ポチップ
🎯 この記事を読み終わるころには、この問題が解けるようになります!
【例題】SLAの可用性計算
1か月30日、サービス時間が毎日午前8時から午後10時(14時間)の場合、可用性99.5%以上を満たすための最大停止時間は何時間か。
ア. 0.3時間 イ. 2.1時間 ウ. 3.0時間 エ. 3.6時間
前回はプロジェクトマネジメントを学びました。今回は「サービスマネジメントとシステム監査」を徹底解説します。ITIL・SMS・PDCAサイクル・システム移行方式・SLA・インシデント管理・サービスデスク・システム監査・内部統制まで、試験に出る重要キーワードを丁寧に解説します!
目次
- サービスマネジメントとは
- サービスマネジメントシステム(SMS)とPDCA
- システム移行方式(一斉・段階的・並行)
- サービスレベル管理(SLM)とSLA
- 可用性管理と稼働率計算
- サービスデスク(インシデント管理・問題管理)
- ファシリティマネジメント(サージ保護・UPS)
- システム監査(基準・3つのポイント)
- 情報セキュリティ監査(機密性・完全性・可用性)
- 監査の流れと監査人の独立性
- 内部統制(コーポレートガバナンス・職務分掌)
- 過去問チャレンジ!(6問)
- この章のまとめ
1. サービスマネジメントとは
▲ サービスマネジメント基礎・ITIL・ISO/IEC 20000とPDCAサイクル
サービスマネジメントとは、利用者に対するサービスを維持・改善する活動です。
プロジェクトマネジメントは「1回限りの期間限定の活動」ですが、サービスマネジメントは「定常的な活動」です。
ITサービスマネジメントとは、ITサービスを維持・改善していくことです。
ITIL について:
- ITIL(Information Technology Infrastructure Library)とは、ITサービスマネジメントのベストプラクティス(最良の事例)が書かれた本です。
- ITILの考え方を取り込んだ「ISO/IEC 20000」という国際規格があります。日本語版は「JIS Q 20000」です。
サービスマネジメントの種類比較
| マネジメントの種類 | 対象 | 内容 |
|---|---|---|
| プロジェクトマネジメント | プロジェクト(主にシステム開発) | ある期限内に独自のモノやサービスを作る活動 |
| サービスマネジメント | サービス(主にITサービス) | サービスを維持・改善する定常的な活動 |
| ファシリティマネジメント | ファシリティ(施設・設備) | 施設の保有、運用、維持を最適化する活動 |
📝 ポイント:サービスマネジメントのキーワード
サービスマネジメントは「定常的」な活動で、ITサービスの品質(サービスレベル)を維持・改善することが目的です。ITIL=ベストプラクティス集、ISO/IEC 20000=国際規格(JIS Q 20000が日本語版)という関係を覚えましょう。
2. サービスマネジメントシステム(SMS)とPDCA
サービスマネジメントシステム(SMS: Service Management
System)とは、サービスマネジメントを効率的に管理するための仕組みです。
SMSではPDCA手法を取り入れています。
JIS Q 20000におけるPDCAの説明
| フェーズ | 内容 |
|---|---|
| Plan(計画) | サービスマネジメントシステムを確立し、文書化し、合意する |
| Do(実行) | サービスの移行・提供・改善のためにサービスマネジメントシステムを導入し、運用する |
| Check(点検) | 方針・目的・計画およびサービスの要求事項について監視・測定・レビューし、結果を報告する |
| Act(処置) | サービスマネジメントシステムおよびサービスのパフォーマンスを継続的に改善するための処置を実施する |
📌 重要:PDCAの各フェーズを正確に区別
試験ではPDCAの各フェーズが問われます!「枠組みの作成」→Plan、「導入・運用」→Do、「監視・測定・報告」→Check、「継続的改善の処置」→Actです。「処置(改善)」というキーワードがあればActです。
3. システム移行方式(一斉・段階的・並行)
▲ システム移行方式の比較とSLA(サービスレベル合意書)
サービスの改善のため、運用途中でシステムを入れ替えることがあります。システムの移行方式は大きく3種類あります。基本情報技術者試験では「一斉移行方式」が特によく出題されます。
3つのシステム移行方式
| 移行方式 | 内容 | コスト | リスク |
|---|---|---|---|
| 一斉移行方式(★頻出) | 現在のシステムを止めて、新しいシステムに一気に切り替える方法 | 安い | 高い |
| 段階的移行方式 | 業務や地域などの単位で小分けにして、徐々に切り替える方法 | 中間 | 中間 |
| 並行移行方式 | 現在のシステムと新しいシステムを同時に動かして、結果を見ながら切り替える方法 | 高い | 低い |
📝 ポイント:一斉移行方式は最頻出
「一斉移行方式のデメリットは、トラブルの影響が大きいこと」を必ず覚えてください!「2つのシステムを同時に運用しないのでコストが安い」「一気に切り替えるのでトラブル時のリスクが高い」がセットの知識です。
4. サービスレベル管理(SLM)とSLA
サービスレベル管理(SLM: Service Level
Management)とは、サービスの提供者と利用者が合意したサービスレベルを維持・改善するための活動です。
SLA(Service Level Agreement:
サービスレベル合意書)とは、サービス提供者とサービス利用者との間で取り決めたサービスレベルを明文化した書類です。
- 利用者側のメリット:求めるサービスレベルを保証してもらえる。サービスレベルを満たさない場合は契約解除も可能。
- 提供者側のメリット:サービスの範囲と品質が明確になることで、サービスの価格を決定できる。
📝 ポイント:SLAのキーワード
「SLA=サービスレベル合意書」「サービス提供者と利用者の合意文書」を覚えましょう。SLAには稼働率・応答時間・障害発生時の報告時間などが記載されます。
5. 可用性管理と稼働率計算
可用性管理とは、ユーザーが求めるサービスレベルのうちの「可用性を確保するための活動」です。
可用性とは「サービスを使いたいときに、使えること」です。
可用性の指標として稼働率があります。
稼働率 = 稼働時間 ÷ サービス時間帯 × 100(%)
最大停止時間 = サービス時間帯 × (1 – 稼働率)
【例題】
・サービス時間帯:30日 × 14時間 = 420時間/月
・可用性99.5%以上
・最大停止時間 = 420 × (1 – 0.995) = 420 × 0.005 = 2.1時間
📌 重要:SLA可用性の計算手順
①サービス時間帯を計算(日数×1日あたりのサービス時間)→②最大停止時間=サービス時間帯×(1-稼働率)。この手順をしっかり覚えておきましょう!
6. サービスデスク(インシデント管理・問題管理)
▲ インシデント管理・問題管理・既知の誤りとサービスデスクの4種類
ITサービスが停止したり使い方がわからなかったりしたときの問い合わせ窓口を「サービスデスク」といいます。
インシデント管理と問題管理の違い:
| 比較項目 | インシデント管理 | 問題管理 |
|---|---|---|
| 目的 | サービスの迅速な復旧 | 根本原因の究明・再発防止 |
| 定義 | 正常に業務を遂行できない状況への対応 | インシデントを引き起こしている根本原因の特定 |
| 例(PCが起動しない) | 電源のリセットなど応急処置で復旧 | 電源プラグが抜けていた原因の特定と対策 |
既知の誤り(既知のエラー)とは、根本原因がすでに特定されているか、または回避策がすでにあるが、まだ解決されていない問題です。インシデント管理では、障害報告があった場合にその問題が「既知の誤り」に該当するかどうかを確認します。
サービスデスクの4種類:
| 種類 | 内容 |
|---|---|
| ローカルサービスデスク(★頻出) | ユーザーが住んでいる地域ごとにサービスデスクを設置する形態 |
| 中央サービスデスク | 一箇所に集中してサービスデスクを設置する形態。コストを減らせる |
| バーチャルサービスデスク | 複数拠点を仮想的に1つのサービスデスクに見せる形態 |
| フォロー・ザ・サン | 地理的に分散した2つ以上のサービスデスクを組み合わせ、24時間体制でサービス提供 |
📝 ポイント:サービスデスクの目的はインシデント管理
「サービスデスクの目的はインシデント管理(迅速な復旧)であり、問題管理(根本原因究明)ではない」を必ず覚えてください!また「ローカルサービスデスク=地域ごとに設置」が頻出です。
7. ファシリティマネジメント(サージ保護・UPS)
ファシリティマネジメントとは、建物や設備の保有・運用・維持などを最適化する手法です。
高品質のサービスを提供し続けるためには、「設備」を適切に管理することが必要です。
サージ防護:
- サージ防護とは、落雷などで瞬間的に発生する高い電圧(サージ)からシステムを守ることです。
- サージ保護デバイス(SPD)とは、瞬間的に発生する高い電圧からシステムを守るための機器です。
- 雷サージとは、落雷によって起きる過電圧のことです。
UPS(無停電電源装置):
| 項目 | 内容 |
|---|---|
| 正式名称 | UPS(Uninterruptible Power Supply:無停電電源装置) |
| 機能 | 停電時にコンピュータに一時的に電力を供給する装置 |
| メリット | 停電時に、すぐに電力を供給できる |
| デメリット | 一時的にしか電力を供給できない(すぐにシャットダウンが必要) |
📝 ポイント:サージとUPS
「サージ保護デバイス(SPD)=落雷による過電圧(サージ)から保護」「UPS=停電時の一時電力供給」がキーワードです。「サージ=過電圧」という等式を覚えておけば得点できます。
8. システム監査(基準・3つのポイント)
▲ システム監査の流れと監査人の独立性・情報セキュリティ監査
システム監査とは、企業が情報システムにまつわるリスクに適切に対処しているかどうかを、独立した立場のシステム監査人が評価することです。
システム監査のための2つの基準:
| 基準名 | 対象 | 内容 |
|---|---|---|
| システム管理基準 | 企業が従うべきルール | 情報システムに関するリスクをコントロールするために企業が従うべき実践規範 |
| システム監査基準 | 監査人が従うべきルール | よりよいシステム監査を行うために、監査人が従うべき行為規範 |
システム監査の3つのポイント:
| ポイント | 内容 |
|---|---|
| 信頼性 | 情報システムの品質、ならびに障害の発生・影響範囲・回復の度合い |
| 安全性(★頻出) | 情報システムの自然災害・不正アクセス・破壊行為からの保護の度合い(検証項目:アクセス管理機能) |
| 効率性 | 情報システムの資源の活用、および費用対効果の度合い |
📝 ポイント:安全性の検証項目はアクセス管理
「安全性の検証項目はアクセス管理機能の検証」が最頻出です!「不正アクセスからの保護=アクセス管理が適切かどうかをチェック」と覚えましょう。
9. 情報セキュリティ監査(機密性・完全性・可用性)
情報セキュリティ監査は、システム監査のうちの「情報資産」に特化した監査です。
情報資産とは、紙やコンピュータに保存された価値のある情報です。
情報セキュリティマネジメントの三大特性(CIA):
| 特性 | 内容 | 試験でのチェックポイント |
|---|---|---|
| 機密性(Confidentiality) | 認められた人だけが情報にアクセスできること | 外部記憶媒体の無断持出しを禁止しているか・データベースの暗号化 |
| 完全性(Integrity) | 情報が正確であり、改ざんや破壊が行われていないこと | データ入力時のエラーチェック・改ざん検出 |
| 可用性(Availability) | 必要なときに情報にアクセスできること | SLAの水準が保たれているか・中断時間の管理 |
📌 重要:3つの特性の区別
「機密性=認められた人だけアクセス可」「完全性=改ざんされていない」「可用性=使いたいときに使える」を区別できるようにしましょう!試験では「可用性のチェック項目」として「SLA水準が保たれているか」が頻出です。
10. 監査の流れと監査人の独立性
監査は5つのステップで行われます:
- 依頼:経営者(依頼人)が監査人に依頼
- 調査:監査人が被監査部門をヒアリング・現地調査・レビューで調査(「監査証拠」を入手することが重要)
- 報告:監査人が依頼人に監査報告書を提出
- 改善命令:依頼人が被監査部門に改善命令
- 改善:被監査部門が改善活動を実施
📌 重要:監査人は自ら改善しない!
「監査人は改善指導をするだけで、主体的に改善活動は行わない」が試験の鉄板ポイントです!改善するのは「被監査部門」の仕事です。また、ヒアリングでは「得た情報の裏付けとなる文書や記録(監査証拠)を入手する」ことが大切です。
監査人の独立性:
- システム監査人は「独立した第三者」であることが必要です。
- より具体的には「被監査部門と利害関係がない者」でなければなりません。
- 例:会計システムを監査する場合、監査人は情報システム部にも経理部にも所属しない者を選びます。
11. 内部統制(コーポレートガバナンス・職務分掌)
▲ 内部統制・コーポレートガバナンス・ITガバナンスと職務分掌
内部統制に関する4つの用語
| 用語 | 内容 |
|---|---|
| コーポレートガバナンス | 株主を中心としたステークホルダが企業活動を監視すること(企業統治) |
| 内部統制 | 社員全員で業務を健全化すること。責任は経営者 |
| ITガバナンス | ITを使ったコーポレートガバナンス |
| IT統制 | ITを使った内部統制 |
コーポレートガバナンス:
コーポレートガバナンス(企業統治)とは、株主を中心としたステークホルダが、企業活動を監視することです。トップマネジメント(経営陣)の構造や経営を監視し、組織内部に自浄能力があるかも監視します。
内部統制と職務分掌:
- 内部統制とは、社内のすべての人が業務を健全化することです。
- 内部統制の整備と運用の責任を持つのは経営者です。
- 職務分掌とは、担当者の役割や仕事の権限を明確にすることです。
- 例:経費申請の「申請者」と「承認者」を別の人物にすることで不正を防ぎます。
📝 ポイント:内部統制のキーワード
「コーポレートガバナンス=ステークホルダが企業活動を監視」「内部統制の責任者=経営者」「職務分掌=役割・権限の明確化」がセットで覚えてほしいポイントです!「申請者と承認者を分ける」が職務分掌の典型例です。
12. 過去問チャレンジ!(6問)
🎯 記事冒頭の例題にチャレンジ!
問題1【再掲】SLAの可用性計算
次の条件でITサービスを提供している。SLAを満たすことができる、1か月のサービス時間帯中の停止時間は最大何時間か。1か月の営業日数は30日、サービス時間帯は午前8時から午後10時、可用性を99.5%以上とする。
ア. 0.3時間 イ. 2.1時間 ウ. 3.0時間 エ. 3.6時間
✅ 解答・完全解説
正解:イ(2.1時間)
解説:
①1日のサービス時間 = 午前8時〜午後10時 = 14時間
②1か月のサービス時間 = 14時間 × 30日 = 420時間
③最大停止時間 = 420時間 × (1 – 0.995) = 420 × 0.005 = 2.1時間
【過去問 その2】SMSにおけるPDCA(令和元年度)
サービスマネジメントシステムにPDCA方法論を適用するとき、Actに該当するものはどれか。
ア. サービスの設計・移行・提供・改善のためにSMSを導入し、運用する。
イ. SMSおよびサービスのパフォーマンスを継続的に改善するための処置を実施する。
ウ. SMSを確立し、文書化し、合意する。
エ. 方針・目的・計画およびサービスの要求事項について監視・測定・レビューし、結果を報告する。
💡 解答・解説
正解:イ
PDCAのAct(処置)は「継続的改善のための処置を実施」です。アはDo(実行)、ウはPlan(計画)、エはCheck(点検)です。「処置」というキーワードがAct=Actの決め手です。
【過去問 その3】一斉移行方式の特徴(平成26年度)
システムの移行方式の一つである一斉移行方式の特徴として、最も適切なものはどれか。
ア. 新旧システム間を接続するアプリケーションが必要となる。
イ. 新旧システムを並行させて運用し、ある時点で新システムに移行する。
ウ. 新システムへの移行時のトラブルの影響が大きい。
エ. 並行して稼働させるための運用コストが発生する。
💡 解答・解説
正解:ウ
一斉移行方式のデメリットは「トラブルの影響が大きいこと」です。アは段階的移行方式の説明です。イとエは並行移行方式の説明です。
【過去問 その4】既知の誤り(令和2年度)
ITサービスマネジメントにおける「既知の誤り(既知のエラー)」の説明はどれか。
ア. 根本原因が特定されている又は回避策が存在している問題
イ. サービスデスクに問い合わせがあった新たなインシデント
ウ. サービスマネジメント計画での矛盾や漏れ
エ. 静的検査で検出したプログラムの誤り
💡 解答・解説
正解:ア
既知の誤りとは「根本原因が特定されているか、または回避策が存在している問題」です。インシデント管理では、障害報告があった際に既知の誤りに該当するかどうかを確認します。
【過去問 その5】ローカルサービスデスク(平成30年度)
サービスデスク組織の構造とその特徴のうち、ローカルサービスデスクのものはどれか。
ア. サービスデスクを1拠点に集中することで、サービス要員を効率的に配置できる。
イ. サービスデスクを利用者の近くに配置することで、言語や文化が異なる利用者へも対応できる。
ウ. スタッフが複数の地域に分散していても、通信技術の利用で単一のサービスデスクのように見せる。
エ. 分散拠点のサービス要員を中央で統括して管理することで、統制のとれたサービスが提供できる。
💡 解答・解説
正解:イ
ローカルサービスデスクは「利用者が住んでいる地域ごとに設置される」形態です。アは中央サービスデスク、ウはバーチャルサービスデスク、エはフォロー・ザ・サンの説明です。
【過去問 その6】コーポレートガバナンス(平成28年度)
企業経営の透明性を確保するために、企業は誰のために経営を行っているか、トップマネジメントの構造はどうなっているか、組織内部に自浄能力をもっているかなどの視点で、企業活動を監督・監視する仕組みはどれか。
ア. コアコンピタンス
イ. コーポレートアイデンティティ
ウ. コーポレートガバナンス
エ. ステークホルダアナリシス
💡 解答・解説
正解:ウ(コーポレートガバナンス)
ステークホルダが企業活動を監視することをコーポレートガバナンスといいます。「企業の透明性確保・トップマネジメントの監視・自浄能力」がキーワードです。
13. この章のまとめ
📌 サービスマネジメントとシステム監査のまとめ
- サービスマネジメント: 利用者に対するITサービスを維持・改善する定常的な活動
- ITIL: ITサービスマネジメントのベストプラクティス集。ISO/IEC 20000(JIS Q 20000)として規格化
- SMS(サービスマネジメントシステム)のPDCA: Plan(確立・文書化)→Do(導入・運用)→Check(監視・測定・報告)→Act(継続的改善)
- システム移行方式: 一斉(安くリスク高)・段階的(中間)・並行(高くリスク低)
- SLA(サービスレベル合意書): サービス提供者と利用者の間で合意したサービスレベルを明文化した書類
- 可用性: 使いたいときに使えること。最大停止時間=サービス時間帯×(1-稼働率)
- インシデント管理: 迅速な復旧が目的。既知の誤り(根本原因特定済みまたは回避策あり)を確認
- 問題管理: 根本原因の究明と再発防止が目的
- サービスデスクの種類: ローカル(地域ごと)・中央(集中)・バーチャル(仮想)・フォロー・ザ・サン(24時間)
- ファシリティマネジメント: サージ保護デバイス(過電圧から保護)・UPS(停電時の一時電力供給)
- システム監査の3つのポイント: 信頼性・安全性(アクセス管理)・効率性
- 情報セキュリティ監査のCIA: 機密性・完全性・可用性
- 監査の流れ: 依頼→調査(監査証拠の入手)→報告→改善命令→改善(監査人は自ら改善しない)
- 監査人の独立性: 被監査部門と利害関係のない第三者
- コーポレートガバナンス: ステークホルダが企業活動を監視
- 内部統制: 社員全員で業務を健全化(責任者:経営者)・職務分掌(役割・権限の明確化)
学習難易度:★★★☆☆(計算問題あり、過去問で出題パターンに慣れよう)
この記事について
基本情報技術者試験の合格を目指す方のために、参考書の内容を初心者向けにわかりやすく噛み砕いて解説しています。ITの基礎をしっかり固めて、一緒に合格を目指しましょう!
