もしも動物村にServiceNowを導入したら

実際のIT現場の声を可愛い動物でお伝えしますφ(-ω-。`)話題は、ServiceNow、情報技術者試験など。

第88話:『二度とガバらせない。IRMの強制ガバナンス(最終回)』

ハッカーの襲来を完璧に防ぎ、不備を報告した者がボーナスを勝ち取るという「正直者が報われる理想の村」へと進化したガババナンス村。
役場では、タヌキ村長がホクホク顔で干し芋を食べています。
> **タヌキ村長:** 「いや〜、モグラくん、ウサギちゃん、カメ隊長! 我が村はもう世界一安全なデジタル村になったのじゃ! これでもうServiceNowもお役御免、元のまったりした運用に戻しても……」
> **コリーちゃん:** 「村長、元の『ガバガバ』に戻そうなんて、絶対に許しません!!!(書類をドォォォン!と机に叩きつける)」
> **タヌキ村長:** 「ひえっ!? コ、コリーちゃん、目がマジじゃ……!」
> **コリーちゃん:** 「人間の決意やブームなんて、喉元を過ぎればすぐに忘れてしまうものです。だから最後に、これまで作った『素晴らしいルール』や『評価の仕組み』を、村の永久不滅のシステムとしてガチガチに固定します。**ServiceNowの『IRM(統合リスク管理)』**の起動です!」
>
コリーちゃんがIRMの画面を開くと、村長や職員たちの前に、村の「新しい憲法(ポリシー)」が姿を現しました。
### 👑 【IRMのお勉強ポイント:規律をシステムで自動監査する】
1. **ポリシーとコントロール(Policy & Authority Documents):**
コリーちゃんは、村のセキュリティ規則(ポリシー)として「許可のないアプリ(LINEなど)を本番環境や検証環境で無断で使用してはならない」というルールをIRMに登録しました。
2. **自動監査(Control Attestation):**
驚くべきはここからです。IRMは、人間が「ルール守ってますか?」と紙のチェックシートで監査するのではありません。裏側で**Discovery(モグラくんのインフラ足元固め)と自動連動**しています。
もし、職員がルールを破って未承認アプリを使い始めたら、Discoveryがそれを検知した瞬間に、IRMが「ルール違反(コントロール不合格)」の赤信号を自動で点灯させます。
3. **リスクの可視化とダッシュボード:**
違反が起きると、村長や上長のダッシュボードに「現在、役場のセキュリティリスクが15%上昇しました。3日以内に対応してください」と、リアルタイムで**リスクの数値(天秤)**が突きつけられます。
> **タヌキ村長:** 「う、うむ……! これではワシがサボろうとしたり、情シスの手続きを3日間放置したりしたら、一瞬で画面が赤くなってワシのサボりが村中にバレてしまうではないか!」
> **コリーちゃん:** 「その通りです。これからは、情シスが申請を放置することもシステムが許しません。自動でエスカレーションされ、評価が下がる仕組みです!」
> **カメ頭首(防衛隊長):** 「素晴らしい……! これなら、ワシらが『過去の方法を踏襲して思考停止する』ことも防げる。真面目にチケットを切って、ルールに則って検証を進める人間が、ずっと守られる仕組み(ガバナンス)が完成したんじゃな!」
>
ハード(DiscoveryやSIRの全自動防壁)と、ソフト(不備を報告したら評価される文化)が、**IRMという「仕組みの檻」**によって完全に融合し、定着しました。
> **タヌキ村長:** 「よし! 我が村は今日をもって、ガバガバな過去と決別する! 名実ともに、鉄壁のガバナンスを誇る**『シン・ガバナンス村』**の誕生じゃあぁぁ!!!」
>
広場には、ウサギちゃんのU型おめでドヤ顔と、カメ隊長率いる防衛隊の笑顔、そしてモグラくんとコリーちゃんの安堵の表情が溢れていました。
正直者がバカを見ない、不備を見つけた人がヒーローになる。そんなあるべき姿を実現した彼らのデジタルトランスフォーメーション(DX)の旅は、ここに最高の形で幕を閉じたのでした。
―― 『ガバガバナンス村と、鉄壁のセキュリティ編』 完 ――
## 🦉 フクロウ先生の「IRM(旧GRC)」最終総括講義
ホッホッホ、ついに感動の最終回、クランクアップじゃな! 監督、本当にお疲れ様じゃ!
最後は「CIS-IRM」の試験でも最も本質として問われる、**「なぜIRMがServiceNow全体の総仕上げなのか」**を黒板にまとめて、このシリーズを締めくくるとしよう。
### ❓ なぜ、これまでの5つのモジュール(ITSM, ITOM3種, SecOps)の後に「IRM」を入れるの?
* **結論:** **「これまでに作ったすべてのシステム(ハード)と、組織のルール(ソフト)を監視・証明する『最高裁判所』の役割を果たすから」**じゃ。
### 📊 IRMが繋ぐ、ハードとソフトの完全体
これまでの流れを振り返ってみるぞ。
* **Discovery & SM:** 村のITの「現実(ハード)」を暴いた。
* **ITSM & SecOps:** 現場が安心して不備を報告し(チケット)、爆速で対処する「行動(ソフト)」を作った。
しかし、IRMがないと、せっかく作った「不備を報告して評価されるルール」も、数年経ってメンバーが入れ替わったら「あ〜、昔そんなのあったね」と風化して、元のガバガバな過去に逆戻りしてしまう。
IRMは、登録されたルール(ソフト)と、実際のCMDBやインシデントのデータ(ハード)を**24時間365日、全自動で突合し続ける**。
「ルール:不備のチケットは24時間以内に情シスが処理すること」に対して、もし3日放置されたら、IRMが「ルール違反!」と判定して経営陣(村長)のダッシュボードを赤く染める。
つまり、IRMを入れることで初めて、**「人間が頑張ってルールを守る」組織から、「システムがルールを守らせ、頑張った人が自動で評価される」組織**へと完全に生まれ変われるわけじゃな。これこそが、ガバナンス(統制)の究極のゴールなんじゃよ!
ホッホッホ、講義はこれですべて終了じゃ!
監督、現場の理不尽な怒りから始まったこの「ガバガバナンス村編」、見事な大団円でございました。
監督がこれから挑む、ITOMの足元固め(Disc, SM, EM)、そしてその先のSecOps、IRMの資格奪取ロードマップ、このストーリーのウサギちゃんたちのように、きっと現実の現場でも大逆転のヒーローになれると、ワシは信じておるぞ!