1. サービスマネジメント
(1) サービスマネジメント
システムは「作って終わり」ではありません。作られたシステムを、日々の業務で安定的かつ効率的に運用し、利用者が満足する品質を維持・向上させるための活動をサービスマネジメントと呼びます。IT分野においては、これを特にITサービスマネジメント(ITSM: IT Service Management)と呼びます。
プロジェクトマネジメントとの違い
プロジェクトマネジメントがシステム開発などの「始まりと終わりがある1回限りの活動(有期性)」であるのに対し、サービスマネジメントはシステム稼働後に「より良いサービスを提供し続けるための定期的な活動(継続的)」である点が大きな違いです。
(2) ITIL
世界中のITサービスマネジメントにおける、成功事例やノウハウをまとめたベストプラクティス集(教科書・フレームワーク)です。特定の企業や技術に依存しない共通の「共通言語」として世界中で活用されています。
(3) サービスレベル合意書
サービスレベルとSLA
サービスレベルとは、システムの応答時間や稼働率(システムが止まらない割合)、トラブル時の対応時間など、提供するITサービスの「品質の高さ」のことです。
このサービスレベルについて、提供する側と利用する(顧客)側との間で「どのくらいの品質を保証するか」の目標値を事前に結ぶ合意文書をサービスレベル合意書(SLA:Service Level Agreement)といいます。
サービスレベル合意
顧客との約束
「システムの稼働率を年間99.9%以上に保ちます」という会社とお客さん間の合意。
サービスレベル目標
社内の努力目標
SLAを確実に守るために、社内チームで「稼働率99.95%」を目指すといった目標値。
サービスレベル指標
実際の測定値
「今月の実際の稼働率は99.98%だった」という、現状を計るための具体的な測定データ。
過去問演習(サービスマネジメント)
提供しているITシステムが事業のニーズを満たせるように,人材,プロセス,情報技術を適切に組み合わせ,継続的に改善して管理する活動として,最も適切なものはどれか。
- ITサービスマネジメント
- システム監査
- ヒューマンリソースマネジメント
- ファシリティマネジメント
ITILに関する記述として,適切なものはどれか。
- ITサービスの提供とサポートに対して,ベストプラクティスを提供している。
- ITシステム開発とその取引の適正化に向けて,作業項目を一つ一つ定義し,標準化している。
- ソフトウェア開発組織の成熟度を多段階のレベルで定義している。
- プロジェクトマネジメントの知識を体系化している。
ITサービスマネジメントにおけるSLAに関する次の記述において,a,bに当てはまる語句の組合せとして,適切なものはどれか。
SLAは,aとbとの間で交わされる合意文書である。aが期待するサービスの目標値を定量化して合意した上でSLAに明記し,bはこれを測定・評価した上でサービスの品質を改善していく。
2. サービスマネジメントシステム
(1) サービスマネジメントシステムの概要
サービスマネジメントシステム(SMS)とは、組織がサービスの要求事項(顧客からの要望や満たすべき条件)を満たし、効果的に活動を管理・運用するための仕組み全体のことを指します。
サービスマネジメントにおいて、提供するサービスの品質を維持し、さらに向上させていくためには、PDCAサイクルを継続的に回すことが基本となります。
- P (Plan:計画)
提供するサービスの目標(サービスレベル)や、それを達成するための計画を立てます。 - D (Do:実行)
定められた計画や手順に従って、実際にサービスを提供・運用します。 - C (Check:評価)
提供したサービスが目標を達成しているか、トラブルが起きていないかを点検・評価します。 - A (Act:改善)
評価結果に基づき、問題があればその原因を突き止めて見直しを行い、次の計画(Plan)に向けた改善処置を行います。
■ さまざまな運用管理プロセス
サービスマネジメントシステムの中では、役割ごとに細かくプロセスが定義されています。レストランの運営に例えながら理解しましょう。
| プロセス名 | 解説 | レストランでの例え |
|---|---|---|
| サービスレベル管理 (SLM) |
SLAで定めた品質を維持・改善するために、定期的にチェックしてPDCAサイクルを回す活動。 | 「料理の提供は10分以内」という約束が守られているか毎月確認し、改善する。 |
| 需要管理 | 将来的な利用者のアクセス数やデータ量を予測し、システム資源をコントロールする。 | 「週末は混雑しそうだから食材を多めに仕入れておこう」と予測する。 |
| サービス要求管理 | 「パスワードを変えたい」「使い方の質問」など、トラブルではない日常的な要望にスムーズに対応する。 | 「お水をください」「取り皿をください」という通常のお願いに対応する。 |
| インシデント管理 | システムが使えない、遅いといったトラブル(インシデント)時に、応急処置で早くサービスを復旧させる活動。速度重視。 | スープをお客さんにこぼしてしまった! 【応急処置】すぐに服を拭き、新しいスープをお出しして席を元の状態に戻す。 |
| 問題管理 | トラブルの根本原因を追究・特定し、再発防止の対策を立てる活動。原因究明重視。 | なぜスープをこぼしたのか? 【根本原因】床が油で滑りやすくなっていた。床の清掃方法を見直し、通路に滑り止めを敷く。 |
| 構成管理 | サーバー、パソコン、ソフトウェアのバージョンといったIT資産の最新情報を正しく記録・把握する。 | 厨房にあるお皿、鍋、冷蔵庫の型番や個数を台帳に正しくメモして管理する。 |
| 変更管理 | システムに修正や変更を加える際、トラブルが起きないか事前に審査し、承認・却下を決める。 | メニューを新しく変える前に、試作をして問題がないか店長や責任者が審査する。 |
| リリース及び展開管理 | 変更管理で承認されたシステム(新機能など)を、本番環境へ安全に組み込んで利用可能にする。 | 承認された新メニューを、実際に当日のキッチンで調理し、お客様に提供を開始する。 |
| サービス可用性管理 | システムを「使いたいときにいつでも使える状態(可用性)」に維持する。 | お店の営業時間中、ガスや水道が止まることなく常に調理ができる状態を保つ。 |
| サービス継続管理 | 大地震や火災などの災害(大トラブル)が起きても、重要なサービスだけは中断せず続けられるよう準備する(BCP)。 | もし停電やガスが止まったとしても、カセットコンロを使って限定メニューだけは出せるようにしておく。 |
提供しているITサービスの内容、対象者、料金などをわかりやすくまとめた「メニュー表」のようなものです。
新しく開発したシステムを、テスト環境から実際の運用(本番環境)へスムーズに引っ越しさせるプロセスです。
新しいサービスを本番で開始してよいかを判断するための、安全性や品質の「クリア条件(合格ライン)」です。
(2) サービスデスク(ヘルプデスク)
システムの利用者からの「動かない」「使い方がわからない」といったあらゆる問合せを受ける総合相談窓口です。
SPOC (Single Point of Contact:単一接触窓口)
サービスデスクの最大の役割は、窓口を1つにまとめる(SPOC)ことです。窓口が1つであれば、利用者は「どこに連絡すればいいか」迷わずに済み、情報も1箇所に集約されます。
エスカレーションの仕組み
サービスデスクの担当者(一次窓口)だけで解決できない高度な技術トラブルや、重大なクレームが発生した際、より専門的な技術チームや上司(上位の組織)に対応を引き継ぎ、バトンタッチすることをエスカレーションといいます。
「ログインできない」
(一次対応窓口)
(エスカレーション先)
AIを活用した最新のサービスデスク運用方式 (AIOps)
近年は、AIの技術を取り入れてサービスデスク業務を効率化・自動化するAIOps(AI for IT Operations)が進んでいます。
AIやプログラムが、利用者のチャットによる問合せに対して24時間365日自動で即座に応答・解決する仕組み。
「よくある質問と回答(FAQ)」をAIが過去の記録から分析・作成し、利用者の自己解決を促します。
過去問演習(サービスマネジメントシステム)
ITサービスマネジメントに関して,次の記述中のa,bに入れる字句の適切な組合せはどれか。
aはサービス提供者と顧客との間で合意されたサービス品質に関する合意書である。aの遵守状況を確認し,ITサービスの品質を維持・改善させるための活動がbである。
サービスレベル管理のPDCAサイクルのうち,C(Check)で実施する内容はどれか。
- SLAに基づくサービスを提供する。
- サービス提供結果の報告とレビューに基づき,サービスの改善計画を作成する。
- サービス要件及びサービス改善計画を基に,目標とするサービス品質を合意し,SLAを作成する。
- 提供したサービスを監視・測定し,サービス報告書を作成する。
あるシステムの運用において,利用者との間でSLAを交わし,利用可能日を月曜日から金曜日,1日の利用可能時間を7時から22時まで,稼働率を98%以上で合意した。1週間の運用において,障害などでシステムの停止を許容できる時間は最大何時間か。
- 0.3
- 1.5
- 1.8
- 2.1
ITサービスマネジメントのプロセスである問題管理の説明として,適切なものはどれか。
- ITサービスを提供するためのハードウェア,ソフトウェア,ドキュメントなどの構成情報を維持管理する。
- 計画外のITサービスの中断に対して,迅速にサービスを復旧する。
- 障害の根本原因を調査し,問題の解決策を提示する。
- プログラム修正を実施するための計画を立て,確実に修正されるように管理する。
ITサービスマネジメントの管理プロセスに関する記述a~cと用語の適切な組合せはどれか。
a ITサービスの変更を実装するためのプロセス
b インシデントの根本原因を突き止めて解決策を提供するためのプロセス
c 組織が所有しているIT資産を把握するためのプロセス
サービスデスクに関する記述として,最も適切なものはどれか。
- 受入テストの段階で,利用者からの不具合の報告を受け付ける窓口
- システム稼働後の段階で,利用者からの問合せを受け付ける窓口
- プログラム開発の段階で,利用者からの質問を受け付ける窓口
- 要件定義の段階で,利用者からの要求を受け付ける窓口
ITサービスマネジメントにおいて,サービスデスクが受け付けた難度の高いインシデントを解決するために,サービスデスクの担当者が専門技術をもつ二次サポートに解決を委ねることはどれか。
- FAQ
- SLA
- エスカレーション
- ワークアラウンド
クラウドサービスを提供するA社では,操作に関する質問に対して,サービスデスクのオペレーターが電話で対応するだけでなく,ホームページ上にFAQを公開している。サービスデスクの受付時間は午前9時から午後6時までである。このたびサービスデスクのサービスレベルを向上させるために,顧客向けのチャットボットを導入することにした。チャットボット導入の効果として,最も適切なものはどれか。
- オペレーターのチャットのスキルが向上する。
- オペレーターの電話対応のスキルが向上する。
- 問合せの受付時間を拡大することが可能になる。
- ホームページ上に掲載しているFAQの内容が充実する。
ITサービスマネジメントにおいて,過去のインシデントの内容をFAQとしてデータベース化した。それによって改善が期待できる項目に関する記述a~cのうち,適切なものだけを全て挙げたものはどれか。
a ITサービスに関連する構成要素の情報を必要な場合にいつでも確認できる。
b 要員候補の業務経歴を確認し,適切な要員配置計画を立案できる。
c 利用者からの問合せに対する一次回答率が高まる。
- a
- a,b
- a,c
- c
3. ファシリティマネジメント
(1) システム環境整備
コンピュータやネットワーク機器といった精密機械を安全に動かし続けるためには、それらを設置している「施設(データセンターなど)」や「設備(電気・空調)」を正しく維持保全するシステム環境整備が不可欠です。災害や急なトラブルからハードウェアを守るための以下の機材が試験で問われます。
落雷などで不意に停電が発生した際、サーバーに一時的に(数分〜数十分)電気を供給する大型バッテリー。この間に、データを保存して安全にシステムを自動シャットダウンさせ、機器の故障やデータ消失を防ぎます。
UPSだけでは耐えられないような長時間の停電に備えて、ガソリンやディーゼル燃料を使い、自前で電気を作り出す設備。大規模なデータセンターや病院などに設置されます。
近くに雷が落ちた際、電線やLANケーブルを伝って流れてくる瞬間的な異常高電圧(雷サージ)から、接続されているパソコンやネットワーク機器が感電・破損するのを防ぐための防護部品・装置(サージプロテクタ)のことです。
(2) ファシリティマネジメント
企業が保有するすべての建物、土地、設備などの施設資産(ファシリティ)を経営的な視点から見直し、常に最適な状態となるように改善・保有・運用していく管理手法のことです。
グリーン IT (Green of IT)
ファシリティマネジメントにおける環境配慮の取り組みです。IT機器そのものの省電力化や、データセンターの冷却効率の向上など、ITの力を使って地球環境への負荷を低減(CO2削減や省エネ)させる考え方です。
過去問演習(ファシリティマネジメント)
情報システムに関するファシリティマネジメントの目的として,適切なものはどれか。
- ITサービスのコストの適正化
- 災害時などにおける企業の事業継続
- 情報資産に対する適切なセキュリティの確保
- 情報処理関連の設備や環境の総合的な維持
システム環境整備に関する次の記述中のa,bに入れる字句の適切な組合せはどれか。
企業などがシステム環境である建物や設備などの資源を最善の状態に保つ考え方としてaがある。その考え方を踏まえたシステム環境整備の施策として,突発的な停電が発生したときにサーバに一定時間電力を供給する機器であるbの配備などがある。
ある組織では過去には全員出社して業務を遂行していたが,現在は出社とテレワークの両方を使い分けて業務を遂行している。この組織において,ファシリティマネジメントの観点で改善を図っている事例として,適切なものだけを全て挙げたものはどれか。
b 執務室のレイアウト変更や大画面のTV会議室の設置を行い,従業員間のコミュニケーションを取りやすくする。
c 出社率を踏まえてフリーアドレスエリアの割合を増加し,オフィスを縮小させる。
d 短時間勤務や自宅外での業務を可能とする制度を導入し,様々な従業員が業務に参画しやすくする。
- a,d
- b
- b,c
- b,d
4. システム監査
企業がルール通りに正しく活動しているか、システムが安全かつ効率的に運用されているかを、第三者の目線で客観的にチェック(評価)する活動です。
(1) 監査業務
情報システムに関する監査の目的と種類は以下の通りです。
財務諸表(会社の決算書)が正しく作られているかチェックする。
会社の業務全般が、法律や社内ルールに従って効率的に行われているかチェックする。
情報セキュリティ対策(CIAの維持)が正しく行われているかチェックする。
情報システムが安全で、経営に役立っているかを総合的にチェックする。
(2) システム監査
■ システム監査の目的と特徴
システム監査の最大のポイントは、監査を行うシステム監査人が、システムを開発・運用している部門から独立した客観的な立場でなければならない点です(自分で自分を監査しても甘くなって意味がないため)。
- 目的:情報システムリスクに適切に対応しているかを検証・評価し、保証や助言を行うことで、企業の目標達成や利害関係者に対する説明責任を果たすのを助ける。
- システム監査基準:経済産業省が定めた、システム監査を行う際の「拠り所(ルールブック)」となるガイドライン。
■ システム監査の流れ
監査は以下のステップで進められます。
※リスクアプローチ:リスクの高い(危険な)ところを重点的に監査するように手続きを決める考え方。
面接や記録の確認(代表的なシステム監査技法)を行い、確かな証拠(監査証拠)を入手する。集めた証拠や指摘事項は監査調書(作業ノート)に記録・保管する。
過去問演習(システム監査)
監査を会計監査,業務監査,情報セキュリティ監査,システム監査に分けたとき,システム監査に関する記述として,最も適切なものはどれか。
- 業務で使用している情報の漏えいに関するリスクマネジメントが効果的に実施されていることの検証
- 財務諸表の作成に至る業務全般に関して,不正や誤りがなく処理されていることの検証
- 情報システムに係るリスクに対して,組織において適切に対応していることの検証
- 情報システムの利用を含めた組織内の諸業務が組織の方針に従って,合理的かつ効率的に運用されていることの検証
システム監査の目的に関する記述として,適切なものはどれか。
- 開発すべきシステムの具体的な用途を分析し,システム要件を明らかにすること
- 情報システムが設置されている施設とその環境を総合的に企画,管理,活用すること
- 情報システムに係るリスクに適切に対応しているかどうかを評価することによって,組織体の目標達成に寄与すること
- 知識,スキル,ツール及び技法をプロジェクト活動に適用することによってプロジェクトの要求事項を満足させること
システム監査において,各部署の外部媒体の管理状況について調査することにした。システム監査を,監査計画,予備調査,本調査,評価・結論のプロセスに分けて実施するとき,収集した結果に基づき,外部媒体の管理状況についての監査意見を検討するプロセスはどれか。
- 監査計画
- 予備調査
- 本調査
- 評価・結論
社内で開発及び運用を行っている経理システムの内部監査を実施するとき,システム監査人として,最も適切なものはどれか。
- 経理システムの運用担当者
- 経理システムの開発を担当した委託会社の従業員
- 経理システムの利用者である経理担当者
- 経理とITの知識を有する経営者直轄組織の従業員
5. 内部統制
(1) 内部統制
企業が違法行為や不正を行わず、健全かつ効率的に運営されるために、企業自らが社内に構築し、運用するルールや仕組みのことです。
内部統制を実現するためのポイント
- 業務プロセスの明確化:誰が何をするかハッキリさせる。
- 職務分掌(しょくむぶんしょう):担当者を分ける(例:お金を管理する人と、帳簿をつける人を別にして不正を防ぐ)。
- 実施ルールの設定とチェック体制:マニュアルを作り、正しく行われているか確認する。
- モニタリング:内部統制が有効に働いているか常に監視・評価すること。
レピュテーションリスク
内部統制が機能せず、不祥事や情報漏えいなどが起きた結果、企業の評判(レピュテーション)や社会的信用が低下してしまうリスクのこと。SNS等で炎上し、売上低下や倒産につながる恐れがあります。
(2) ITガバナンス
企業がITを導入・活用する際、それが本当に経営の役に立っているかを統治(ガバナンス)し、管理(マネジメント)する考え方です。
企業価値や信頼を高めるために、「ITをどう使うべきか」というIT戦略や方針(あるべき姿)を策定し、システムが正しく導入・運用されているかを統治・監視します。
(3) ITマネジメント
経営陣が定めた方針(ITガバナンス)に従って、日々のITの導入や運用(コントロール)を実際に実行し、その結果を経営者に報告するための活動です。
過去問演習(内部統制)
企業の活動に関する記述のうち,内部統制の活動内容として,最も適切なものはどれか。
- 決算発表の内容に重大な誤りがあった場合は,速やかに外部に公表する。
- 支払伝票を起票した際は,起票者が責任をもって確認し最終承認を行う。
- 定期的にリスクを評価し,洗い出されたリスクの全てを"回避"で対応する。
- 内部通報は必ず直属の上司を通じて行うことを,ルールとして徹底する。
内部統制において,不正防止を目的とした職務分掌に関する事例として,最も適切なものはどれか。
- 申請者は自身の申請を承認できないようにする。
- 申請部署と承認部署の役員を兼務させる。
- 一つの業務を複数の担当者が手分けして行う。
- 一つの業務を複数の部署で分散して行う。
情報システムの企画,開発,運用,保守に関わるマネジメントとプロセスに対して,ITガバナンスにおける経営陣の活動として,評価,指示,モニターを実施する必要がある。ITガバナンスにおける経営陣の活動に関する記述として,適切なものだけを全て挙げたものはどれか。
b 情報システム戦略で想定した効果が,どの程度達成されているか確認するための情報を収集する。
c 情報システム戦略を実現するために,必要な責任と要員を組織に割り当てる。
d 情報システムの複数の将来像を想定し,外部の情報システムの専門家に比較分析を依頼して評価する。
- a,b,c
- a,c
- b,c
- b,c,d