クラウド/ホスティング屋のISO20000ブログ

7ヶ月ぶりのブログ更新となります。
この間に、当社では、ISO/IEC 27001および20000-1の審査機関を、
JACOに変更しました。

2005年の取得から、早6年となり、2回目の更新。
マネジメントサイクルも、12回以上は回っています。
すっかり回し方の型ができてきたため、
別の視点で見ていただくこともまた有意義では、という声が出てきました。

前審査機関のJQAには、最初のころは、マネジメントシステムそのものの指摘をいただき、
1つ1つ組織全体で理解しながら、PDCAの型をつくってきました。
最近は、毎回内部の人間が見落としがちな鋭い視点から、
数々のご指摘をいただき、それを各部署のマネージャークラスや、
内部監査にFBすることで、自己点検のレベルアップを図ってきました。
振り返ると、JQAさんには育てていただいた（あくまで審査ですが）気持ちでいっぱいです。
本当にお世話になりました。

さて、実際他の機関の審査を受けてみて、どちらの機関もISOの基準に則った審査方法とはいえ、
細かい審査の進め方、指摘の観点はやはり違うのだな、という印象を受けました。
当社と同じように、マンネリ防止目的の審査機関変更も少なくないそうです。

無事更新審査も通り、社員一同、新たな3年を踏み出したところです。
これからもどうぞよろしくお願いいたします。

早いもので、2月も最終日。
昨年2月のIT proを読み返すと、こんな記事が目に止まりました。
「クラウド導入に踏み切れない理由」
http://headlines.yahoo.co.jp/hl?a=20110204-00000040-zdn_ep-secu

■1年前、クラウドのセキュリティは不安の種だった

この記事では、クラウドを導入、計画している企業がまだ少ないことや、
クラウドにおける不安を報じています。
当時、クラウドに対しセキュリティが不安という企業は、7割近くもあったとのこと。

いやぁ、なんとも懐かしいです。
昨今では、大企業、金融関係、官公庁、自治体、学校でのクラウド導入の
ニュースも頻繁に流ており、もはや隔世の感すらあります。

...ということは、この1年で、
クラウドに対するセキュリティの不安は解消されたということでしょうか。
クラウドに関わる読者の皆様ご自身はどうでしょうか？
業務で仮に関わらなくても、スマートフォンやGoogle Appsを利用している、
一ユーザとして、いかがでしょうか？

■1年後、クラウドの不安は解消されたのか？

そのヒントとなる資料がこちら。
2010年12月に、NRIセキュアテクノロジーズが発表した、
情報セキュリティに関するアンケート
「企業における情報セキュリティ実態調査2010」
http://www.nri.co.jp/news/2010/101203.html

新たにASPやクラウドサービスを利用する際、重視する項目を上位5つを
企業の情報システム担当者・情報セキュリティ担当に問うたところ、
以下の結果が帰ってきました。

---

「月次費用」
「サービスの品質」
「サービスの継続性」
「自社システムとの連携」
「移行のしやすさ」

---

おや？セキュリティが入っていないのです。

---

「情報セキュリティ監査の実施状況や第三者認証（ISMS、プライバシーマーク等）の取得状況」については、「重視する」と回答した企業は2割未満にとどまる（それぞれ、19.5％、11.3％）。

---

まとめると、
「クラウド導入において、セキュリティより、費用や品質を重視する企業が多い」
という結果でした。

調査が異なるため、一概に比較できるものではないのですが、
1年前と比べ、クラウドのセキュリティへの不安感は、
軽くなっているような印象をうけます。

おそらくここ1年で、

・社内外でクラウドの導入実績が増えた
・個人レベルでのクラウド経験が理解の一助となった
・コスト等クラウド導入の積極的な理由が強くなった

等の理由があるのでしょう。

■セキュリティ課題は消えていない。どう対応する？

とはいえ、クラウドのセキュリティへの不安感は薄くなっても、
セキュリティの課題が解決したわけではありません。

海外の法律にどう対応するか、という課題は依然残っていますし、
クラウド導入が進んだ昨今では、
パブリッククラウドで動くマルウェアも登場しているそうです。

「クラウドにおける重要なセキュリティ課題とは何か？どう対応するか？？」

ヒントになりそうな資料を見つけました。

IPAから、欧州 ネットワーク情報セキュリティ庁による
「クラウドコンピューティング：情報セキュリティ確保のためのフレームワーク」
「クラウドコンピューティング：情報セキュリティに関わる利点、リスクおよび推奨事項」
の翻訳が出ています。
pdfで配布され無料で誰でも閲覧できるものです。
http://www.ipa.go.jp/security/publications/enisa/index.html

エイヤーで導入して、後悔しないために、
次回、資料の中身を見ていきたいと思います。

ISO20000の審査機関をウェブで調べました。
ご参考になさってください。

BSI マネジメントシステム ジャパン
http://www.bsigroup.jp/ja-jp

DNVインダストリージャパン
http://www.dnv.jp/services/certification/index.asp

ペリージョンソン レジストラー
http://www.pjr.jp/

JQA
http://www.jqa.jp/index.html

ビューローベリタス
http://www.bureauveritas.jp/

日本検査キューエイ株式会社
http://www.jicqa.co.jp/

SGS ジャパン株式会社
http://www.jp.sgs.com/

日本能率協会　審査登録センター
http://www.jma.or.jp/JMAQA/

日科技連・ISO審査登録センター
http://www.juse.or.jp/iso_center/index.html

ITサービスの品質向上の仕組みを構築し、維持向上する上で、
事実上、二人三脚、長いおつきあいとなります。

もちろん、審査機関は、コンサルティングはできないのですが、
英文の要求事項の解釈から、示唆に富む指摘(審査報告)、
審査でのヒアリングにおける現場へのインパクト etc.
審査からのインプットは、自社のマネジメントシステムにおいて一定の影響のあるものです。

自社の経営管理と照らし合わせ、信頼できるパートナーを選定したいものですね。

「ITILを導入して、一体どんなメリットがあるんですか？」

この問いは、これからISO20000の取得にとりかかろうとする経営者から、
毎夜サーバーのエラー警告に悩まされているインフラエンジニア、
膨大な構成管理データベースの入力に飽き飽きしているPMOまで、
ITILに関わるすべての立場の人が、ふと心に抱く質問ではないでしょうか。

この質問、ここに答えが載っていました。
グローバルナレッジ社が興味深い調査を公開しています。

「ビジネスにとってのITIL®の利点 」
http://www.globalknowledge.co.jp/reference/contents/WP_ITIL+Survey+v2.pdf

同社及び関連会社のハウスファイルから抽出されたITILプロフェッショナル、及びトレーニング受講者から、
358名が回答しています。昨年の調査です。（誤差5%）

この調査に、ITILの導入効果に関して以下の記載がありました。

----
実践により実現したITIL®の利点上位11位
1.  ITサービス反応性の向上
2.  エンド顧客の満足度
3.  IT作業負荷に関する改善
4.  ITサービス提供のコスト低減
5.  サービスインシデントの減少
6.  サービスのばらつき低減
7.  ITサービスに対する要求の測定
8.  ITプロジェクト成功率の向上
9.  ITサービスカタログ利用の増加
10.  ITフォーキャストの精度向上
11.  ビジネスの利益率や売上
-----
(引用：「ビジネスにとってのITIL®の利点 」）

上位2つは、顧客に近い場所での変化というのが興味深いですね。
当社に照らし合わせても、上位2つに関する変化は確かにありました。

「1.  ITサービス反応性の向上」
社内のサービスレベル目標として、お問い合わせには○○分以内にご対応する、という活動を開始しました。
サポートや営業の社員は、お客様からのご依頼やお問い合わせに、
迅速にご対応できているかどうか、非常に意識が高くなっています。

「2.  エンド顧客の満足度」
顧客満足度調査、サービスレポート、サービスレビューなどは、
ITILへの取り組みをきっかけに開始した活動です。
ITサービス業は、実にお客様から目に見えない活動がほとんどと感じます。
安定稼働が使命ゆえ、納品後は、ちょっと気を許すと、障害対応でしかやりとりしない、
という事態も起こり得るわけです。

目に見える活動をきっかけに、SLAを意識し、
協調してサービス提供ができる関係性が生まれることで、
結果的に、エンドユーザー様の満足度も向上するということではないでしょうか。

「3.  IT作業負荷に関する改善」
これは、サービスの最前線にいるエンジニアには心強い結果ですね。
同調査によれば、CEOやCTOなど「Cレベル」のマネジメントの協力を得ずとも、
効果がある、との回答があります。
部署レベルの部分最適から導入できるのがITILの特長だと思います。
忙しくて忙しくて仕方がない！というエンジニアの方が、
ボトムアップで、上司にITILの導入を打診するというスタートも、
実際のところ多いのではないでしょうか。

ITILの導入を決定する経営者や管理者は、
「11.  ビジネスの利益率や売上」
すなわち、売上向上やコスト削減がメリットとして目が行くわけですが、
よくよく考えてみれば、金銭面の数字は活動の結果を示すもの。
・サポートセンターのレスポンス向上
・サービスレビューでお客様と交流の場を持つ
・インシデントが見える化して作業負荷がチーム内で平準化される
etc....こういった活動の積み重ねが、売上やコスト削減につながってゆくのですね。

「漢方みたいに効く」ITIL。
導入のメリットを図る数値としては、売上やコスト削減効果より、
まずは活動レベルの数字を短期目標に上げると、
そのメリットを、みんなで共有できそうです。

ITIL・ITSM川柳大賞の発表が、1月18日にありました。
ITIL FoundationやITIL　Managerなどの試験を主催する「EXIN」が募集したものです。
こちらで発表されています。

私が深く共感したのはこちら。

「ITILは  漢方みたいに  効くんです」
（NECラーニング株式会社賞、受賞者は富士通様）

ITILの導入には人手も時間も費用もかかる割りに、
即効性が見えない...
一応、短期的な数値目標は立てていたりして、
それなりの効果は数字には出ているのですけれども、
導入前の期待感に比べると、実感が薄い...

ITILに関わる人にはそんなモヤモヤ感が誰しもあるのではないでしょうか。

「漢方」とは、なんとも心得た表現。

社内のあらゆる施策と同様、短期的な評価とともに、
長期的な視点で評価することを忘れないようにしたいですね。

運用フェーズにはいると継続的で変化を感じにくいですが、
審査や内部監査、MRなどのタイミングで、導入前を振り返ると、
長期的な視点での評価もしやすいのではないかと思います。

マンネリ化しがち（？）なこれらの定期的なイベントも、
視点を変えて積極的に活用したいものですね。

2011年初のエントリーとなりました。
少しづつですが、今年も更新を続けていけたらと思います。
本年もどうぞよろしくお願いいたします。

2010年を振り返ると、IT業界(特にインフラ)では、クラウドが普及期となり、
各社本格的な対応に迫られた年ではなかったかと思います。

当社でも、クラウドの普及でお客様が求めるものが大きく変わり、
サービスの内容も大きく変わりました。
数年前まで、専用サーバーの納期に、約2週間をいただいていましたが、
1月にリリースしたサービスは約10分でご提供しています。
実に、調達時間が2016分の1に*。

また提供者としてだけでなく、利用者としても、クラウドを使う場面が増えています。
業務でもSaaSやソーシャルアプリケーションの活用が進んでいます。

しかしながら、活用は進んでいるものの、セキュリティポリシーの見直しは後回し...
という会社様が多いのではないかと推察されます。
逆にセキュリティポリシーの見直しが後回しになっているから、
クラウドを導入できないというケースもありそうです。

私自身は、内部監査員ですが、クラウドをどういう視点で監査すべきか、
クラウドやセキュリティのニュースを追いながら、思案しています。

いずれの立場でも、クラウドでは何がリスクなのか、どう対応すべきかを知るのが第一歩。

本日は、セキュリティポリシーの見直しに役立ちそうな本を見つけましたので、
ご紹介いたします。

■クラウド セキュリティ&プライバシー ―リスクとコンプライアンスに対する企業の視点

出版社: オライリージャパン
言語 日本語
発売日： 2010/6/12

クラウドに関するセキュリティについて網羅的に解説されている本です。
まさに「視点」を提供し、具体的にどういったことがクラウドで行われているのか、
読みやすい言葉で解説されています。


どんな視点が提供されているのかというと...

○例えば、クラウドでは「転送」が増えること。

なるほど、ソーシャルアプリなどではAPIで別の事業者のサービスを経由するなんてことがありますね。その時に情報が他社に転送されているわけです。
また、同一事業者間でも国外のiDCにデータを転送することが発生したりします。

となると、そこのデータの扱いは、その国の法や、その会社のセキュリティポリシーに準拠することなどを、取得前に利用者に通知し、同意を取る必要がありそうです。

○例えば、動的にクラウド上のリソースを活用しようとしたら、
自動化をさせないと、非常に管理が煩雑になること。

なるほど、近い将来、技術基盤が標準化されれば、自社の環境をイメージ化して、
持ち運びしやすいようにして、条件のよいクラウドインフラを常に選択し、使い続ける、
といったケースが考えられます。
将来とはいわず、既に、クラウド内部では、冗長構成を組み、Aがダウンしたので、
シームレスにBにシステムを移して、運用を継続する、なんてことをやってます。

その際に、都度都度、手作業で構成管理DBを変更するのは、煩雑です。
ミス、漏れ、ムダの元。自動化を検討する必要がありそうです。

○例えば、仮想化をしたらOSに、「ホスト」「ゲスト」という概念があり、管理対象が増えること。

なるほど、管理対象が増え、管理の手間が倍増します。
更に仮想化ソフトウェア（KVM、VMware、Xenなど）の管理も必要になります。
　
などなど...

「インフラストラクチャセキュリティ、データセキュリティとストレージ、監査とコンプライアンス、またクラウドが企業ITに与える影響まで」網羅的に書かれていますので、ここでポイントを絞ってご紹介することも難しいのですが、会社に1冊、リファレンスとして置いておくと、

・サーバー・ネットワーク管理者
・クラウド管理者/選定担当者
・法務担当者
・監査担当者
・ISOの事務局
などに、有益な視点をもたらしてくれそうな本です。

また認証を取得されている企業さまでしたら、審査機関に問合せるなどして、
要求事項の観点から対応を見直すのも、必要な作業かと思います。

クラウドはまだまだ発展途上のサービスですから、改善の余地が多分にあります。
「セキュリティが不完全だから使わない」というのも一つの立場ですが、
利用者がクラウド事業者に声を上げ、審査機関とも連携をとりながら、
関係者が一体となってサービス品質を上げ、クラウドを使いやすいものにしていく、
今年はそんな年になればと思います。

※14日×24時間×60分÷10分...
　 計算した自分がにわかに信じられません！（笑）どなたか計算間違ってたら教えてください...

ISO9001は「品質」、ISO14001は「環境」。
日常生活でも企業広告に載っていたりして、メジャーな規格です。

メジャーたる所以は、適用範囲が広いからでしょう。
品質は製造業のイメージが強いですが、サービスを提供する企業にも適用できます。
先日、タクシー会社の看板にも「ISO9001取得！」と書いてありました。
ISO9001は38,168社、ISO14001は20,373社が認証を受けています。※
※JAB調べ 2010/11/01時点

ISO27001も比較的メジャーな規格ですね。「情報セキュリティ」。
今や、コンピューターを使わないで業務をする企業のほうが少なくなりましたから、
こちらも多くの企業が参考になる規格です。
2005年の個人情報保護法施行に合わせて、注目を集めました。

ISO20000、こちらもメジャーに成りうる規格です。
「ITサービス」。ITサービスの会社だけでなく、
企業の情報システム部門をITサービスを提供する組織体と捉えることで、
多くの企業に適用できます。
特に本支店間など、マルチテナントでITサービスが提供される会社や、
情報システム部門が独立している中堅から大企業で、
仕組みを確立するのに、よい指針になるはずです。

さて、マネジメントシステムの規格ISOはこの他にも、
実はいくつも存在しています。
業界特化型の、いわゆる「セクター規格」というものです。
ISO9001をベースに、その業界ごとに求められる要件を追加しています。

自社の業界に合ったものがあれば、マネジメントシステムを見なおしたり、
再構築する上で、ISO9001以上に実効性が高い規格となるでしょう。

その一つが、ISO/TS16949。これは「自動車産業」のセクター規格です。
設計、開発、製造、設置からサービス提供まで、
サプライチェーンすべてに適用できる規格です。

統括組織は、「IATF（国際自動車産業特別委員会）」で欧米の自動車メーカーと、
業界団体から組織されています。
自動車メーカーは、
クライスラー、フォード、ＧＭ、ダイムラー、フォルクスワーゲン
ＢＭＷ、フィアット、ルノー、プジョーシトロエン。
自動車好きの日本人にとって、憧れのメーカーが名を連ねていますね！

昨今、QCDに対する要求が、特に厳しくなっていると報じられています。
輸出産業における経営環境の変化は日々ニュースで報じられるところです。
また一方で、電気自動車が徐々に普及し、動力の変化も起きています。
中国に拠点を移す企業も、中小企業を含めて増えています。
自動車業界においては、ここ数年、ターニングポイントにある企業様も多いのではないでしょうか。

日本の認証機関でも審査が始まっており、各地で説明会が開始され、
徐々に注目を集めているISO/TS16949。
自動車業界特化型のマネジメントシステムとして、
業務の仕組みを見直す指針となりそうです。

■審査機関の一部
JQA
http://www.jqa.jp/service_list/management/ts16949.html

BSI
http://www.bsigroup.jp/ja-jp/assessmentandcertification/managementsystem/standardsschemes/isots16949/

ビューローベリタス
http://certification.bureauveritas.jp/CER-Business/ISO-TS16949/

LRQAジャパン
http://www.lrqa.or.jp/standards-and-schemes/standards/74474-isots-16949.aspx

業務改善のフレームワークには、前回お伝えした「ECRS」以外にもいろいろあります。
フレームワークというと、とっつきづらいですが、
「視点」と言い換えると馴染みやすいのではないでしょうか。

本日は、改善の「3S」という視点をご説明します。

「あれ？5Sじゃないの？」

おっしゃるとおり、
「整理、整頓、清潔、清掃、躾」
をまとめて5Sといいます。
当社でも5S運動を始めて、もう、3年たつでしょうか。

5Sののうち、整理、整頓、清潔を3Sとして活動している会社様も、
多くいらっしゃいます。

今日はもう一つの3S、「単純化、専門化、標準化」です。

---

Simplification 単純化 ：　作業を単純な作業に分解する
Specialization 専門化　：　単一作業を専門的に繰り返し
Standardization　標準化 ：　誰がやっても同じようにできるように

引用：www.komazawa-u.ac.jp/~takai/kyozai/5th_7thRedume.doc

---

具体的にどう活用するのでしょう？以下のページに事例が出ています。
「優秀企業を作り上げる方法、展開【9】」
http://www.mug.gr.jp/mwmguide/column/odajima/094/index.html
職場の業務改善と比べると、壮大な製品開発の話ですが、
ご参考までにどうぞ。

日々のルーチンワークへの適用としては、
以下のようなケースが考えられるのではないでしょうか。

■単純化
(1)都度、上長が状況で判断していたものを「Aのときは○○、Bのときは××」
　 とパターン化したことで、確認の必要がなくなり、仕事のミスが減った。
(2)管理表の項目を見直して、必要最小限に絞ったので、運用も確認も楽になった。
(3)アンケートをフリーの記述ではなく、「はい」「いいえ」
　 にしたので、回答が楽になり、回収率が上がった。

■専門化
(1)Aさん、Bさん、Cさんが都度やっていた業務を、Aさんにお任せした。
　 Aさんはその業務のスキルが上がって、対応がとても早くなった。
(2)業務のうち、単純作業とそうでない部分をきりわけた。単純作業の部分は、
　 新人さんや、アルバイトさんにお願いできることになった。

■標準化：
(1)利用する機器の標準品を決めたことで、管理の煩雑さが減った。
(2)インストールや変更の手順の標準形を決めたことで、
　 マニュアル化でき、教育の手間が減った。

ただし、人を専門化すると、仕事がつまらなく感じてしまうこともあるので、
逆に多能工化（複数の工程を一人でやる）して、モチベーションを上げ、
仕事の幅を広げる（能力開発）ということもやるそうです。

つまり、この3Sも「絶対」的な改善の定石ではなく、あくまで視点の一つ。
日々の小さな改善提案のヒントにしてみてください。

先日、「構成管理の成功事例はないみたいです」
とお伝えしたばかりで恐縮ですが、
「これは！」と思うデモを、最近、セミナーで拝見しました。
クラウドで運用管理のPDCAが自動化される様に、目を見張りました。

9/15（水）に行われました、G-Cloud（主催：技術評論社）のプログラム。
富士通研究所　クラウドコンピューティング研究センターの安達基光様が、
「高信頼なクラウドコンピューティングを実現する障害対処技術の開発」
と題して行われた研究発表です。

クラウドはここに来て日本のサービスプロバイダが次々に対応を発表し、
企業でも導入が加速しています。
安達様は、クラウドにおける障害対応の課題を整理し、
運用管理の考え方に変革が必要であるとしました。
　[大規模化/複雑化]障害の影響が拡大しやすいため、スピードが求められる
　[安定性重視]「事後処理」から「事前回避」へ

すると、運用管理の方針は、これまでの事後処理から、
早期発見・迅速な対処、すなわち事前回避が方針となり、
故障機器は交換せず放置することで、低コストで高可用性を実現できるとしました。

夜中にシステム管理者が、機器交換のために、人里離れたデータセンターに飛んでいく...
そんな姿は、近い将来、笑い話になってしまうのでしょうか。

そして、いよいよデモです。クラウド障害対応技術のデモですが、
こんな障害対応プロセスが自動化していました。

　○監視：高速パケットキャプチャと品質/性能分析
→○予兆：メッセージ分析による予知
→○診断：構成要素の症状を追跡し、原因箇所特定
→○対処：過去のトラブル対応手順を実行
　すべてのフェーズでCMDBの参照、書き込みが行われる。

例えば、こんな感じです。
システム内のすべてのノードは常時、パケットがキャプチャーされており、
同時にエラーメッセージの分析がリアルタイムで行われています。
過去のメッセージのパターンと照合し、またパケットの微細な変化を読み取り、
障害の兆候があると、構成アイテムがラックの見取り図で、視覚的に特定されます。
異常があるノードが、赤く光るんですね。
概ね、障害が発生する、30分前にはわかるようです。
そのノードをクリックすると、更に関連する構成アイテムや附属文書が参照できます。
過去の対応履歴から、対応フローが確認できるばかりでなく、
定型化できている対応フロー(63%が定型化できるとのこと！）は、
自動化して、障害対応が未然に完結してしまうのです。
例えば、再起動とか、切り離してしまうとか。
そのあたりが、意識しなくても、完了してしまうというのです。

我が意を得たり！「これ、これ！」と思わず口にするところでした。
もしかしたら、会場にいたシステム管理者の多くが、
同じように思っていたかもしれませんね。

私達がCMDBの構築を進めていたときは、障害発生後の迅速な対応を意識していましたが、
ここまでプロアクティブな対応ができるとは。
システム管理者が安眠できる日が、近づいていますね！
クラウドにより、ITILの考え方は運用管理のベースになりそう。
そんな確信を得た講演でした。

先日、現事務局の方から衝撃のコメントがありました。
「審査員の先生にちらっと聞いたんですけど、
　構成管理で成功している企業ってないみたいですよ」

そう聞いて、なんだか残念なような、ほっとしたような...

というのもかつて、ISO20000を導入するときに力を入れたのが、、
インシデント管理と構成管理でした。
構成管理は、機器の「親子関係」までを管理するデータベース、
CMDBが要件に入っています。

CMDBの概念の肝は、親子関係の紐付け。頭のよい仕組みだととても関心しました。
例えば、一つのサーバーの情報には、親になるデータセンターや、IPアドレス、
顧客名、子になるOSや、アプリケーションの情報などが、
網羅的に紐付けいているのです。
もちろん顧客名から引くこともできますし、IPアドレスからも引くことができる。

これはホスティング屋さんからしたら、夢のシステムです。
「データセンターの障害だ！」と言えば、
データセンタに紐づく顧客のリストが一覧で示され、一次連絡が迅速にできます。
「ハードウェアの障害だ！」と言えば、
同じ機種のリストが一覧で出て、そこから過去の障害対応の履歴などを参照できます。
「○○というアプリケーションに脆弱性がでたよ」と言えば、
○○をインストールしているサーバーと、顧客一覧が示され、
パッチあて作業の時間を見積り、作業スケジュールが迅速に作成できます。

...とこのように、ISO20000の構築チームでは夢が広がり、
CMDBの開発にあたり、ありとあらゆる要件が盛り込まれました。
要件確定後も、みんなが思いついたアイデアを、次から次に開発担当者に伝え、
カスタマイズは膨らみに膨らみました。

気がつくと。カスタマイズ部分のドキュメンテーションが追いつかず、
（中小企業にはよくあることですね...）
CMDBが故障した際の復旧方法を、十分にCMDBの運用担当者に引き継げず、
カスタマイズ部分はリスクが大きいから、と部分的な運用にとどまることになりました。
夢の実現は、感覚値で10～20%程度でしょうか。
高機能なCMDBを入れることで、審査の際、有利に進みましたが、
現状の使い方であればAccessで低予算で身の丈に合ったDBを作ることでも、
実務では十分だったかもしれません。

それでも世の中には高機能なCMDBツールが各種存在し、
ITILを導入しているデータセンターもずいぶん増えました。
きっと成功事例があるんだろうな、と夢見ていた矢先の、現事務局さんからのヒトコト。
もちろん、CMDBツールが全く機能しないわけではなく、
構成管理というのは、どのサービスプロバイダにも存在しますが、
ITILのベストプラクティスは、やはりあるべき姿。
ユーザ側の期待が大きすぎるのかもしれません。
夢のシステムなんて、やはりないんだなぁ、と感じられた一件でした。

身の丈にあった仕組みからスタートし、
PDCAで夢に近づけていくのが、現実解なのだと思います。