米EMCのRSA事業部は、企業が抱えるリスク情報をまとめて可視化するソフト「RSA Archer eGRC」を提供している。同ジャンルは、GRC(ガバナンス・リスク・コンプライアンス)管理ソフトと呼ばれ、米国では一つの製品ジャンルを形成している。2011年11月7日にはRSA Archer eGRCの国内出荷も開始する(関連記事)。ITproは2011年9月13日、同社幹部にGRCの背景と日本の市場性を聞いた。
日本ではGRCは新しい言葉だ。
Heiser氏: GRCの特徴は、コンポーネントを束ねて、統合して提供すること。一つひとつのコンポーネントの機能は、以前からある。これらを統合することで、よりよく情報にアクセスできる。日本では、こうした統合ソリューションが立ち上がったばかりであり、新鮮に映るだろう。GRCソフトの目的はリスクの可視化であり、決して真新しい分野ではない。当たり前の機能であり、需要は高い。
Walter氏: 現在の日本の状況は、GRCを導入して活用する際の成熟度において、3~4年前の米国と同じ。日本の企業はこれから、リスク評価を必要とする部門などから順に、GRCソフトを段階的に導入していくはずだ。大切なことは、ユーザー企業が抱えている現実の問題を解決するということであり、GRCというキーワード自体にこだわる必要はない。
GRCソフトとは何か。その背景は。
Heiser氏: 米国でGRCが立ち上がった3~4年前、米国においても「GRCとは何か」という話題があった。当時からユーザー企業は、G(ガバナンス)、R(リスク)、C(コンプライアンス)を、どう管理するのか、という問題を抱えていた。しかし、これら三つの管理対象(G、R、C)を統合する単一の枠組みが存在しなかった。
GRCソフトは、個々のコンポーネントを統合することによって、情報の可視性を高める。単一のダッシュボードで、リスク情報をまとめて見渡せる。日本でも、企業を取り巻く環境の変化、つまり、法規制、事業のグローバル化、企業の拡大による組織の複雑化などが進行する中、GRCによる統合管理の需要が、今まで以上に高まるだろう。
GRCというキーワードが登場する以前、(米EMCが買収した)米Archer Technologiesでは、GRCソフトのことを「Enterprise Risk & Compliance」というキーワードで呼んでいた。リスク管理やコンプライアンス管理は、日本企業が今まさに直面している課題だ。今日、日本企業2社を訪問したが、2社ともRSA Archer eGRCを導入すると言っている。
こうした経緯から、現在では、GRC市場の成長率は平均で20%で伸びている。RSA Archer eGRCの例では、Fortune 100企業の42%、Forbes Global 2000企業の11%が導入している。
Walter氏: 金融、IT、運用、監査、法務など、異なる立場にいる担当者たちが、リスク情報にアクセスするための共通のフレームワークを求めている。これらをまとめて可視化する、単一のプラットフォームが求められる。GRC製品には、プロセスのワークフロー機能、データの統合機能、情報をまとめて見せるダッシュボード機能、利用者に合わせた画面を開発できる機能などが必要になる。