ITIL が情報セキュリティを変える _1

How ITIL Can Improve Information Security

Steven Weil 2004-12-22

From <http://www.securityfocus.com/infocus/1815>

ITIL ってなんだろう、という方も多いかと思います。じつは私もその一人でして、全体像を簡潔に示してくれるドキュメントを、ずっと探していました。 古いものなのですが、ビギナー向けの概要を見つけましたので、その抄訳を 4～5 回に分けて掲載していきます。 －－－ A.C.

Introduction

ITIL（ Information Technology Infrastructure Library）は、IT サービスを管理していくための、統合されたプロセス･ベースのアプローチを定義する、ベスト･プラクティスとガイドラインのセットです。 ITIL は、IT 環境における、ほとんど全ての形態を網羅するかたちで適用できます。ITIL に対する興味と適用は、世界的な規模で着実に増加していましす。それを採用した数多くの公共／民間の組織には、Proctor & Gamble や Washington Mutual、Southwest Airlines、Hershey Foods、Internal Revenue Service などが含まれます。 それに加えて、ITIL のメリットとしては、IT とビジネス･ニーズの調整および、サービス品質の改善、IT サービスの提供とサポートにおけるコストの低減などが、よく言及されます。つまり、この ITIL というフレームワークは、直接的（具体的な Security Management がある）および間接的に、情報セキュリティのプロフェッショナルたちを支援することができます。

この論文が提供するのは、ITIL の全体的な概要であり、また、組織の情報セキュリティの実施と管理を、どのように ITIL が改善できるのかという点を説明していきます。

ITIL overview

ITIL は英国政府による試みとして、1980年代に始まりました。その試みとは、政府における膨大な IT リソースを効率良く、高い費用対効果で活用するためのアプローチの開発です。 実績のある IT プロフェッショナルたちの経験と専門的知識を利用することで、英国の行政機関は、それぞれの異なる IT プロセスに焦点を合わせた、一連のベスト･プラクティスに関する書籍を記述し、公表しました。 その時から ITIL は、組織および、ツール、コンサルタント業務、関連するフレームワークと出版物における、全体的な活動になりました。 現時点では、パブリック･ドメインにあり、まだ進行中の活動ですが、ITIL ガイドラインである 44巻のセットは、中核となる 8冊の書籍の中に整理統合されています。

ITIL に関する大半の議論において、ITIL Service Support and Service Delivery の書籍が参照されます。 そこに含まれるのは、Change、Release、Configuration Management に加えて、Incident、Problem、Capacity、Availability Management などで構成される、コアとなる IT 運用プロセスのための、構造化されたベスト･プラクティスと標準的な方法論のセットになります。

ITIL はサービス品質を重視するものであり、また、IT サービスの提供とサポートにおいて、効率と費用対効果を向上させるための方式にフォーカスしています。 ITIL フレームワークにおいては、IT サービス（例えば人事や会計）を依頼して、対価を支払う組織内のビジネス･ユニットが、IT サービスの「顧客」であると考えられます。 この IT 組織は、顧客にサービスを提供するプロバイダーであると考えられます。

ITIL が定義するのは、IT 組織で見出される数多くのプロセスにおける、目的と、活動、インプット／アウトプットです。そこで最初にフォーカスされるのは、高品質の IT サービスを保証するために必要なプロセスとなります。しかし ITIL は、それぞれの組織化においてプロセスが異なるため、その実施方式について特定することはなく、また、詳細な記述も提供しません。 言い換えれば、 ITIL が組織に対して、行うべきことは伝えますが、そのための方法は伝えません。

一般的に、ITIL フレームワークは段階的に実施されますが、そこでは継続的なサービス改善のためのプログラムに対して、別のプロセスが付け加えられます。

ITIL における、いくつかの重要な方式を介して、組織はメリットを享受できます：

• IT サービスが、これまで以上にカスタマーにフォーカスされたものになる。
• IT サービスの品質とコストについて、その管理が改善される
• IT 組織において、その開発の構造が明確になり、また、効率化が図れる
• 変更に関する管理が容易になる
• IT に関する内部コミュニケーションにおいて、参照の形式が統一される
• IT に関する手続きが、標準化され、統合化される
• 検証と監査に耐えうる、パフォーマンス指標が定義される

 

ITIL が情報セキュリティを変える _1
ITIL が情報セキュリティを変える _2
ITIL が情報セキュリティを変える _3
ITIL が情報セキュリティを変える _4
ITIL が情報セキュリティを変える _5 (最終回)

ITIL V2 は消えてしまうのか？

ITIL が情報セキュリティを変える _2

How ITIL Can Improve Information Security

Steven Weil 2004-12-22

From <http://www.securityfocus.com/infocus/1815>

ITIL details

ITIL が取り込むプロセスベースのアプローチとは、IT サービスの管理と提供のためのものです。つまり、IT のアクティビティはプロセスに分けられますが、それぞれが３つのレベルを持つことになります：

• Strategic:組織の目的を、目的を達成する方法のアウトラインと共に決定します。

• Tactical:適切な組織の構造と、特定の計画に、ストラテジーを変換します。それにより、実行すべきプロセスや、供給されるべき資産、そして、プロセスの結果として求められるものが明文化されます。
• Operational: 限定的な計画を実行します。 戦略的な目標を、指定された時間内に達成します。

ITIL がカバーする、多数の IT プロセスがありますが、それらの記述は、この論文の範囲に含まれません。以下に続く各項目は、一般的な ITIL プロセスの簡潔な記述であり、情報セキュリティーと深く関係する、Security Management を伴います。それぞれの領域が、ベスト･プラクティスのセットになります：

• Configuration Management: 運用環境のコンフィグレーションを制御するためのベスト･プラクティス（たとば、標準化、ステータス･モニター、資産確認）。 組織の IT インフラストラクチャを構成する項目を、識別し、制御し、維持し、検証することにより、これらのプラクティスが保証する、インフラストラクチャ論理モデルの存在。

• Incident Management: インシデント（ IT サービスの品質において、中断や劣化を引き起こすあらゆる事象を解決し、IT サービスを迅速に復元するためのベスト･プラクティス）。 これらのプラクティスにより、インシデントの発生後に、通常サービスが可能な限り迅速に復旧することを保証。

• Problem Management:将来における再発防止するために、IT インシデントの根本的な原因を識別するベスト･プラクティス。 これらのプラクティスにより、インシデントと問題について、それらを積極的に防止するための方式を探索。

• Change Management: IT を変更する際の、制御された実施方式を標準化して、承認していくためのベスト･プラクティス。 これらのプラクティスにより、IT サービスへの変更が最小限の影響で実施され、そのトレースが可能であることを保証。

• Release Management: ハードウェアとソフトウェアの、リリースに関するベスト･プラクティス。 これらのプラクティスにより、テストと承認が済んだソフトウェアとハードウェアの正しいバージョンだけが、IT 顧客に供給されることを保証。

• Availability Management: 顧客に対して保証された、IT サービスの可用性を維持するためのベスト･プラクティス（例えば、インシデントを最小限に抑えるための、メンテナンスとデザインの最適化）。 これらのプラクティスにより、IT インフラストラクチャの、信頼性および、弾力性、そして回復能力を保証。

• Financial Management: IT サービス（例えば、予算管理、IT 会計、課金）の提供コストを理解し、管理するためのベスト･プラクティス。 これらのプラクティスにより、経済面と効率面で、また、費用対効果において、IT サービスが適切に提供されることを保証。

• Service Level Management: IT と IT 顧客の間での協定が指定され、満たされることを保証するためのベスト･プラクティス。 これらのプラクティスにより、 IT サービスに関する合意と、モニター、レポート、レビューのサイクルを介して、IT サービスの保守と改善が実施されることを保証。

さらに、Service Desk 機能があります。それにより、IT サービス･ユーザーのための中心となるポイントを確立し、管理していくためのベスト･プラクティスを明文化していきます。 Service Desk における２つの重要な責任は、インシデントのモニタリングと、ユーザー･コミュニケーションです。図１が示すのは、上記のプロセスであり、また、各種のサービス･マネージメント･プロセスのためのシングル･ポイントとして、Service Desk 機能が提供される様子です。

Figure 1. ITIL Service Management Processes

上記のプロセスと、Service Desk 機能に関する詳細については、この論文の最後にリストアップされている、リファレンスから参照することが可能です。

ITIL が情報セキュリティを変える _1
ITIL が情報セキュリティを変える _2
ITIL が情報セキュリティを変える _3
ITIL が情報セキュリティを変える _4
ITIL が情報セキュリティを変える _5 (最終回)

ITIL V2 は消えてしまうのか？

ITIL が情報セキュリティを変える _3

How ITIL Can Improve Information Security

Steven Weil 2004-12-22

From <http://www.securityfocus.com/infocus/1815>

ITIL and information security

ITIL が追求するのは、効果的な情報セキュリティの基準が、戦略上のレベルや、短期的な実施と運用のレベルにおいて、確保されていることの保証です。 情報セキュリティに関しては、制御／計画／実施／評価／維持されるに違いない、反復のプロセスであると考えることができます。

ITIL は、情報セキュリティーを、以下の項目に分割します：

• Policies – 組織が達成しようと試みる、全体的な目的
• Processes – 目標を達成するために、行うべきこと
• Procedures – 目標を達成するために、誰が、いつ、何をするのかという手順
• Work instructions – 特定のアクションを実施するための指示

図２ が示すのは、継続的なレビューと改善を用いた、完全な循環プロセスとしての、情報セキュリティーの定義です：

 

Figure 2. Information Security Process

いくつかの組織が、Implementation と Monitoring をシングル･ステップとして見るように、ITIL の Information Security Process を、７つのステップ･プロセスとして表現できます：

1. リスク分析を用いることで、IT顧客は自身のセキュリティー要件を識別する
2. IT 部門は、その要件の具現性について判断し、また、組織における最低限の情報セキュリティー･ベースラインとの比較を行う
3. 顧客と IT 組織は、service level agreement (SLA) について協議し定義する。そこには、測定可能な項目において定義された情報セキュリティーの要件と、それらの測定を達成するための方式が含まれる。
4. Operational level agreements (OLAs)により、詳細な記述が提供される。それにより、IT 組織内において、情報セキュリティー･サービスが提供され、折衝され、定義される方式が示される
5. SLA と OLA が実施され、モニターされる
6. 顧客は、提供される情報セキュリティー･サービスの有効性と状況に関する、一般的なレポートを受け取る
7. SLA と OLA は、必要性に応じて修正される

Service level agreements

SLA は、ITIL 情報セキュリティー･プロセスの、キーとなる部分です。それは、サービスのレベルを文書化する、書面による正式な契約であり、 IT を用いて責任をもって提供する、情報セキュリティーを含みます。また、SLA は、パフォーマンスに関する主要な指標と基準を含むべきです。 典型的な SLA 情報セキュリティー･ステートメントには、以下の項目を含むべきです：

• 許可されたアクセス手法
• 監査とログに関する合意
• 物理的なセキュリティー基準
• 情報セキュリティーに関する、ユーザーに対するトレーニングと意識の徹底
• ユーザーのアクセス権に関する、承認手続き
• セキュリティー･インシデントにおける、報告と調査の合意
• 期待される報告と監査

ITIL では、SLAs と OLAs に加えて、3種類の情報セキュリティー･ドキュメントを定義しています：

• Information security policies: ITIL が提示するセキュリティー･ポリシーは、上級経営者たちによりもたらされるべきであり、以下を含む：
  1. 組織における情報セキュリティーの目的と範囲
  2. 情報セキュリティーに関する、管理手法の目的と原則
  3. 情報セキュリティーに関する、役割と責任の定義

• Information security plans: 特定の情報システムとビジネス･ユニット対して、ポリシーを実施するための方式を明文化
• Information security handbooks: 日々の運用に関するドキュメント。つまり、詳細な作業指示を提供

 

ITIL が情報セキュリティを変える _1
ITIL が情報セキュリティを変える _2
ITIL が情報セキュリティを変える _3
ITIL が情報セキュリティを変える _4
ITIL が情報セキュリティを変える _5 (最終回)

ITIL V2 は消えてしまうのか？

ITIL が情報セキュリティを変える _4

How ITIL Can Improve Information Security

Steven Weil 2004-12-22

From <http://www.securityfocus.com/infocus/1815>

Ten ways ITIL can improve information security

情報セキュリティーに関する組織的な実施と管理を、ITIL を用いて改善するためには、いくつかの重要な手段があります。

1. ITIL により、情報セキュリティー･ビジネスと、フォーカスされるサービスを維持。多くの場合において、情報セキュリティーはビジネス機能に対する、コスト･センターもしくは邪魔者として捉えられる。ITIL を用いることで、ビジネス･プロセス･オーナーと IT による、情報セキュリティー･サービスに関する折衝を実現。つまり、サービスとビジネス･ニーズの連携を保証。
2. ITIL が組織に対して保証する、ベスト･プラクティスに基づいた、構造的で明快な方式による、情報セキュリティーの作成と実施。情報セキュリティーのスタッフを、消火活動から、構造的で計画的なアプローチへ移行。
3. 継続的なレビューという要件を用いることで、情報セキュリティーの基準が、要件／環境／安全に関する変更を効果的に維持していくことの支援を実現。
4. ITIL が確立する、監査と検証に対応する、プロセスと標準化（SLA と OLA など）のための文書化。それにより、情報セキュリティー･プログラムにおける効果と、規定要件への適応に対する、組織的な把握を推進。
5. ITIL が提供する基盤の上で実現される、情報セキュリティーの構築。そのためには、情報セキュリティーを大幅に改善する、 Change Management、Configuration Management、Incident Management などの、多数のベスト･プラクティスが必要。たとえば、サーバーのコンフィグレーション失敗などの、不適切な変更管理により、情報セキュリティーに関する相当数の問題が生じる。
6. ITIL が実現する、情報セキュリティー･スタッフと他グループとの間での、有意義なディスカッション。大半のマネージャが、ファイアウォールや暗号化の詳細を理解することは無いが、問題解決のために定義されたプロセスへと変換された、包括的なセキュリティーといったものであれば、理解を示すと思われる。それにより、サービスが改善され、SLA が維持される。ITIL が実現する、マネージャーによる情報セキュリティへの理解は、組織における成功を支える、重要なパートとなる。
7. 組織だった ITIL フレームワークにより、情報セキュリティー基準における不適切な実施が阻止される。ITIL が要求する、一貫性のある設計と構築は、測定可能な情報セキュリティーの基準を、インシデント後の対応ではなく、IT サービスに置き換える。それにより、時間と、費用と、労力が、大幅に低減される。
8. ITIL が要求するレポートにより、組織的な情報セキュリティーの効果に関する、適切な情報の伝播が維持される。さらに、このレポートにより、その組織が持っている、リスクに関する議論も活性化する。
9. ITIL により、情報セキュリティーに関する役割と責任が定義される。それにより、インシデントが発生したときの責任者と、取るべき処置が明確になる。
10. ITIL が確立する共通言語により、情報セキュリティーに関する議論が円滑になる。それにより、情報セキュリティー･スタッフは、他部門との効果的なコミュニケーションを実現する。また、セキュリティー･サービスのアウトソース先など、外部のビジネス･パートナーとのコミュニケーションも円滑になる。

 

ITIL が情報セキュリティを変える _1
ITIL が情報セキュリティを変える _2
ITIL が情報セキュリティを変える _3
ITIL が情報セキュリティを変える _4
ITIL が情報セキュリティを変える _5 (最終回)

ITIL V2 は消えてしまうのか？

ITIL が情報セキュリティを変える _5 (最終回)

How ITIL Can Improve Information Security

Steven Weil 2004-12-22

From <http://www.securityfocus.com/infocus/1815>

Implementing ITIL

一般的に、ITIL は IT 部門から始まるのではなく、CEO や CIO といった、経営陣上層部により開始されます。 しかし、情報セキュリティーのプロフェッショナルは、経営陣上層部に対して ITIL への注意を促すことで、価値を加えることができます。 このフレームワークを迅速に適用することで、あなたの組織は、ITIL について議論するための下地を準備できるでしょう。つまり、経営者に対して、ITIL の情報セキュリティから得られるメリットを知らせることで、その適用に拍車をかけることが可能になります。

ITIL を実施するためには、時間と労力が必要です。 組織の規模と複雑さに応じて、それを実施するための前準備と労力が変わります。 多くの組織にとって、 ITIL の実施を成功させることは、その組織の文化を変えることを要求するでしょう。また、組織全体におよぶ、従業員の取り組みと約束も必要とするでしょう。

ITIL の実施を成功させるための、重要な要素として、以下の項目が含まれます：

• ITIL の実施による、取り組みと約束の、完全な管理
• 段階的なアプローチ
• スタッフと管理者に対する、一貫性のあるトレーニング
• サービス提供と、コスト低減における、ITIL による改善を可視化する
• ITIL をサポートするツールに対する、十分な投資を確保する

Conclusion

情報セキュリティ基準は、範囲、複雑さ、重要性において、着実に増加しています。 情報セキュリティーが、不細工につぎはぎされた独自のプロセスに依存することは、組織にとって危険であり、費用がかかり、そして、非能率です。 ITIL を導入することで、それらの従来からのプロセスを、ベスト･プラクティスに基づき、標準化され、統合化された新しいプロセスで、置き換えることが可能になります。 若干の時間と労力が必要とされますが、情報セキュリティーの組織的な実施と管理が、ITIL により改善されていきます。

Further Reading

• The Official ITIL Webpages – www.itil.co.uk
• ITIL Service Leadership – www.itil.org
• IT Service Management Forum – www.itsmf.com
• Pink Elephant ITIL Best Practices – www.pinkelephant.com
• ITIL Community Forum – www.itilcommunity.com

About the author

Steven Weil, CISSP, CISA, CBCP is senior security consultant with Seitel Leeds & Associates, a full service consulting firm based in Seattle, WA. Mr. Weil specializes in the areas of security policy development, HIPAA compliance, disaster recovery planning, security assessments, and information security management. He can be reached at sweil@sla.com.

View more articles by Steven Weil on SecurityFocus.

Comments or reprint requests can be sent to the editor.

ITIL が情報セキュリティを変える _1
ITIL が情報セキュリティを変える _2
ITIL が情報セキュリティを変える _3
ITIL が情報セキュリティを変える _4
ITIL が情報セキュリティを変える _5 (最終回)

ITIL V2 は消えてしまうのか？

ITIL V2 は消えてしまうのか？

The future of ITIL® V2

A market exploring survey – February 2009

Internet www.exin-exams.com

そう言えば、ITIL ってどうなっているのでしょうかね？クラウドが注目されるにつれて、マネージメントに関する興味が薄れがちですが、インシデントまでは Azure も面倒を見てくれません。また、オンプレミスではツールも自身で用意しなければなりません。 ITIL は すべてが V3 に行ってしまうのでしょうか？ 今年の 2月のレポートですが、V2 と V3 に関する面白いレポートがありましたので、以下に抄訳を掲載します。 －－－ A.C.

 

1. Introduction

1.1 The growth of ITIL®

EXIN は、1993年に設立されて以来、ITIL V2 に関する試験を提供し続けていますが、当初は Service Manager 試験だけでした。その後、この試験のための財団と、1つの科目は、オランダで導入され、また、1997 年からは国際的に導入されました。 2000 年の ITIL V2 の後には、急速な普及が世界的規模で始まり、また、2005 年以降は、その傾向が更に強まっています。

2007 年の ITIL V3 の導入により、IT Service Management にかかわる多くの人々が、「今後における ITIL V2 での証明」について質問しました。 世界の主要国で、まさに ITIL V2 が導入され、ローカライズされたところでした。 現時点において、ITIL® Qualification Board が ITIL V2 の中断を検討しているため、この調査では、マーケット･サイドからの見解を集約していきます。

1.2 The survey

この調査が目指すのは、ITIL に対するマーケット･サイドからの要求を調査することです。つまり、ITIL V2 フレームワークを、販売／推奨／使用する人々の意見を集約します。現時点において、ITIL が、数多くの「ITIL 先進国」で取り入れられているという事実は、否定することができません。 しかし、それぞれの理由により、ITIL V2 を継続して使いたいという、マーケットからの声があるように思われます。 主な問題は、そのようなグループの規模でしょうか？

1.2.1 Respondents regional representation

全体で 547人の回答者が、このオンライン･アンケートに匿名で参加しました。地域により分類すると、ヨーロッパとアジア･パシフィックの比率が高いと分かります。 この調査で特筆すべきことは、こうした地域による相違が少なかったことです。

1.2.2 Research population’s relation to ITIL®

この調査に参加した大多数の人々は、ITIL の販売および推進に関与しています。その一方で、その販売と推進に関与していない、圧倒的に多数の人々は、現時点において V2 フレームワークを使用しています。 この調査は、きわめて正確です。なぜなら、ITIL の販売と利用に関与していない人は、調査対象者の 2.9％に過ぎないからです。

2. Results

2.1 The perceived benefits of ITIL® V2 & V3

Trainers & consultants

今のところ、マーケットの大半において、ITIL V2 が販売され、推奨されています。 トレーナーとコンサルタントの約 70% が、その顧客により、ITIL V2 が利用されていると主張しています。 それにもかわらず、ITIL マーケットにおいては、きわめて短期間のうちに V3 の導入が増えています。この調査の対象者のうち、約 60％ の回答者が、同時に双方のフレームワークに取り組んでいます。

ITIL V3 の トレーナー とコンサルタントは現時点において、V3 が V2 の延長線上にある最新バージョンであるため、そちらをメインとして考えているようです。だたし、それだけではなく、どれぐらい期間において、ITIL V2 がパブリックなかたちで利用できるかという危惧もあるようです。

Corporations and users

この調査において、ITIL のトレーニングの提供者は、その顧客における ITIL V2 のメリットについて、査定するように求められました。さらに、ユーザーに対しても、そのメリットに関する認識が、ダイレクトに尋ねられました。この方式により、直接的な需要と、派生的な需要に対して、クロス･チェックが可能になります。ユーザーからは、試験と書籍に関するローカリゼーションといった理由が付け加えられましたが、双方のグループにおける認識は、完全に一致していました。

ユーザーにおける ITIL V2 の主要なメリットは、その有効性が証明されたことだけではなく、より抑制された追加投資にあります。

この調査における、2.6％ の ITIL ユーザーだけが、 ITIL V3 に切り替えたと答えていますが、その理由は「最新バージョン」にあります。

2.2 How long does the market want ITIL® V2 to stay?

この調査では、直接的な需要（企業、利用者）だけではなく、派生的な需要（トレーナー、コンサルタント）も、ITIL V2 の寿命について、同じような見解を示しています。つまり、早急に終わるべきではない、というものです。

半数以上の トレーナー とコンサルタントが、ITIL V2 と ITIL V3 の共存を望んでいます。その一方で、より以上の企業と利用者が、ITIL V2 と ITIL V3 の共存を望んでいます。

3. Conclusions

今回の調査対象者である 547人は IT Service Management において活動しており、ITIL V2 が終了する可能性について、EXIN が市場動向を把握するための、アンケートへの記載に協力しました。この 市場とは、最終的な需要（ユーザー）と、派生的な需要（トレーナー / コンサルタント）という観点で定義されています。

これらの人々の半数以上が、今後の長期間にわたり、ITIL V2 を ITIL V3 が安定して共存していくことを望んでいます。また、この調査対象者のうち、5％ 以下の人々が、ITIL V2 を直ちに終了すべきと考えています。

トレーナーとコンサルタントのうち、約 70％ が主張するのは、彼らの顧客が ITIL V2 をを求めていること、そして、この要求についてユーザーと共にクロス･チェックしたいということです。 ITIL V2 の継続に関する主な理由は、V2 における実績、および、V2 で証明された記録の追跡、そして、フレームワークのアップデート･バージョンに対して、新たな追加投資が不要だという事実です。

現時点において、主として ITIL V3 の販売／推進に関わるトレーナー とコンサルタントは、その理由として、以下の二点を挙げています。それは、V3 が V2 の延長線上にある最新バージョンであること、そして、どれぐらい期間において、ITIL V2 がパブリックなかたちで利用できるかという危惧です。

ITIL が情報セキュリティを変える _1
ITIL が情報セキュリティを変える _2
ITIL が情報セキュリティを変える _3
ITIL が情報セキュリティを変える _4
ITIL が情報セキュリティを変える _5 (最終回)