EMCジャパンは9月、GRC(ガバナンス・リスク・コンプライアンス)活動を総合的に支援する製品「RSA Archer eGRC Platform」の国内販売の開始を発表したが、日本ではまだGRCという言葉に馴染みが薄い。GRCは企業にどのようなメリットもたらすのだろうか。今回、RSA, The Security Division of EMC GRC戦略&ソリューション, シニア・ダイレクタのDavid Walter氏に、GRCについて話を聞いた。

RSA, The Security Division of EMC GRC戦略&ソリューション, シニア・ダイレクタ David Walter氏

企業内のあらゆるビジネスプロセスの可視化を実現

「GRCという言葉は馴染みが薄いかもしれないが、決して新しいことではない。企業で行われていることをすべて可視化するのがGRCの役割」と話すWalter氏。

現在、企業では自社のビジネスプロセスが洗い出せておらず、それゆえ、プロセスの重要性が明らかになっていないため、さまざまな問題が起こっているという。そこで、GRCによってビジネスプロセスを可視化することでリスクが浮き彫りになり、それに対処することで、コンプライアンスとガバナンスの推進が実現されるというわけだ。

企業がGRCを行う理由としては、「効率性」「自動化」「説明責任」「コラボレーション」「可視性」の実現が挙げられる。

例えば、企業内にコンプライアンスの取り組みが複数存在してバラバラに実施されている場合、GRCを行うことで、重複したアセスメントを削減・廃止して、効率性が高められる。また、コンプライアンスの報告がExcelなどのスプレッドシートに保存してあり、内容が特定の時点にとどまっている場合、GRCによってデータ管理の自動化が実現される。

時勢柄、高まる事業継続管理としての用途

ただし、世界で災害が相次いでいる今、「事業継続管理のニーズが高まっている」と、同氏は説明する。日本では3月に東日本大震災が発生し、ここ最近は全国各地で台風の被害が深刻であり、米国でも東海岸で大型のハリケーンが大規模な被害をもたらした。

GRCによって、「事業影響度を分析」「事業継続計画を文書化」「災害復旧計画を文書化」「計画の検証」「計画の自動メンテナンス」「危機的な事象をトラッキング」といった、事業継続の管理に必要なサイクルが回るようになる。

「企業は『リスクが見えない』という課題を抱えている。そこで、GRCによってリスクを明らかにすることで、ビジネスの重要性に基づいた事業継続に向けた計画を策定することが可能になる。われわれの製品ではプロセスの重要性に基づいたテストが行える」

RSA Archerを導入したある企業では、80個の基幹系アプリケーションを含む350のアプリケーションを保護すること、50%のシステムが36時間以内に復旧可能になったという。同氏は、「RSA Archerを導入して最もよかったことは、すべての情報をひっくり返さなくても重要な情報の詳細をすぐに見られるようになったこと」というこの企業のCISOの言葉が気に入っていると話す。

全社員が業務に応じて使える「RSA Archer」

「ビジネスプロセス」「事業継続」といった言葉を聞くと、RSA Archerがいわゆる企業の経営層が使う製品と思われるかもしれない。しかし、同製品はすべての従業員でデータを共有することで、各人にメリットをもたらす

経営層は企業全体のシステムが一元的に見渡せるダッシュボードやレポートを活用するケースが多いだろう。また、ビジネスユーザーはExcelのようなスプレッドシートやWordのようなドキュメントファイルで管理しているデータをワークフローに落とし込むことで、自動化を図ることが可能になる。

また、同製品は「コードを書かなくてもカスタマイズが行えるので、コーディングが容易」と、同氏は語る。つまり、ユーザー自身が、自社のビジネスプロセスに合わせて、同製品のプロセスも簡単に変更できるというわけだ。

さらに、同氏は日本企業で取り組みが急速に進んでいる「グローバル化」にも同製品が有効だとアドバイスする。米国では海外のパートナー企業の管理に同製品が用いられているという。

企業のグローバル化において、現地のコンプライアンスを管理・遵守しつつ、企業としての全体最適を図っていくことは重要ながら、非常に難しい。しかし、同製品を活用することで、この課題が解決すると言える。

可視性やコンプライアンスなど、今の企業が直面している課題解決に有用なRSA Archerだが、今後、日本企業ではどのように受け入れられていくのか期待したい。