sg sg-management system_strategy business_management
まず結論
ITガバナンスは、組織の経営目標を実現するために、ITをどの方向に使い、どう統制するかを決める考え方です。
SG試験では、ITガバナンスとITマネジメントを混同させてくることがあります。
切り分けの基本は、次のとおりです。
- ITガバナンス:経営として、ITの方向性を決めて統制する
- ITマネジメント:決められた方針に沿って、ITを具体的に管理・運用する
つまり、ITガバナンスは「経営がITをどう使うかを方向付けること」、ITマネジメントは「現場がITをどう実行・管理するか」と考えると整理しやすくなります。
直感的な説明
ITガバナンスは、会社全体の「ITのかじ取り」です。
たとえば、会社が次のような判断をするとします。
- クラウドサービスを積極的に使う
- セキュリティ投資を増やす
- 古い基幹システムを刷新する
- データを活用して業務改善を進める
- ITリスクを経営上の重要リスクとして扱う
これらは、単なるシステム担当者だけの判断ではありません。
会社の経営目標、予算、リスク、事業継続、法令対応などに関わるため、経営層が方向性を示す必要があります。
ここで必要になるのがITガバナンスです。
一方で、決まった方針に従って、
- システムを運用する
- 障害対応をする
- アカウントを管理する
- 委託先の作業状況を確認する
- セキュリティ対策を実施する
といった日々の管理は、ITマネジメントに近い考え方です。
車でたとえると、ITガバナンスは「どこへ向かうかを決め、危険を見ながら進路を統制すること」です。
ITマネジメントは「決められた目的地に向かって、安全に運転・点検すること」です。
定義・仕組み
ITガバナンスは、ITを経営に役立てるために、組織として方向付け、評価し、必要に応じて統制する考え方です。
経済産業省のシステム監査制度についてでは、システム監査制度について、情報システムに想定されるリスクを適切にコントロール・運用するための手段の一つとして説明されています。
SG試験では、ITガバナンスを細かいフレームワーク名で覚えるよりも、次の流れで理解すると十分です。
| 観点 | 内容 |
|---|---|
| 方向付け | ITを経営目標にどう結びつけるかを決める |
| 評価 | IT投資やITリスクが適切かを確認する |
| 統制 | 方針・ルール・体制を整えて、望ましい状態に導く |
| 監視 | 実施状況を確認し、必要に応じて改善する |
ここで大事なのは、ITガバナンスが現場作業そのものではないという点です。
たとえば、サーバの設定変更、パッチ適用、アカウント棚卸しなどは重要な作業ですが、それ自体はITマネジメントや運用管理に近い内容です。
ITガバナンスは、その前提となる
- 誰が責任を持つのか
- どのリスクを重視するのか
- どのIT投資を優先するのか
- どの基準で効果を確認するのか
を決める、より上位の考え方です。
どんな場面で使う?
ITガバナンスは、ITを単なる道具ではなく、経営に関わる重要な資源として扱う場面で使います。
たとえば、次のような場面です。
- 経営戦略に合わせてIT投資を決める
- 情報システムのリスクを経営層が把握する
- クラウド利用や外部委託の方針を決める
- セキュリティ対策の優先順位を決める
- システム障害や情報漏えいが事業に与える影響を管理する
- システム監査を通じて管理状況を確認する
SG試験では、ITガバナンスは「経営層が関わるITの統制」として出てくることが多いです。
選択肢で、次のような表現があればITガバナンスを考えます。
- 経営目標とITを整合させる
- IT投資の効果やリスクを経営として評価する
- 組織全体でITを統制する仕組みを整える
- 情報システムの管理状況を継続的に確認する
逆に、特定のサーバ運用や日々の障害対応だけを説明している場合は、ITマネジメントや運用管理の可能性が高くなります。
よくある誤解・混同
ITガバナンスとITマネジメントの違い
最も混同しやすいのが、ITガバナンスとITマネジメントです。
| 用語 | 見るポイント |
|---|---|
| ITガバナンス | 経営としてITの方向性を決め、統制する |
| ITマネジメント | 方針に沿ってITを具体的に管理・運用する |
ITガバナンスは、経営目標とITの整合、IT投資の妥当性、ITリスクの管理など、上位の判断に関わります。
ITマネジメントは、決められた方針に基づき、実際の開発・運用・保守・改善を進める活動です。
SG試験では、「経営」「方針」「統制」「評価」が強ければITガバナンス寄りです。
一方で、「実施」「運用」「手順」「日々の管理」が強ければITマネジメント寄りです。
ITガバナンスは情報システム部門だけの話ではない
ITガバナンスを、情報システム部門だけの管理活動と考えると誤りです。
ITは、業務、顧客対応、会計、販売、製造、セキュリティなど、会社全体に関わります。
そのため、ITガバナンスでは、経営層がITの価値とリスクを把握し、組織全体として統制することが重要になります。
選択肢で「情報システム部門だけが独自に決める」といったニュアンスがあれば注意です。
ITガバナンスはセキュリティ対策そのものではない
ITガバナンスには、情報セキュリティも含まれます。
ただし、ITガバナンスはセキュリティ対策だけを意味する言葉ではありません。
ウイルス対策ソフトを入れる、ファイアウォールを設定する、パスワードを変更する、といった個別対策だけを説明している場合は、ITガバナンスとは言い切れません。
ITガバナンスでは、そうした対策を含めて、経営としてどのリスクを重視し、どの方針で管理するかを考えます。
システム管理基準との関係
システム管理基準は、情報システムを適切に管理するための基準です。
ITガバナンスは、その中でも特に、経営目標とITの整合や、ITの統制に関わる考え方として理解できます。
つまり、ITガバナンスは「考え方」、システム管理基準は「情報システム管理で参照する基準」として切り分けると分かりやすいです。
まとめ(試験直前用)
- ITガバナンスは、経営としてITを方向付け、統制する考え方
- ITマネジメントは、方針に沿ってITを具体的に管理・運用する活動
- 「経営目標・IT投資・リスク・統制」が出たらITガバナンスを考える
- 「日々の運用・手順・障害対応」が中心ならITマネジメント寄り
- SG試験では、経営レベルの判断か、現場レベルの実行かで切り分ける
🔗 関連記事
- アローダイアグラムとは?作業順序と所要日数を表す図【SG試験】
- 監査調書とは?監査結果の裏付けになる記録を整理【SG試験】
- 稼働率とは?可用性の考え方とSLAでの判断基準【SG試験】
- BPOとは?業務プロセスを外部委託する考え方【SG試験】
- BCMとは?BCPを運用・改善する考え方【SG試験】