企業・自治体といった組織のITガバナンスの指針として、米国の情報システムコントロール協会(ISACA)などが提唱するITガバナンスの実践規範のこと。フレームワークやガイドライン、成熟度モデル、ツールセットなどの一連の資料からなる。IT投資の評価、ITのリスクとコントロールの判断、システム監査の基準などに使われる。
古くは米国EDP監査人財団(EDPAF)が編集・発行したコントロール目標(control objectives)に起源を持ち、EDPAFの後身である米国情報システムコントロール財団(ISACF)がこれを34のITプロセス/5つのIT資源/7つのIT基準からなるフレームワークの形に整理して、1996年にCOBIT第1版として発行した。1998年にはツールセットを加えた第2版が発行、2000年には成熟度モデルなどの概念を取り入れた第3版が情報システムコントロール協会とITガバナンス協会(ITGI)から発行された。2005年12月には実際の組織により適用しやすくし、ITIL、ISO 17799、PMBOK、PRINCE2などとの調和を図ったCOBIT 4.0が発行された。また、2006年に「VAL IT」が公表されたことで、IT投資評価とも関連付けられた。2007年にはCOBIT 4.1が公開されている。
COBIT 4.0からは、第3版のエグゼクティブサマリ、フレームワーク、コントロール目標、マネジメントガイドラインが1冊にまとめられた(この冊子自体のタイトルがCOBIT 4.0である)。COBITは、IT活動を4つの領域(ドメイン)とコントロール目標(34の高レベル目標と318の詳細目標)に定義し、それぞれのコントロール目標について、CSF/KGI/KPIを定義し、さらにその成熟度レベルを6段階で示す。
■計画と組織
1.戦略的IT計画の定義
2.情報アーキテクチャの定義
3.技術指針の決定
4.IT組織の関係の定義
5.IT投資の管理
6.運用目標と指針の伝達
7.IT人的資源の管理
8.品質管理
9.リスクの査定と管理
10.プロジェクト管理
■取得とインプリメント
1.自動化されたソリューションの検証
2.アプリケーションソフトの調達・保守
3.技術基盤の調達・保守
4.プロセスの開発・保守
5.IT資源の調達
6.変更管理
7.ソリューションと変更の導入・認定
■供給とサポート
1.サービスレベルの定義と管理
2.サードパーティサービス管理
3.性能やキャパシティの管理
4.継続的サービスの保証
5.システムセキュリティの保証
6.識別とコスト配賦
7.ユーザーの教育・訓練
8.サービスデスクとインシデント管理
9.構成管理
10.問題管理
11.データ管理
12.物理環境管理
13.運用管理
■モニタと評価
1.ITパフォーマンスのモニタと評価
2.内部統制のモニタと評価
3.コンプライアンス遵守の保証
4.ITガバナンスの提供
COBITの4つのドメインと34のITプロセス
レベル5:最適化されている(Optimized)
レベル4:管理されている(Managed)
レベル3:定義されている(Defined)
レベル2:反復可能(Repeatable)
レベル1:初歩的(Initial)
レベル0:存在しない(Non-Existent)
COBITの成熟度レベル
IT組織の成熟度を測るモデルとしてはほかにCMM/CMMIなどが有名だが、COBITでは「リスク」という概念が強く打ち出されている。ここでいう「リスク」とはシステムトラブルなどの技術リスクのほか、情報漏えいに関することなどマネジメント体制も含まれる。そこでCOBITでは開発側・利用側双方をマネジメントすることで、セキュアな環境の下、ITを積極活用できる体制作りの指標を提示している。また、ベンダからITを“調達”することを前提にしている点も特徴の1つである。
なお「COBIT」は、ISACAおよびITGIの商標であり、COBIT著作物に関する著作権はISACAおよびITGIが有する。COBITandApplControls_JP.pdf