COBITとは：ISACAのITガバナンスフレームワークの実践ガイド

ガバナンスのニーズが単一のドメインに収まらず、データ品質、サービス管理、セキュリティ運用など複数のドメインにまたがる場合、組織はCOBIT®を参照します。COBITフレームワークは、より専門的なフレームワークと連携して機能します。統合を目的として特別に構築されているため、チームは運用の詳細をドメイン固有のモデルに依存しつつ、エンタープライズガバナンスレイヤーとしてCOBITを使用します。

COBITは、企業の情報およびテクノロジーのガバナンスと管理を行うためのISACAのフレームワークです。データに特化したフレームワークではありません。その目的はより幅広く、構造化されたガバナンスシステムを通じて、組織がITを企業の目標に合わせ、リスクを管理し、リソースを最適化できるように支援することです。

COBIT 2019は現在のバージョンであり、COBIT 5の後継です。大局的に見ると、COBITは、利益の実現とリスクおよびリソースの最適化のバランスを取ることで、組織が情報とテクノロジーから価値を創造できるようにすることを目的としています。そのため、データチーム内にとどまらず、監査、アーキテクチャ、セキュリティ、コンプライアンス、運用にまたがっています。

COBIT 2019が広く使用され続けている実用的な理由の1つは、カスタマイズできるように設計されているためです。ISACAは、組織が独自のコンテキストに合わせてガバナンスシステムを形成できるようにこのフレームワークを設計しました。つまり、企業戦略、リスクプロファイル、ソーシングモデル、規模、実装アプローチなどの変数を考慮するということです。

これが、COBITが専門的なフレームワークの上位に位置する傾向がある理由でもあります。COBITは、他のフレームワークをどのように方向付け、監視し、企業の目標に合わせるべきかを組織が決定するのに役立つ、ガバナンスの包括的な枠組みを提供します。たとえば、COBITはITILやTOGAFなどのフレームワークを補完します。TOGAFはエンタープライズアーキテクチャの設計方法をガイドし、ITILはサービスの提供と管理方法に焦点を当てていますが、COBITは両者がビジネス目標、リスク管理、価値の提供と一致していることを保証します。

COBIT 2019を理解する最も簡単な方法は、関連する3つのレイヤー（ガバナンスシステムを導く原則、そのシステムを構成するコンポーネント、実際のガバナンスと管理の作業を整理するドメインと目標）を確認することです。

最初のレイヤーはガバナンスシステム原則で構成されており、ガバナンスシステムがどのように機能すべきかを示す設計ルールとして機能します。COBIT 2019の原則は次のとおりです。

2つ目のレイヤーは、7つのガバナンスシステムコンポーネントで構成されています。これらは、組織が実際に使用する構成要素です。

COBITは、実際のガバナンスと管理の作業を、5つのドメインにわたる40のガバナンスおよびマネジメント目標に整理しています。これは、成熟度の評価、アカウンタビリティの割り当て、またはガバナンスの期待と運用実践の結び付けを行う際に、ほとんどのチームが利用するCOBITの要素です。

COBITは、ガバナンス戦略のオーバーレイとして機能します。

COBITは、データを独自の独立した統制セットを持つ孤立したドメインとしてではなく、アーキテクチャ、セキュリティ、アカウンタビリティ、運用、アシュアランスの影響を受けるものとして扱います。COBITにおけるデータガバナンスは、APO14（データの管理）だけでなく、APO01（ITマネジメントフレームワークの管理）、APO03（エンタープライズアーキテクチャの管理）、APO13（セキュリティの管理）、DSS05（セキュリティサービスの管理）などの関連目標によって形成されます。

取締役会、監査部門、またはガバナンスオフィスは、監視、アカウンタビリティ、レポート作成、および統制の期待値を定義するためにCOBITを使用する場合があります。その後、データチームは専門的なフレームワークや社内の運用基準を使用して、スチュワードシップ、メタデータ、品質、ライフサイクルの実践をより詳細に策定します。これらのフレームワークを併用すると、多くの場合、COBITがガバナンスのギャップを表面化させる一方で、データフレームワークがその下にあるプロセスレイヤーを埋めるのに役立ちます。

Snowflakeは、COBITの多くの目標をサポートできます。

Snowflake Horizonカタログは、アクセス制御の適用を支援し、分類を通じて機密データを特定し、ダイナミックデータマスキングと行アクセスポリシーをサポートし、リネージを可視化する、ガバナンスおよびディスカバリレイヤーです。管理されたデータは、アセットを特定し、ガバナンスコンテキストを付与し、環境全体でより一貫してポリシーを適用できるかどうかに依存するため、この組み合わせはAPO14の運用に役立ちます。また、Snowflakeのデータ品質モニタリングは、チームがガバナンス対象のデータアセットに測定可能なチェックを付与できるようにすることで、APO14をサポートします。

ロールベースのアクセス制御（RBAC）、ネットワークポリシー、ダイナミックデータマスキング、行レベルポリシーの適用は、アクセスの制御、機密データの保護のサポート、および統制の監査可能性の向上を支援する組み込みの方法です。これらの機能は、アクセスおよび保護ルールをガバナンス対象のデータ自体の近くに配置することで、セキュリティおよびセキュリティサービスの目標をサポートするのに役立ちます。

SnowflakeのACCESS_HISTORYビューは、すべての読み取りおよび書き込みアクティビティを記録し、ACCOUNT_USAGEおよびORGANIZATION_USAGEスキーマを通じて利用できます。過去365日間のクエリ履歴を表示するアカウントの使用状況ビューも利用できます。ACCOUNT_USAGEスキーマは、アカウントレベルでの過去の使用状況データとオブジェクトメタデータも提供します。これにより、監査、ガバナンス、コンプライアンスの各チームは、アクセスと使用状況がポリシーに準拠しているかどうかを監視するための実用的な証拠レイヤーを得ることができます。

Snowflakeの共有メタデータ、リネージ、許可モデル、および使用状況データは、エンタープライズアーキテクチャの業務に役立ちます。特に、ガバナンスの対象となるデータがどこに存在し、どのように移動し、プラットフォームにどのようなネイティブの制御メカニズムが存在するかをチームが理解する必要がある場合に有用です。アーキテクチャガバナンスは、実際のプラットフォームやコントロールサーフェスに関する正確な情報に依存するため、これは有用です。

組織は、ガバナンスと管理を区別しつつ、取締役会の監督から運用上の証拠までをカバーできるガバナンス言語としてCOBITを使用しています。これにより、企業はシステムを独自のコンテキストに合わせて調整し、その下により専門的なフレームワークを組み込む余地を作ることができます。監査、セキュリティ、コンプライアンス、アーキテクチャ、データガバナンスに関する会話にCOBITが同時に登場するのはこれが理由です。

データガバナンスチームにとって、COBITを考える最も実用的な方法は、データガバナンスをどのように指揮し、監視し、エンタープライズITガバナンスに接続すべきかを組織の他の部門に伝えるレイヤーとして捉えることです。