JIS Q 20000-1 の正式名称は、「JIS Q 20000-1 情報技術 サービスマネジメント第1部:サービスマネジメントシステム要求事項」です。JIS Q 20000 では、「サービス」や「SMS」という用語を使っていますが、前提が「情報技術」であることから、一般に用いられている「ITサービス」、「ITSMS」のことだと解されます。
- ITサービス
- 従来「システム運用」といわれていた分野ですが、さらに広く、可用性、信頼性、保守性の概念も含むサービス性と捉えています。
例えば、次のような対象があります。
- サービスデスク
操作方法の指導、機器トラブル時の解決、簡単な技術指導など、日常的なユーザ支援
- 既存ITシステムの運用
ソフトウェアのバグ修正、比較的小規模のシステム改訂など
- ハードウェアの管理
機器の故障修理、処理性能の拡大、新機種導入など
- ソフトウェアの管理
ソフトウェア利用状況、バージョンアップ、新ソフトウェアのインストールなど
- ITサービスマネジメント
- ITサービスのありかたを定め、円滑な実施をすることです。
- ITサービスマネジメントシステム(ITSMS)
- マネジメントシステムとは、経営的な観点から全社的な取り組みをし、PDCAサイクルにより継続的な改善をする仕組みを確立することです。ITSMSとは、ITサービスをマネジメントシステムとして運営することであり、JIS Q 20000-1 はそのためのベストプラクティスあるいはガイドラインになります。
JIS Q 20000に関連した規格等を掲げます。
- ITIL(Information Technology Infrastructure Library)
- 英国商務局(OGC : Office of Government Commerce)が、ITサービス管理を行うときの業務プロセスと手法を体系的に標準化したガイドブックです。その後、英国規格BS 15000になり、さらに ISO/IEC 20000(JIS Q 20000)になりました。
ITILは、JIS Q 20000はマネジメントシステム規格を実現するための手引書であるといえます。
参照:ITIL、
ITIL(V4)
- ISO/IEC 20000/JIS Q 20000
-
・ISO/IEC 20000-1:2020/JIS Q 20000-1:2020 第1部:サービスマネジメントシステム要求事項
ITSMSを実現するのに必要な事項を体系的に列挙したものです(本章では、これを対象にしています)。
・ISO/IEC 20000-2:2012/JIS Q 20000-2:2013 第2部:サービスマネジメントシステムの 適用の手引
JIS Q 20000-1をより正確に解釈することにより JIS Q 20000-1 をより効果的に利用できるようにすることを目的とする手引書です。ITELの後継規格だといえます。
- ITSMS認証制度
- 組織のITSMSの状況が、JIS Q 20000-1 の要求事項との適合性を第三者が監査して認証する制度です。
参照:ITSMS適合性評価制度
- SLA(Service Level Agreement、サービス水準合意)
- ITSMSを実現するには、社外の専門企業の協力が必要です。そのとき、サービス提供者(注1)とサービス受益者の間で、サービスの対象分野やサービスレベル(注2)に関する合意が必要です。それをSLAといい、JIS Q 20000-1 でもサービスレベル管理として大きな対処になっています。
参照:SLA/SLM
(注1)JIS Q 20000-1 では、サービス提供者にはIT運用部門など社内の提供者も想定しています。これについては後述します。
(注2)「システムが絶対にダウンしない」ことを保証することは不可能です。それを要求したら莫大な料金を請求されましょう。それで、どの程度のトラブルが月何回以内にするか、復旧までの時間を何時間以内にするかなどのサービスレベルを設定し合意することが大切なのです。
- ISMS(Information Security Management System)
- ITSMSと似た用語ですが、セキュリティ対策を重点にしたマネジメントシステムです。JIS Q 27000で規格化されています。
参照:参照:ISMSの概要
JIS Q 20000-1(ITEL)での組織用語はやや特殊です。
- 顧客
- 事業の運営に責任をもち、サービスが事業に様々な価値をもたらすことを期待してサービスにお金を出す人です。システムオーナともいいます。サービスの影響が全社的なときは、トップマネジメントだとするのが適切です。SLAの一方の当事者です。
- ユーザ
- 日常的なシステムの利用者、直接にサービスを受ける人です。発注企業の人だけでなく、ネット販売の消費者なども含まれます。ユーザはITSMSの適用外です。
- サービス提供者(プロバイダ)
- サービスを直接提供している組織です。
・外部提供者:受託企業
・内部提供者:IT運用部門
がありますが、その区分はせず、供給者全体として、SLAの一方の当事者となります。
IT運用部門は、自社システムの運用ですがプロバイダの立場であり、極端には、外部供給者が存在しないときは、IT運用部門と経営者の間でSLAに合意することになります。
- サービス供給者(サプライヤ)
- プロバイダを支援する組織です。
・外部供給者:システム開発ベンダ、サーバなどのハードベンダ、通信ベンダなど。
・内部供給者:IT開発部門、技術部門、一部のユーザなど。
・供給者として行動する顧客:インシデント及びサービス要求管理の活動の一部を実施する顧客など
SLA策定に参加することはあっても、あくまでも顧客やサービス提供者への支援の立場であり、ITSMSの直接の当事者ではありません。
JIS Q 20000-1 の内容(目次)
JIS Q 20000-1:2020 情報技術 サービスマネジメント第1部:サービスマネジメントシステム要求事項
(
http://kikakurui.com/q/Q20000-1-2020-01.html)
- 序文
- 1 適用範囲
1.1 一般
1.2 適用
- 2 引用規格
- 3 用語及び定義
3.1 マネジメントシステム規格に固有の用語
3.2 サービスマネジメントに固有の用語
- 4 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 サービスマネジメントシステムの適用範囲の決定
4.4 サービスマネジメントシステム
- 5 リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割,責任及び権限
- 6 計画
6.1 リスク及び機会への取組み
6.2 サービスマネジメントの目的及びそれを達成するための計画策定
6.3 サービスマネジメントシステムの計画
- 7 サービスマネジメントシステムの支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報
7.6 知識
- 8 サービスマネジメントシステムの運用
- 8.1 運用の計画及び管理
- 8.2 サービスポートフォリオ
- 8.2.1 サービスの提供
- 8.2.2 サービスの計画
- 8.2.3 サービスのライフサイクルに関与する関係者の管理
- 8.2.4 サービスカタログ管理
- 8.2.5 資産管理
- 8.2.6 構成管理
- 8.3 関係及び合意
- 8.3.1 一般
- 8.3.2 事業関係管理
- 8.3.3 サービスレベル管理
- 8.3.4 供給者管理
- 8.4 供給及び需要
- 8.4.1 サービスの予算業務及び会計業務
- 8.4.2 需要管理
- 8.4.3 容量・能力管理
- 8.5 サービスの設計,構築及び移行
- 8.5.1 変更管理
- 8.5.2 サービスの設計及び移行
- 8.5.3 リリース及び展開管理
- 8.6 解決及び実現
- 8.6.1 インシデント管理
- 8.6.2 サービス要求管理
- 8.6.3 問題管理
- 8.7 サービス保証
- 8.7.1 サービス可用性管理
- 8.7.2 サービス継続管理
- 8.7.3 情報セキュリティ管理
- 9 パフォーマンス評価
9.1 監視,測定,分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
9.4 サービスの報告
- 10 改善
10.1 不適合及び是正処置
10.2 継続的改善
- 参考文献
以降の文中(#8.2)は、この目次の章・節を示します。しかし、JIS Q 20000-1 の記述ではありません。
ITサービスの提案からSLA策定まで
提供サービス一覧
サービス提供者は、自社が提供できるサービスを常に把握して一覧にしておく必要があります。
- サービスポートフォリオ(#8.2)
次のサービスカタログ、サービス・パイプライン、廃止サービスを合わせたものです。すなわち、サービス提供者が現在提供しているサービス。検討中のサービス、以前はサービスしていたが現在は提供していないサービスのすべてを一覧表にしたものです。
サービスポートフォリオ 全サービスの一覧表(社内資料)
├ サービスカタログ 現在提供しているサービス(提供先への提示)
│ ├ サービス・デザイン:特定の提供先への提案
├ サービス・パイプライン 検討中、または開発中のサービス(社内資料)
└ 廃止サービス 現在打ち切っているが復活できるサービス(社内資料)
サービス・トランジション:サービスを廃止・復活するガイダンス
- サービスカタログ(#8.2.4)
そのうち、現在提供中のサービス一覧表をサービスカタログといい、一般提供先に提示します。サービス名称や内容・適用範囲・利用条件などが記載されます。
- サービス・パイプライン
検討中、または開発中のサービスをサービス・パイプラインといいます。これは企業秘密になりますが、特定の提供先(提案先)には、サービスカタログとサービス・パイプラインから提供先が興味を持ちそうなサービスを含めて提案します。それをサービスデザインといいます。
- 廃止サービス
過去に提供したが現在は打ち切ったサービスです。状況によっては復活の機会がありますので、サービスポートフォリオにはこれも記載しておきます。なお、サービスデザインにて設計された新規のサービスや変更されたサービスを、廃止や中断、あるいはその原因を排除して復活させることをサービス・トランジションといいます。
サービス見積
SLA合意に際して、サービス提供者には、費用対効果を算出することが求められます。ところが、ITサービスでは、それが困難な事情が多くあります。
- システムダウン
システムダウンの回数や復旧時間などのサービスレベルを高くすると、それに関する費用は指数的に増大しますが、それによる損失低下は直線的だとすると、どこかに最適レベルがあることになります。
その損失は、対象となるシステムで大きく異なります。ところが、回線のダウンのように対象システムを特定することができません。どのような考え方で算出するのかの説得性が問題になります。
- サービスデスクへの質問
例えば、ユーザから端末の操作方法について質問があったとします。おそらく費用は解決までのサービスデスクなどの人件費でしょうが、効果の評価はあいまいです。ユーザが回答を待っているだけなのか、他の業務をしているのかで大きく異なります。
質問内容は事前には把握できません。多様な質問に即応できるサービスデスクにするには多数の要員を必要とします。
高精度な数値を算出するのは困難でしょうが、過去の事例やヒアリングなどから統計的に推測することはできます。逆に、それを効果的に行うために、SLAの実績把握システムを整備するのが重要だといえます。
最終的にはSLA当事者の直観的判断になります。そのためには当事者の相互信頼性を高めることが重要です。さらに、継続的に改善するために、SLMが必要になるのです。
SLAの策定
- 事業関係管理(#8.3.2)
SLAで合意することからITサービスの内容や水準が決まります。合意には直接の当事者である顧客だけでなく、サービスの直接の受益者であるユーザとの良好な信頼関係が前提になります。
- 要件分析
顧客、ユーザ、利害関係者を識別し、それぞれの状況、サービスへの期待などを文書化します。
- サービスデザイン提案
要件に役立つサービス内容を、サービスカタログおよび一部のサービス・パイプラインからなるサービスデザインとして示し、関係者とレビューを行います。
- サービスレベルの設定
サービスへの期待とレベルへの満足度、それへの実現条件や費用などをすり合わせて、合意内容をSLAとして文書化します。
- 苦情処理プロセスの合意
SLAの一環として対応すべき「正式な苦情」を定義します。それ以外の苦情に関しては、サービス提供者が対処可能(SLA以外で費用がかかるが)なものと、サービス提供者の責任ではなく対処もしないものを明確にします。
- 満足度測定方法
SLAには、サービス提供中に定期的に顧客やユーザの満足度を測定し報告する手段についても記述します。
- サービスレベル管理(#8.3.3)(Service Level Management:SLM)
SLAは固定的なものではなく、状況によって改訂する必要があります。また、サービス提供の内容や方法についても改善すべきです。SLAをPDCAマネジメントサイクルに基づいてサービスレベルを継続的に維持・改善していく仕組みをSLMといいます。SLMに関しても顧客との合意が求められます。
サービス提供者とサービス供給者の関係
供給者管理(#8.3.4)
サービス提供者(プロバイダ)はサービスを直接提供している組織、サービス供給者(サプライヤ)プロバイダを支援する組織です。サービス対象のなかには、サーバなどの機器故障やクラウドサービスでのトラブルなど、実際にはサービス提供者自身では解決できず、サービス供給者に頼ることが多くあります。
- サービス提供者責任の原則
サービス提供者とサービス供給者の関係は、委託先と再委託先の関係になります。SLA実施に関する責任は全てサービス提供者にあります。逆に、サービス供給者はサービス提供者を介さずに利害関係者に関与してはなりません。
サービス提供者は、サービス供給者の管理が求められます。委託管理プロセス、委託方法、委託業務の結果などの管理や文書化が求められます。
SLAとは、広義には、ベンダおよび社内IT部門が、利用部門と交わす文書になりますが、それを分解すると、次の2つになります。
- UC(Underpinning Contract、基礎契約
通常はベンダと社内IT部門との間での契約(外部委託契約)になります。
- OLA(Operational Level Agreement、運用レベル合意書)
社内IT部門と利用部門との間での作業や作業レベルの合意文書です。組織内SLAともいいます。/li>
インフラストラクチャの管理(#8.7)
ITSMSの最大の目的は、ユーザが必要なときに必要なサービスを受けることができる、すなわち、サービスの可用性を保証することにあります。可用性管理のうち、特に災害などの緊急時での事業継続を対象とする場合は継続性管理といいます。
可用性管理/継続性管理に共通な>基本事項を列挙します。
- 可用性の定義(参照:RAS,MTBF,MTTR)
可用性とは、利用者が利用したい時にサービスが利用できるようにすることです。
数量的には、可用性は、稼働率で表します。
・MTBF:サービス再開から停止までの時間(連続サービス提供時間)の平均
・MTTR:サービス停止から再開するまでの時間の平均
・稼働率=MTBF/(MTBF+MTTR)
すなわち、可用性を高めるとは、MTBFを大にMTTRを小にすることです。
- (注)MTBSI
Mean Time Between System/Service Incidents(平均システム/サービス・インシデント間隔)
あるシステムまたはサービスの故障発生と次の故障発生までの平均経過時間間隔のこと。MTBFに類似
- リスク分析(参照:JIS Q 31000)
リスクアセスメント
リスクの特定:何から何を守るのか
リスク分析:どのレベルで守るのか
リスク評価:被害損失とのバランス(これにより復旧目標値を設定します)
リスク対応
受容:被害が発生しても仕方がない(対策を講じない)
回避:リスクの発生する可能性のある環境からの回避
転嫁:保険加入や業務のアウトソーシング
低減:リスク発生の損失を最小限に抑える(サービス提供者の最大任務です)
- 復旧目標値(参照:事業継続計画(BCP/BCM))
- 目標復旧時点(Recovery Point Objective:RPO)
深刻な事態を避けるには、トラブル発生前の「どの時点に戻せればよいか」の目標です。
データベースのトラブル対策では、バックアップのタイミングになります。
- 目標復旧時間(Recovery Time Objective:RTO)
深刻な事態を避けるには「何時間で復旧できればよいか」の目標です。
- 目標復旧レベル(Recovery Level Objective:RLO)
「どの業務をどこまで復旧できればよいか」の目標です。
- 最大許容停止時間(Maximum Tolerable Period of Disruption:MTPD)
目標復旧時間が「目標」であるのに対して、これは「ここまでに復旧しないと深刻な事態になる」という「期限」です。
サービス可用性管理(#8.7.1)
サービス可用性では、量としての可用性だけでなく、質としての可用性も含まれます。例えば、サービスデスクに依頼したとき、解決までの時間だけでなく、再発しないようにトラブルの原因の説明や独力復旧の手順まで得られるかなど、満足性も含まれます(しかし、上述のMTBSI≒MTBFは量としての可用性だけを指します)。
可用性管理ではITサービスの可用性/非可用性を予測、計画して管理することを目的として以下の目標を掲げています。
・将来的なサービス損失の予防
・外部ベンダに対する契約調整
・サービスを構成するアイテムについての適切な保守活動
障害時運用設計
システムが正常に稼働しなくなったときの対応です。代表的な対象は次の2つです。
・システムの多重化
・データベースのバックアップ・リカバリー
サービス提供者の任務は(SLAにより異なりますが)、次の2つです。
・平素から、復旧目標値内で復旧するための方法や手順を作成し、評価し、改訂しておくこと
・トラブル発生時に、手順に従い短期間に確実に復旧作業を行うこと
計画書策定には、それぞれの分野での高度な知識やスキルを持つ技術者が必要です。また障害発生時の復旧作業でも手順書通りに復旧できない異常な状況では、同様な技術者が必要です。
これらは、平時でのサービス提供者だけでは、量・質ともに不十分であり、高度技術を持つサービス供給者の支援が必要になります。そのため、これらに特化したOLA(運用レベル合意書)の策定が重要になります。
サービス継続管理(#8.7.2)
BCP(Business Continuity Plan、事業継続計画)での災害対策設計に相当する分野です。
例えばサーバ設置場所が火災にあったとき、最小限の時間でサービス復旧をするためには、平素から、離れたセンターにデータを保管しておくとか、必要最小限の処理ができる設備を確保しておくこと、災害発生時に最小時間で復旧させる手段を講じておくことなどがこれにあたります。大規模な障害時運用設計だともいえます。
被害が広範囲に甚大な影響を与えることから、トップマネジメント主導によるBCP/BCMがあり、その大きなサブシステムとして、継続性管理を位置付けるべきです。サービス提供者は重要な一員ですが、トップマネジメント、ユーザ、サービス供給者、その他の重要な利害関係者からなるレビューにより、計画策定、災害発生時の対応を検討することが不可欠になります。
計画策定
- リスクアセスメント
IT資源の何を、どの災害から、どのレベルで守るのかを列挙します。
- 災害時の事業への影響
災害時の事業への影響を算出して、各サービス対象の復旧目標値を設定します。
- サービス継続計画の作成
目標時間内にサービス再開をするために、具体的に、予防対策・復旧方法・復旧計画などを作成します。
災害発生時の対処
災害は想定外な状況になります。計画した手順の対処では解決できないことが多いので、シミュレーションなどによる訓練を行い、それを評価して、計画を改訂することが重要です。
それでも実際には、想定外のトラブルが発生します。緊急対処に関する事項も検討しておくべきです。
情報セキュリティ管理(#8.7.3)
情報セキュリティ対策は、情報資産の機密性,完全性,可用性を保つために重要です。これに関しては JIS Q 20000 Iの他の分野でも言及していますが、それらを統合的に管理するために「情報セキュリティ管理」を設けています。しかし、情報セキュリティのマネジメントシステムは JIS Q 27000シリーズ(ISMS)がありますので、ここでは、サービス供給者が行う事項の概要を示すだけになっています。
- 情報セキュリティ方針
経営者が承認した情報セキュリティ方針への順守の重要性,ITSMSおよびサービスへの適用可能性を,関係する要員に伝達すること。
- 情報セキュリティ管理策
情報セキュリティ方針に基づく情報セキュリティ管理策を決定し,実施し,運用し、評価すること。
- 情報セキュリティインシデント
情報セキュリティに関するインシデント情報をサービスデスクが受けてから解決するまでの手順や記録に関する事項ですが、後述の「サービス要求から解決までのプロセス」の項目を掲げただけになっています。
サービス要求から解決、本番移行までのプロセス(#8.6. #8.5)
ユーザからのサービス提供者の窓口をサービスデスクといいます。ユーザとサービス提供者の間のコミュニケーションはすべてサービスデスクを介して行われます。
サービス要求のなかには、サービスデスクだけで解決するものもあれば、サービス提供者内部の専門技術者あるいはサービス供給者による解決が必要なものもあります。
サービス要求管理(#8.6.2)
サービス要求には、次のようなものがあります。
・質問:既存システムやオフィスソフトなどの操作方法など
・支援:新規ユーザの登録、不定期のバッチ処理依頼
・異常事態:ソフトウェアのエラー、ハードウェアの故障など
・改善要求:応答時間の短縮、データ入力手順の簡素化など(大規模なものは除く)
サービス要求は、ユーザからサービスデスクに通知されます(サービス提供者が自ら監視や検討して発見することもあります。
このうち、サービスデスクで単純に対処でき、他への影響度が小さい要求は、記録にとどめるだけで完了します。
インシデント管理(#8.6.1)
サービスデスクからのサービス要件をインシデントといいます。
インシデント管理とは、インシデントに対して、業務への影響を最小限に抑え迅速な回復を図る可用性を重視した臨床的な初期サポートです。
- インシデントの識別と記録
サポートデスクの連絡を元にインシデントレコードを起票し、CMDB)Configuration Management Database、構成管理データベース)に記録します。これはその後の解決や利用者への連絡のインデクスになります。
- インシデントの分類
インシデントを、障害回復要求/サービス要求/情報照会などのカテゴリに分類し、カテゴリ、緊急度、影響度から優先度を設定し、初期サポートを行ないます。
- インシデントの調査と診断
既知のインシデント(過去に同様なインシデントがあり、解決方法がわかっているもの)を既知の誤りといい、その解決方法も含めて一覧的に記録したものをKEDB(Known Error DataBase)といいます。
KEDBにある既知の誤りについては、それを伝えて記録して完了します。
新規のインシデントについては、応急処置(Workaround)します。臨床的な解決が目的で、原因調査などは行いません(問題管理で行う)。
そのうち、初期サポートで解決できないインシデントをエスカレーションし、専門家による高度な分析を行い、専門家が提示した解決策を実行し、復旧します。
- インシデントのクローズ
ユーザが満足すれば、解決済みとし、インシデントをクローズします。
補充
- エスカレーション
- サポートデスクで解決できない要求をインシデント管理に渡したり、インシデントがインシデント管理で解決できないとき、問題管理に渡すというように、解決を次の段階へ委ねること、あるいは、そのような状況になることです。
- 機能的エスカレーション
解決に必要な知識が不足するために、より専門性な知識を持つ組織に解決を委ねることです。2次、3次へとエスカレートすることもあります。
- 階層的エスカレーション
要求を解決するには自組織が権限を持たない他の組織に影響が及ぶとき、双方の組織を関する上司に解決してもらうことです。
- 解決目標時間
- ユーザは、復旧時間に大きな関心を持ちます。インシデント管理だけでなく後続する管理でも、状況と解決目標時間をサポートセンタを通してユーザに伝えるようにします。CMDBからそのためのファイルを派生して、ユーザがオンラインで確認できる(ネット販売での配送状況通知のような)工夫が求められます。
- 回避策(ワークアラウンド)
- 本来ならば、サービス要求に対して原因を明確にして同様なトラブルが発生しないようにするべきですが、技術的理由、時間的制約により、現在できることにとどめ、未解決の部分をペンディングすることです。最終的解決をしていないので、CMDBには未解決のプラグが付きます。
問題管理(#8.6.3)
同様なインシデントが再発しないようにするには、根本的な対策が必要になります。それをインシデントが問題にエスカレーションしたといいます。「問題」とは原因が「未知な誤り」のことでもあります。
、その管理を問題管理といいます。「未知な誤り」の原因を見出して「既知の誤り」にすることです。なお、既知の誤り情報をKEDBに登録します。
問題管理では、病理学的に根本原因を特定します。これにより類似の問題発生を予防できます。
- リアクティブな問題管理
発生した問題の根本原因を解決し、インシデントの再発防止のため真の原因を識別すること。
- プロアクティブな問題管理
原因解明と解決方法により、将来のインシデントを予防処置をすること。
根本原因が特定したら、変更管理に変更要求を出します。その変更要求のことをRFC(Request For Change)といいます。
変更管理(#8.5.1)
変更管理では、インシデント管理や問題管理からの変更要求(RFC)の内容について、変更の緊急性や影響度、それにかかるコストや時間などを評価して、認可/却下の決定、優先度の決定をします。その組織を変更諮問委員会(Change Advisary Board、CAD)といいます。
変更は次の変更タイプに区分されます。
- 標準変更
事前に承認されたリスクの低い変更であり、比較的一般的で、指定された手順または作業指示に従います。事前承認されているため、グループ内承認と変更諮問委員会の認可の手順は不要です。
- 緊急変更
サービスへの影響がすでに発生しており、措置を講じなければサービスへの影響が避けられない事態の変更です。緊急のため直接に変更諮問委員会の認可に進みます。
- 通常変更
標準変更、緊急変更以外の変更です。完全性、正確性を確保し、サービスの中断を最小限に抑えるために、グループ内承認、変更諮問委員会の認可が必要で、スケジュールでの優先度は低く設定されます。
認可された変更は、実装確認のレビューPIR(Post Implementation Revew:導入後レビュー)をします。それに成功すれば、実際の変更作業はリリース管理が行ないます。
リリース管理/展開管理(#8.5.3)
PIRなどにより確認された変更を公式に認め実施するころをリリースといいます。リリース管理では、変更管理で計画した変更を実施、テストして、実装し利用者への周知などを行います。リリース管理は変更管理の一部で、変更管理が変更に伴う多様な決定をするのに対して、リリース管理は変更が決定してからの作業手順管理です。通常は情報システム部門が担当し、試験環境を設定してテストします。
リリースの種類
- 変更の範囲による区分
- フルリリース
システムの新規構築・更改
- デルタリリース
ソフトウェアの部分的な変更作業。ソフトウェアのバージョンアップなども含む
- パッケージリリース
パッケージのバージョンアップが多い。旧バージョンとの仕様変更など
- 規模による区分
- 大規模リリース
広い範囲における新機能を含むソフトウェア・リリースやハードウェア・アップグレードのこと
- 小規模リリース
小さな機能拡張や修正を含むリリース
- 緊急リリース
緊急のソフトウェアやハードウェアの修正のことで、既知の問題に対する修正(パッチ)を含むリリース
なお、変更したシステムを試験環境から稼働環境へ戻すことをロールバックといい、その管理を展開管理といいます。リリース管理に展開管理も含めることもあります。
本稼働環境への移行(#8.5.2)
運用引継には2つの局面があります。どちらの場合も、ドキュメント・資料類をリスト化し、バージョン管理して、最新のバージョンを確実に引き継ぐこと、それを双方が確認することが重要です。
- システム開発終了時
完成したシステムをシステム開発部門からシステム運用部門やサービス運用者に引き継ぎます。
- システム変更終了時
サービス提供者によるシステム変更がリリースされた時点で、システム運用部門に引き継ぎます。ここでは、このケースが対象になります。
移行・引継での基準
変更後システムをサービス提供者からシステム運用部門に移管するのにあたり、あらかじめ、サービス提供者が行った作業が適切であり、その後の運用を引き継ぐための基準を明確にしておく必要があります。
- サービス設計書
サービス提供者が顧客とサービス契約を締結するのにあたり、サービスの内容を示したものです。移行にあたっては、常にこれとの整合性が求められます。
- 運用サービス基準
新システムへの移行にあたり、サービスの内容とレベルを示したもの。ほぼSLAと同じですが、新システムに特化した内容になっています。
- サービス受入れ基準
引継ぎにあたり、サービスが機能、運用支援、性能および品質の要件を含む、定義されたサービス要件を満たしていることを確認するためのものです。ここでの要件を満足することが引継の条件になります。引継を円滑にするために、事前にこの基準を設定、確認する必要があります。
特に、可用性、性能、セキュリティ、運用要件、障害対策などの非機能要件は、実際に運用してから問題になることが多いので、これに関する事項も確認することが必要です。
サービスの移行
- 移行方法
- 一斉移行
システム全体を一斉に移行します。成功すれば移行期間が短縮しますが、トラブルが発生すると大きな手戻りになるし、業務への影響が大きくなります。
- 段階的移行
移行後ある期間は、新旧のシステムを並列稼働し、正しいことが確認できれば新システムに移行、トラブル発生時には、旧システムに戻します。移行の期間が長く、費用もかかりますが安全な方法です。規模が大きいときは、この方法を採用するのが通常です。
- 移行手順
- 移行計画
移行の方法、確認方法、スケジュールなどを確認します。
- 移行準備
移行に伴うハード・ソフトの環境設定。デストデータの作成などを行います。
- 移行リハーサル
システムの部分的移行、あるいは段階的移行を行い、結果の確認をします。
- 移行判断
移行に支障がないことを判断します。
- 移行の通知
サービス部門での判断を、システム運用部門その他必要な関係者に通知します。
- 移行評価
関係者のレビューにより移行作業を評価します。
運用引継ぎ
移行したシステムを運用グループが受け入れる段階の作業です。ここでは、説明の都合から、システム開発部門(受注ベンダ)が作成した新規システムを運用部門(発注企業)が引き継ぐ(納品確認をする)こととして記述します。
システムが発注した品質をすべて満足していることを確認する一連のテストを受入れテストといいます。
- 成果物の確認
新システム開発契約による各種資料の確認です。システムテストの結果、システム要件適合性評価、移行報告書なども含まれます。
- 運用テスト
ここでは、「実際の環境において、ユーザが満足する利用ができるか」が主目的になります。多数の利用者が操作しても適切な応答時間が保証できるか、データ入力の画面はわかりやすいか、誤入力したときの反応はどうかなど、非機能要件に関するテストが行われます。セキュリティの脆弱性テストも行われることがあります。
ここでの評価を適切に行うために、SLAが重要になります。
また、これらのテストケースについて、サービス受入れ基準で明確にしておくべきです。
- βテスト
公式な運用テストの前に、ユーザからモニタを選び試用してもらい、使用感の評価や不具合の検出をしてもらうテストです。移行・引継プロセスではなく、リリース/展開プロセスで行うこともあります。
なお、試用版をβ版、正式に移管する版をα版といいます。
インフラストラクチャの管理
資産管理(Asset Management)(#8.2.5)
資産とは、自社が保有するものを指します。ここでの資産とは、情報資産のことで、情報システムに必要なハードウェア・ソフトウェア・データ・人員・文書などです。
情報資産を管理することを、情報資産管理(IT Asset Management、ITAM)といいます。
- ハードウェア資産管理
サーバ、PC、回線、LAN機器などが対象です。例えばPCでは、取得時期、価格、CPU、メモリ、OSバージョン、設置場所・部門、管理者、主な使用者などを台帳(データベース)にして管理します。
- ソフトウェア資産管理(Software Asset Management、SAM)
OSやDBMSなどの購入ソフトウェアでは、ソフトウェアの数量・ライセンス数・使用者・配布場所・インストール機器などの情報を台帳(データベース)にして管理します。特にライセンス数に制限がある契約のソフトウェアに関する管理をライセンス管理(Software License Management、SLM)といいます(参照:ソフトウェア資産管理(JIS X 0164-1))。
自社開発の業務システムに関しては、システムの改訂記録、トランザクション回数と負荷状況の把握など多様な管理が必要ですが、通常は変更管理やキャパシティ管理などで扱い、資源管理としては、全体の台帳的情報を管理するだけになります。 -
- データ資産管理
- 稼働システムのデータ管理
アクセスログの取得・分析、データのバックアップ・リカバリなど、日常オペレーション業務に関する情報の管理
- 過去データの保管
作成日、保管場所、保管形式、容量、参照・更新記録などを台帳にします。
- セキュリティ対策
アクセス制御が主になります。個別のデータとして管理するならば資源管理で扱いますが、ソフトウェアも含めてセキュリティ対策全般の一部とするならばセキュリティ管理のなかで扱います。
- 人的資産管理
業務に必要な人員の量、知識・スキル、人材育成など広範囲にわたります。サービス提供者組織内の人材だけが対象ならば、ここでの管理対象になりますが、全社的な対応は人事部門や職制が持つ機能でしょう。
むしろ、ユーザやサービス供給者の「誰が何を知っているか」の情報や、サービス提供に関係のある技術や法規などの普及・教育などが主になります。
- 文書資産管理
ここでの文書とは、資源管理での台帳、問題管理・変更管理での記録、各種運用マニュアルなど、サービス提供者に関係した文書に限られます。ここでの「文書」は紙の書類という意味ではなく、むしろデジタル化したデータベースが主になります。
常に最新の状態に文書を更新し、トラブルやシステム修正時に活用できるように管理すること、特にその所在を関係者が熟知しており、即時にアクセスできる状態にしておくことが重要です。
構成管理(Configuration Management)(#8.2.6)
ITサービスを構成するハードウェア,ソフトウェア,ドキュメントなどを構成品目(Configuration Item、CI)といいます。逆に、CIを互いに関連付けて実務的機能と捉えたものをITインフラストラクチャといいます。すなわち、ITサービスとは、ITインフラストラクチャのサービス性(可用性、信頼性、保守性)を実現することだといえます。
構成管理とは、CIを定義し、正確な構成情報を維持する一連の活動です。それによりITインフラストラクチャとサービスの論理モデルを提供します。
資源管理が資産履歴の記録を主目的としているのに対して、構成管理ではシステム構成の整合性まで管理することを目的に、次のことを行います。
- すべてのIT資産の明確化
CIに分解することです。
- 構成管理で管理する情報を他のプロセスへ提供する
CIの情報は、構成管理データベース(Configuration Management Database、CMDB)で一元管理され、サービスデスクやインシデント管理・問題管理などのプロセスで共有されます。
- ITインフラストラクチャとCI情報の整合性検証を行う
CMDBがITインフラストラクチャを矛盾なく表現していることが確認されます。
このような管理により、CMDBを分析することにより、ITサービスを行うインフラストラクチャの状況を正しく把握することができます。把握できるようにするのが構成管理の目的だともいえます。
キャパシティ管理(容量・能力管理)
例えば、取引の量が多くなると、データベースをアクセスするトランザクションが増大し、データベースの容量が大きくなりディスクの追加が必要になるとか、応答時間がSLAで定めた時間より長くなるなどの現象が起こります。
その状況を事前に把握して、重大な影響が生じないうちに、ハードウェアの増強を図ったり、処理を分散するなど運用方法を変更したりすることが必要になります。それをキャパシティ管理といいます。
キャパシティ管理のためには、トランザクションの増大などITインフラストラクチャへの需要を予測する必要があります。このように、定期的にサービスに対する需要を把握して、将来の需要を予測して報告する仕組みを需要管理(#8.4.2)といいます。
キャパシティ計画
キャパシティ不足時の対策を検討することです。
サーバを取り換える、メモリを増設するなどの対策、優先度の低い処理を止める、アクセス集中を回避するなど、多様な対策があります。
特殊な機器の調達とかシステムの全面改訂など、対策が実現するまでに長期間かかり費用もかかるものもあります。また、不足の程度により、異なる対策を段階的に行うのが適切なこともあります。技術的進歩により、安価な対策が得られることもあります。
そのため、多様な関係者による調査、代替案の列挙、定期的な見直しなどを行う仕組みを構築しておくべきです。
(狭義の)キャパシティ管理
日常的にキャパシティの余裕度や緊迫度を把握する分野です。次のような手順になります。
- 管理対象と管理閾値の設定
サーバのCPU能力やディスクの容量など管理すべき対象を列挙し、下に示すような管理指標での閾値(この値以上/以下になるよう管理する限界値)を設定します。これには、閾値を超えたときの損失などリスクアセスメントが必要です。
- 監視
常時あるいは定期的に、指標の値を監視します。単に閾値内の確認だけでなく、時間的傾向を把握することが必要です。
多くの測定値を自動的に収集したり、分析するツールを用いるべきです。
- 報告と対策
閾値に近づいてきたときの対策を実施します。
キャパシティ管理指標
- 機能性評価指標
システムに求められる機能をどれだけ実装しているかを評価するための指標
システム導入後の改善要求数や要求仕様との差異数など
- 信頼性評価指標
システムが安定してどれだけ稼働し続けられるかを評価するための指標
平均稼働時間(MTBF)・平均修復時間(MTTR)・稼働率・入力ミスや誤操作の検出率など
- 使用性評価指標
操作がわかりやすく間違いなく操作できることを評価するための指標
マニュアルの充実・画面のわかりやすさ・操作訓練の時間数など
- 性能指標
SLAなどで決められた性能をどれだけ満たしているかを評価するための指標
応答時間・ターンアラウンドタイム・スループット・時間当たりのトランザクション数・サービスデスクへかけた電話の平均待ち時間
- 資源の利用状況に関する指標
システムの資源を有効に利用しているかを評価するための指標
CPUの負荷状況・ネットワーク機器の負荷状況・ストレージやメモリの使用状況・プリンタの使用状況・ソフトウェアの稼働状況など
- 安全性とセキュリティに関する指標
システムの安全度とセキュリティの機能を評価するための指標
不正アクセス検知件数・不正アクセス発覚から対応までの時間・ウィルス検知件数・アクセスログのチェック間隔など
容量・能力管理(#8.4.3)
キャパシティ管理を容量・能力管理として捉えたとき、単にハードウェアやソフトウェアだけでなく、人や財務なども対象にします。
次の事項を含めて,容量・能力を計画しなければならないとしています。
- a) サービスに対する需要に基づいた現在及び予測される容量・能力
- b) 容量・能力に対する,サービス可用性及びサービス継続に関して合意したサービスレベル目標及び要求事項に対して予測される影響
- c) サービスに関する容量・能力の変化の割り当てられた期間及びしきい(閾)値
ITサービスの評価
留意事項
JIS Q 20000 では、サービス提供者を独立した会計単位として、予算案提出から予算実績対比、費用対効果を行う業務を対象にしています。
現実には、ITサービスは(外部提供者への外注はあっても)IT運用部門の担当業務であり、IT開発部門などのIT部門全体の一部ですから、IT予算管理と完全に分離するのは困難だと思われます。またIT投資は通常の投資とは異なる視点が必要です。ところが、JIS Q 20000 では、これらの特殊性に関する言及はありません。
財務管理
財務管理はITサービスに係るコストを明確にし、管理することで、次の3プロセスで構成されます。
- 予算業務
提供するITサービスの費用対効果を明確にして、顧客の承認を得るプロセスです。
- 会計業務
サービス提供に要した費用を把握して、適切に区分して記録するプロセスです。
事前に原価計算の方式などを定義しておく必要があります。
随時、予算実績対比を行い、その不一致を管理します。
- 課金
提供サービスに関して、ユーザに課金するプロセスです。
事前に、課金配賦するサービス、統括費用とするサービス、課金先の単位など課金方式を合意しておくことが必要です。
受けたサービスの課金に対するユーザ満足度の調査をします。
サービスの予算業務及び会計業務(#8.4.1)
情報資産、共有資源、間接工数、外部の供給サービス、人的資源、保険、ライセンス等を含むさまざまな予算及び会計、サービスに対する間接費の割り当てと直接費の配分、効果的な財務管理と承認に関する方針及びプロセスを明確にします。
- 財務管理の方針及びプロセスに従って,サービス又はサービスのグループの予算業務及び会計業務を行わなければならない。
- 費用は,サービスに対して効果的な財務管理及び意思決定ができるように予算化しなければならない。
- あらかじめ定めた間隔で,組織は,予算に照らして実際の費用を監視及び報告し,財務予測をレビューし,費用を管理しなければならない。