ルで言えばウォーターフォール、これに対してモー ド 2（流動性）では、状況重視によるプロセス依存か らの脱却、開発モデルで言えばアジャイル・DevOps といったより柔軟な不確実性への対応能力が求めら れていると言うことが出来る。ウォーターフォール を Orchestra に、アジャイルを Jazz session に例え た本誌 2013.7 月号への武上氏の寄稿論文 [8] の秀 逸な例えを拝借し、更に 3 つの P についての例えを 加えると以下のようになろう。 ● Process：スタンダードなコード（和音）進行やリ ズム ● People：練度の高い奏者と奏者間だけでなく聴衆 を巻き込んだ駆引き ● Product：奏者の体の一部となるほどなじんだ楽 器と斬新な奏法 　開発モデルに限らずモード 2 の特徴全般に向けて、 このように Process を程良くルール化しつつも自由 度を持ち、People や Product も重視した３つの P の バランスにより、ビジネス・アジリティの要求に応 えられる、理想的には IT からビジネス・アジリティ を促進する技術革新を提案するような新たな IT の 流儀・能力が必要になると言えよう。 　第Ⅱ章で見たように ISO/IEC15504 は Process に 重心を持っており、評価事項の主軸を Process とし、 People や曖昧ながら Product の観点から Process の 成熟度レベルを測る方式をとっている。製造業に端 を発した伝統的な QIP（Quality In Process）つまり 「Process で品質を作り込む」という Process 重視の品 質管理の基本を具現化したアセスメント・モデルとも 言える。これは先のバイモーダル IT で言えばモード 1 （堅牢性）を支える有効な手法と位置付けられる。 　一方、モード 2 に向けては Process 重視ではなく、 Jazz session のように 3 つの P のバランスがより求 められることになる。そのためモード 2 に対応した アセスメント・モデルとしては、評価事項の主軸を Process ではなく、3 つの P を多角的に包含した評 価事項を主軸にすべきではないだろうか。これを図 にしたものが図 III-3 であり、「評価事項×成熟度」 の形式で表現するなら、モード 1 向けの Process × 2P（＝ People ＋ Product）とモード 2 向けの 3P（＝ Process ＋ People ＋ Product）× Pretty、というモデ ルが想起される。また両モデルの特徴を表 III-2 に まとめた。 モード１（堅牢性） モード２（流動性） IT化の狙い 業務効率、業務拡大 顧客効率、協働、差別化、技術革新 スピード 事業戦略（中長期） 事業戦況（短期・ASAP） 主なユーザ 社員 消費者 開発タイプ 新規・更改 改良・機能拡張等 開発モデル ウォーターフォール アジャイル、DevOps 計画性 計画重視（プロセス重視） 状況重視（脱プロセス依存） 重要フェーズ 方向性～設計（超上流・上流） 展開・運用・最適化（下流） 管理重点 進捗管理（プロジェクト管理） 要求・変更管理（サービス管理） 組織構造 事業 → IT 事業≒IT（一体化） ソーシング アウトソーシング インソーシング、コソーシング 基盤の所有 オンプレミス オフプレミス（パブリック・クラウド等） 表 III-1 バイモーダル IT の 2 つのモードの特徴

特定非営利活動法人 itSMF Japan 11

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

Process × 2P モデルに対する 3P × Pretty モデル （特に表 III-2 中の重量型）の主たる違いは、Process を軸にした評価事項に対し 3 つの P と 3 倍の観点を 評価事項に盛り込んだことによる評価事項の多角化 と増加と考えられる。多角化により評価事項は改め て構築することとなり、特定のフレームワークを新 規に定義したり、普及の進んだプロセス指向の既存 の標準フレームワークに対しても独自の解釈を加え る必要がある。また多角化した評価事項に対して共通 の成熟度定義は困難となり個別・複雑となる。一方、増 加した評価事項や個別の成熟度定義は、それに合致す るための成熟策の具体化を促し、フレームワークの提 供するナレッジの有効性を増大する。その分フレーム ワークの維持コストも増大することとなる。 　では実際にこのような重量型の 3P × Pretty モ デルは実在しうるのだろうか、筆者は、アイルラン ド発祥のフレームワーク IT-CMF ™（IT Capability Maturity Framework）がこれに相当すると考えてい る。IT-CMF ™については日本では近年の itSMF Japan でのコンファレンスやセミナ、公式トレーニング開講 評価事項 評価事項 成 熟 度 People + Product Process 成 熟 度 Process + People + Product Prettiness Process 実行の 確実性・効率 例えば・・・ ビジネス価値に 対する貢献の 期待値 ISO/IEC15504等に見られる Process × 2P モデル 例えば、IT組織の価値創出能力を示す 3P × Pretty モデル Processの Controlや Enablerの 共通要件 Process 自体の 評価要素 多角的な 評価要素 評価要素別 の 個別要件 モデル Process × 2P 3P × Pretty 重量型 軽量型 評価事項の バランス プロセスに重心をおく 多角的な組合せ（脱プロセス依存） 評価事項の数 少数に集約化されやす い 多角化に伴い増 加しやすい 絞り込みによる限 定が必要 既存フレーム ワークへの適応 既存のプロセス定義・規 格に対して柔軟に適用 特定・新規のフレームワーク向けに固 定的に機能 成熟度の共通性 対象に限定されず標準 化しやすい 独自の定義となり他との互換性が低い 成熟度定義の複 雑度 シンプル ※評価事項に関わらず共通 複雑 ※評価事項・要素個別 に設定が必要 やや複雑 ※複雑化への対策とし てレベル境界への フォーカス等が必要 成熟策の示唆 抽象的 具体的 やや抽象的 評価フレーム ワークの維持費用 低コスト ※恒久的だがある程度_Product の動向の反映を期待 高コスト ※ライセンス収入など の収益モデルが必要 になりやすい やや低コスト 図 III-3 Process 重視のアセスメント・モデルと 3P 重視のアセスメント・モデル 表 III-2 両アセスメント・モデルの特徴

特定非営利活動法人 itSMF Japan 12

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

や IPA の iCD との連携のアナウンスでご存じの読者 も多いのではないだろうか。図 III-4 に IT-CMF ™の成 熟度モデルの概要を示す数ある図表のうち３つの P の観点が見て取れる一つを例示した。IT-CMF ™の開 発に際しては、IT・IT マネジメント関連の 158 余り の既存フレームワークを研究した IT マネジメント全 般をカバーする枠組みに、800 の評価事項に対する 5 段階のレベル定義、かけること 4000 の評価基準を有 し、成熟策である Practice も同様の粒度で提供して いる。アセスメント・サービスは主に 3rd Party から 公式トレーニングと認定を受けたアセッサによって アセスメント・ツールを駆使した有償サービスとし て提供される。 従来、アセスメント・モデルへの要求の一つに無償 のセルフアセスメントがあり普及の大きな要因とな るが、上記のような重量型の 3P × Pretty モデルのま までは Open で Free なアセスメント・ツール／サー ビスの提供は困難である。この対策として評価事項や 成熟度定義に対する範囲や粒度の絞り込みなどの工 夫による軽量型（表 III-2 中の軽量型）のより Open/ Free なアセスメント・キットの実現を提唱したい。 甘味に例れば、豪華なパフェもよいが持帰り可能な三 色団子を戴きたい気分である。軽量化の分、重量型の 利点を損ねる可能性もあるが、広範な IT マネジメン トの中でも特定領域に絞り込む等、当該領域の普及を モチベーションとするボランタリな組織により、アセ スメント・モデルと付随するツールやサービスの開 発・維持を担える土壌の醸成を期待したい。 おわりに 　本稿では、アセスメント標準 ISO/IEC15504 の概要 や普及状況と共に IT マネジメントの昨今の主な課題 への対応策を論じてきたが、その要点を以下にまと める。 ‧ISO/IEC15504 が着実に IT マネジメントの各領域の アセスメント標準として普及しつつある ‧ISO/IEC15504 を 3 つ の P の 観 点 で 考 察 す る と、 Process を主軸とし People や不明確ながら Product の観点から成熟度レベルを評価したアセスメント・ モデルとなっている ‧ 同様 ISO/IEC15504 には 3 つの P の観点から見た改 善点や適用における工夫の余地がある ‧ マルチソーシングによる IT 組織の複雑化に対して は、組織を構成する下位組織単位でのア評価基準の 分割とコントロール要件の加味が必要である ‧ バイモーダル IT で言うモード 2（流動性）の拡大に

Process

Product

People

能力の

成熟度

レベル

能力を支持する プロセスの水準 能力を支援する 自動化の 度合い 組織に渡る 適用の広がり 達成成果の 評価の広がり 図 III-4 IT-CMF の成熟度モデルに見る 3 つの P の観点 表部分の出典：IT-CMFTM _Artifacts

特定非営利活動法人 itSMF Japan 13

itSMF Japan White Paper

　

ITSMWP-025　　　　2017 年 5 月 10 日

向けて、ISO/IEC15504 のような Process 重視のア セスメント・モデルから 3 つの P のバランスをと った新しいアセスメント・モデルが必要であり、同 時に必要に応じてアセスメント・モデルの重量化 対策をとるべきである 　日本での ITIL® 向けの手頃なアセスメント手段は、 v2 当時の OGC セルフアセスメントから V3 移行によ り途絶えて久しい。itSMF Japan の活動としては新 アセスメント分科会の発足によりこの課題への対応 が期待されるところである。V2 当時からアセスメン ト手法を取り巻く状況は本稿に垣間見るように大き く変化しており、本稿がその活動の一助になれば幸い である。 　最後に本稿の精査にあたり助言をいただいた認定 TIPA® リードアセッサの小渕淳二氏に御礼申し上げ、 筆をおきたい。人間ドッグの診断から甘 味断ちすること半年、熊本地震収束と復 興を祈念し、いきなり団子に思いを馳せ る今夏である。 ＜参考文献＞

[1]「Process Maturity Profile (Jan 2016)」CMMI Institute (2016/1)

[2]「JIS X 0145-1:2008 情報技術−プロセスアセス メント−」日本工業標準調査会 (2008/3)

[3]「COBIT®5 : A Business Framework for the Governance and Management of Enterprise IT」 ISACA (2012/4)

[4]itSMF Japan第4回コンファレンス「～アセスメ ント分科会活動報告～ ITサービスマネジメント におけるアセスメントの位置付けと実践」itSMF Japanアセスメント分科会 (2007/8)

[5]it SMF Japan Newsletter 2013.7号寄稿論文 「ITIL®、アジャイル、そしてクラウド ～実際の ところOpsDevじゃないかと考えてみる～」小澤 一友 (2013/7) [6]「2015年の展望：バイモーダルITはCIOのクリ ティカル・ケイパビリティである」ガートナー (2015/4)

[7]itSMF Japan Newsletter 2015.7号寄稿論文「The DevOpsに見る戦略ピラミッドと残念なITIL® [実 際のところOpsDevじゃないかと2.0] ～ 現在目標 は、我々の直上に侵攻…まあ、そうなるな ～」 小澤 一友 (2015/7)

[8]itSMF Japan Newsletter 2013.7号寄稿論文「サ ービスマネジメント視点のDevOps ～開発と 運用をめぐる現場の課題と今後～」武上 弥尋 (2013/7）

[9]「ITSM Process Assessment Supporting ITIL®: Using TIPA to Assess and Improve Your Processes With ISO 15504 and Prepare for ISO 20000 Certification」Beatrix Barafort, Valerie Betry, Stephane Cortina, Michel Picard, Alain Renault, Marc St-Jean, Omar Valdes (2009/12) [10]「IT Capability Maturity Framework™ IT-CMF™:

The Body of Knowledge Guide」Martin Curley, Jim Kenneally, Marian Carcary (2015/9)

　

　小澤 一友

株式会社シグマクシス　マネージャー

ITIL® V2 Manager / V3 Expert Certificate, ISO/ IEC20000 認定コンサルタント , COBIT® Foundation, IT-CMF Associate Certificate 1992 年、自然言語処理への関心から IT 企業に入社、システム 開発／保守、特に広域監視システムの研究・構築などシステ ム運用管理関連の経験を経て、2004 年 4 月日本初の ITIL® マネージャ認定を取得後、組織的な ITIL® 活用推進、品質改 善活動に取組む。以降 IT 企業数社にて IT 運用改善、IT サー ビスマネジメント導入コンサルティング、IT アウトソーサ 創業に際した品質マネジメントシステムの構築などを経験。 現在 IT マネジメントを中心としたコンサルティング・チー ムに所属、府省 PgMO 支援等に務める。itSMF Japan 新アセス