EMCジャパンは9月13日、企業のガバナンス、リスク、コンプライアンス(Governance Risk Compliance:GRC)活動を総合的に支援するソフトウェア「RSA Archer eGRC Platform」を10月3日から販売することを発表した。11月7日から出荷する。
Archer eGRC Platformはユーザーのアクセス制御やワークフローの作成、ダッシュボードのカスタマイズ、管理コンポーネントの双方向のデータを統合する。Archer eGRCはGRC支援システムの基盤となるPlatformを中核に「RSA Archer eGRC Solutions」という9つのコンポーネントで構成される。ユーザー企業は自社に必要なコンポーネントを組み合わせて導入できる。コンポーネントは以下の通り。
- RSA Archer eGRC Policy Management(ポリシー管理)
外部のさまざまな法律、規制と企業内のポリシーをマッピングすることで相互参照可能にし、一元化された企業ガバナンスの態勢を構築する - RSA Archer eGRC Risk Management(リスク管理)
各部門ごとに個別に評価していたリスクを一元管理可能。ビジネスに対するリスクを検出、評価し、それを克服する活動や例外処理を展開する - RSA Archer eGRC Compliance Management(コンプライアンス管理)
各種の法律や規制で順守が要求する項目について、統制手続きに展開し、その策定や運用を評価して、違反があった場合の対応を支援する - RSA Archer eGRC Enterprise Management(エンタープライズ管理)
組織階層、業務プロセス、設備、製品やサービス、資産などの関係や依存を管理して、GRC活動を支援する - RSA Archer eGRC Incident Management(インシデント管理)
インシデントを報告し、エスカレーションして、調査を追跡、解決策を分析する - RSA Archer eGRC Vendor Management(ベンダー管理)
外部委託先のベンダー情報やベンダーとの関係を管理し、ベンダーのリスクを評価して、自社のポリシーや統制を順守する - RSA Archer eGRC Threat Management(脅威管理)
一元化された早期警戒システムを活用することで、複数の脅威を追跡し、企業に攻撃の影響が及ぶ前に、攻撃から企業を防御する - RSA Archer eGRC Business Coninuity Management(事業継続管理)
事業継続計画(BCP)、災害復旧(DR)計画へのアプローチを自動化して、迅速で効果的な危機管理を展開する - RSA Archer eGRC Audit Management(監査管理)
監査の計画、優先度付け、要員確保、手続きやレポーティングを一元管理し、監査の協議や効率を向上させることを狙う
価格例としてPlatformとEnterprise Management、Policy Management、Risk Managementの3つのコンポーネントを組み合わせたケースで2000ユーザーで約1700万円(税別)となっている。別途保守費用として購入価格の18%が必要だ。
米EMCのセキュリティ部門RSAでGRCストラテジー&ソリューションのシニアディレクターを務めるDavid Walter氏はGRCについて「米国でも数年前に生まれた言葉」と説明。「GとRとCを1つに統合する必要性が出てきた」ことが背景にあって、こうした解決策が求められるようになっているとしている。
ここでいうコンプライアンスとは「会社のポリシーや手続き、社外法規などに準拠するための活動であり、それらに準拠していることを証明するための活動」も含まれる。ガバナンスは「企業を管理、監査するための文化や目標、プロセス、ポリシー、規則」であり、リスクは「目標達成に影響を与える事象が起こる可能性とその影響」になる。
企業のGRC活動は、バラバラに行われていることが一般的だ。たとえば製造業であれば環境規制には調達や生産などの部門が対応することになるし、内部統制であればIT部門のほかに財務や経理などの部門の対応が必須だ。