編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

ルール順守から全社最適の基盤に--GRCテクノロジの可能性

國谷武史 (編集部)

2018-01-19 06:00

 企業のビジネスには、必ずと言っていいほどに法令や規制、ガイドラインといったビジネスを適切に行うための“ルール”が存在する。それらを順守することは、ビジネスの基本であり、そこから逸脱することは不適切なビジネスとみなされてしまう。

 こうしたビジネスにおける“ルール”に対応するためのテクノロジとして、国内のエンタープライズIT市場では、2010年頃に「GRC(ガバナンス・リスク・コンプライアンス)」と呼ばれる分野が登場した。GRCのソリューションは、規制対応や法令順守、リスク管理といった企業が取り組むべき課題の可視化、分析、管理、報告などの機能群で構成される。

 ITベンダー各社は、GRCソリューションの製品やサービスを2012年頃までに相次いで市場に投入した。ただ、GRCという言葉が市場に定着するには至っていない。その理由は、GRCが対象とする領域が幅広く、むしろ内部統制や監査、環境規制対応、サイバーセキュリティといった個別の課題に対応する目的で、GRCの機能を部分的に導入しているユーザーが多いようだ。


RSA Security アジア太平洋・日本地域 GRC製品担当ディレクターのSam O'Brien氏

 こうした市場の現状において、Dell EMCのRSA Securityでアジア太平洋・日本地域のGRC製品担当ディレクターを務めるSam O'Brien氏は、「現在はコンプライアンスなど企業に共通する課題が多く、GRCの導入理由が当初は個別課題への対応でも、その後に全社へ広げていくケースが増えている」と話す。

 RSAは、2010年にGRCベンダーのArcherを買収し、現在は「RSA Archer GRC」の名称で展開している。Archer GRCがカバーする領域は、IT/セキュリティリスク管理、全社リスク管理、コンプライアンス、外部委託先管理、事業継続管理、監査管理など。それぞれの領域に向けた機能とダッシュボードなどの共通機能がモジュール化され、ユーザーは目的に応じたモジュールを組み合わせて利用しているという。

 O'Brien氏は、GRCという言葉に大きく2つの意味があると話す。1つはテクノロジ名称としての意味。もう1つは、あらゆる企業に共通する課題への取り組みを可視化、管理、活用していくというプロセスを指す。

 「GRCに取り組むきっかけは、2000年頃ならSOX法への対応、最近ならGDPR(EUの個人情報・プライバシーに関する保護規則)への対応とさまざまだが、いずれにしてもコンプライアンスに対応していく中で得たノウハウや経験を全社規模に広げ、ビジネス全体を適切なものにしていこうという目的に変わりつつある。GRCのテクノロジはそうした活動を支援するものだ」

 O'Brien氏によれば、企業が適切なビジネス環境を実現していく取り組みでは、成熟度を高めていくアプローチが重要になる。

 特定の法令や規制など、あるいは社会的な規範(なすべきこと)といった個別課題への対応では、それらを順守していくための活動を主導する部門(例えば内部監査なら法務)が関係部門(ITなど他の管理部門や事業部門など)の協力を得ながら進めていく。まずは対応すべき項目における状況を把握(可視化)して、改善すべき課題などを洗い出す。次に改善策を講じ、改善策が継続的に実施され、効果につながっているかを確認(モニタリング)、管理していく。O'Brien氏は、この段階における成熟度を「マネージド」と呼ぶ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]