概観と準備
ITガバナンスとはそもそも何か。拠りどころとなる国際標準(ISO/IEC 38500、COBIT、NIST CSF 2.0)。そして7フェーズ × 5ドメイン × 12Gステップのロードマップ。
航海
本書がたどるのは、いまの岸(現状の組織)から向こう岸(ガバナンスの整ったIT)へ渡る、ひと続きの航海です。下の図版はパノラマ海図。アイコンの一つひとつが、本書の章やGステップに対応します。航路は3区間 ― 概観と準備(第1〜3章)、実装(第4〜8章)、評価と次の一手(第9〜10章)。
ITガバナンスとはそもそも何か。拠りどころとなる国際標準(ISO/IEC 38500、COBIT、NIST CSF 2.0)。そして7フェーズ × 5ドメイン × 12Gステップのロードマップ。
フェーズ1〜5。土台をつくり、現状を評価し、戦略とアーキテクチャを設計し、予算を定め、実行する。9つのGステップがこの部に収まります。
フェーズ6〜7。パフォーマンス監視、BCP、監査、継続的な進化。さらに、AI・サイバー・CSF 2.0 を扱う将来対応の章。
全10章
各章には右にパノラマを添えました。バッジはその章で扱うGステップ、副題は章扉に置くリード文です。
ITガバナンスがヘルプデスクの話ではなく、経営層(取締役会)の課題である理由。ISO/IEC 38500、COBIT、NIST CSF 2.0、そして Weill & Ross の定義を読み比べます。クラウド・AI・DX を、ガバナンスの課題として捉え直します。
国際標準と主要フレームワークを俯瞰します。ISO/IEC 38500 の6原則、COBIT(ISACA)が定めるガバナンスの対象領域、そして ITIL を、実務者の目線で読み解きます。何をガバナンスの対象とし、誰がどこまで責任を負うのか。
本書の中核となる図。7フェーズ(縦)× 5ドメイン(横)× 12Gステップ(実務)。対立が例外ではなく常態である中で、組織変革を前進させ続ける方法。
G1:ガバナンス体制。G2:ステークホルダー管理と便益の実現。プロジェクトで最初に生まれる具体的な成果物であり、多くの失敗が始まる瞬間でもあります。
G3:リスク・品質・データ管理を、切り離さずひとつの規律として扱います。ケーススタディ:チェルノブイリ ― リスク・品質・データという3つの失敗と、企業ITに現れるその相似形。
G4:IT戦略とエンタープライズアーキテクチャ。G5:組織・人材・ベンダー管理。ケーススタディ:シンガポールのスマートネーション ― 国家規模の戦略設計とはどのようなものか。
G6:投資・予算・ポートフォリオ管理。G7:プロジェクト・プログラム管理。ケーススタディ:エストニアの電子政府 ―「なんとかする」ではなく、3つの明確な投資カテゴリー。
G8:システムの構築 / 調達 / 導入。G9:運用とインシデント管理。ケーススタディ:NASA オポチュニティ ― 2億2,500万km彼方から、15年間途切れなかった運用。
G10:パフォーマンスの監視と評価。G11:事業継続と可用性。G12:監査と保証。ISO/IEC 38500 の「パフォーマンス」原則の実践。ITガバナンスにおける PDCA の Check と Act。
ISO/IEC 38500 の「責任」原則を未来へ延ばします ― AI時代に問われる4つの責任、すなわち生み出す責任・続ける責任・終わりへの責任・判断する責任。深刻化するサイバーセキュリティ、NIST CSF 2.0 の GOVERN 機能、そして今なお高まりつつある規制の波も扱います。
12のGステップ
7つのフェーズが示すのはいつ、5つのドメインが示すのはどこで。そして12のGステップが示すのは何を ― 計画でき、監査でき、やり遂げられる具体的な成果物です。
フェーズ1 · 第4章
フェーズ1 · 第4章
フェーズ2 · 第5章
フェーズ3 · 第6章
フェーズ3 · 第6章
フェーズ4 · 第7章
フェーズ4 · 第7章
フェーズ5 · 第8章
フェーズ5 · 第8章
フェーズ6 · 第9章
フェーズ7 · 第9章
フェーズ7 · 第9章
実際の航海
扱うのは、匿名化した作り話ではなく、実名の事例ばかり。どれも、その教訓に対応する章で掘り下げます。
3つの失敗が、ひとつの爆発を招きました。リスク:RBMK炉の低出力時の不安定性は既知でありながら、運転員に伝えられていませんでした。品質:過去に失敗していた非常用電源試験が、ECCS を無効にしたまま再実施されました。データ:汚染地図は3年間機密扱いとされ、原発から300km離れた高濃度汚染が確認されたのは1989年のことでした。
スマートネーション1.0 は、まず目標を定めました(デジタル政府 / デジタル経済 / デジタル社会 / デジタルセキュリティ)。その目標が戦略へと具体化されます。首相府(PMO)の下に置かれた Smart Nation and Digital Government Group(SNDGG)が統括する組織を整え、Singapore Government Tech Stack(SGTS)が共通のアーキテクチャをもたらしました。目標 → 戦略 → 組織 → アーキテクチャ、この順序で。
人口約130万人の国で、政府発行のIDカードはほぼ全国民に行き渡り、多様な行政サービスがオンラインで完結します ― これらを限られた国家予算で賄っています。明確な3つの投資カテゴリー:必須(コンプライアンス / セキュリティ。やらなければ何を失うかで判断)、戦略(e-Residency、インターネット投票 ― 短期のROIではなく長期の価値)、最適化(効率化。測定可能なコスト削減を伴う)。
90日の予定が、15年続いたミッション。MER計画のライフサイクルコストは約10億ドル前後 ― 宇宙開発では予算超過が常態化するなか(NASA主要プロジェクトの平均超過は約28%)、比較的良好な予算管理の事例でした。2018年の砂嵐のあとには800回超の復旧試行。標準化されたインシデント対応、厳格な変更管理、24時間365日の監視、明確なチーム間の役割 ― 2億2,500万km彼方の惑星上で、機器を運用し続けました。
定義の比較
ITガバナンスの定義は、機関ごとに力点が異なります ― システム、リーダーシップ、サイバーリスク、意思決定権。本書はその4つすべてを使います。出典は原典にあたって示しました。
| 機関 / 標準 | 力点 | 定義(引用箇所は原典に基づく) |
|---|---|---|
| ISO/IEC 385002024 · §3.4 / §3.3 | システム | 「現在および将来のITの利用を統治する仕組み(システム)」。ガバナンスそのものは「指揮・監督・説明責任からなる、人を基盤とした仕組み」とされます。ITのガバナンスを組織ガバナンスの一構成要素ないし領域として扱います。 |
| COBIT 2019ISACA | リーダーシップと組織構造 | 「ITガバナンスは取締役会と経営陣の責任であり……企業のITが組織の戦略と目標を維持・拡張することを保証する、リーダーシップ・組織構造・プロセスから構成される。」EDM ドメイン(Evaluate · Direct · Monitor)を通じて運用されます。 |
| NIST CSF 2.02024 | サイバーリスクの統合 | 6つ目のコア機能として GOVERN(GV) を追加。「組織はサイバーリスク管理をコーポレートガバナンス構造の全体に組み込む必要があるため」。リーダーシップ / 説明責任、ポリシー、戦略的整合、継続的な監視 / 改善を扱います。 |
| Weill & RossMIT CISR · 2004 | 意思決定権 | 「ITの利用において望ましい行動を促すための、意思決定権と説明責任の枠組みを定めること。」重要な区別:「ITガバナンスは個別の意思決定を下すことではない ― それは経営の役割だ ― むしろ、誰が体系的にその決定を下し、寄与するのかを定めるものである。」 |
サンプル図版
以下はその一部。各章(複数のGを含む章では各Gステップ)ごとに、専用のパノラマ航海イラストを描き下ろしました。全12点。









日本語版(2026年8月刊行予定)の刊行案内をご希望の方は、メールアドレスをご登録ください。
本書の原稿をもとにした平易な要約。