EMCジャパンは2011年9月13日、事業リスクを統合管理するGRC(ガバナンス・リスク・コンプライアンス)管理ソフト「RSA Archer eGRC Platform」を発表した。10月3日に販売を開始し、11月7日に出荷する。価格は、基盤ソフトに加えて、全社管理、ポリシー管理、リスク管理の三つのアプリケーションをセットにした構成例で、2000ユーザー時に約1700万円(税別)。販売目標は、グローバル展開企業を中心に今後2年間で50社以上という。
RSA Archer eGRC Platformは、リスク情報を一元管理する、情報系のアプリケーション。法規制上の要件や自然災害など、企業が事業を継続する上で問題となる各種のリスク情報を収集・登録し、これらを互いに関連付け、可視化する。どこにどのようなリスクが存在するのかや、個々のリスクが事業に与える影響などを、見えやすくする。専門家が作成したリスク対処のベストプラクティスも含む。
GRCソフトが登場した背景には、法規制の複雑化や業務プロセスの複雑化がある。こうした中、ガバナンス(法規制や社内ポリシーを守る体制)の作成、リスク(リスクと、リスク低減の手法)の定義、コンプライアンス(リスク低減活動の監視)の実施、という一連のサイクルを、システムによってつなげて統合する需要が出てきたという。このサイクルを、情報の集約と可視化によって支援する。
ITシステムを使って事業リスクを評価できるようになるため、米国では、「GRCソフトの導入によって、いくつかの法規制に準拠できる」(RSA, The Security Devision of EMCのDavid Walter氏、写真1)。国内においても、企業の説明責任にとって、GRCは有力な根拠になるという。例えば、独占禁止法の課徴金を支払うケースでは、あらかじめGRCのデータを示しておくことで支払い額の低減も可能になる。
用途に合わせてアプリケーションを選ぶ
製品は、基盤ソフトの「RSA Archer eGRC Platform」と、eGRC Platformを使って開発した、用途ごとのアプリケーション群「RSA Archer eGRC Solutions」で構成する。ユーザーは、基盤ソフトを使って任意のアプリケーションを開発できるほか、eGRC Solutionsから企業の需要に合ったアプリケーションを選んで、段階的に導入する。
基盤ソフトのeGRC Platformは、レポート/ダッシュボード機能(写真2)、アクセス制御機能、任意のアプリケーションを作成する機能、監視内容などの条件に応じた通知機能、業務の流れに沿ったワークフロー機能、などを提供する。ライブラリとして、法規制の情報や業界標準に関連付けられているアセスメントなど、専門的な情報を組み込んでいる。
用途別アプリケーションのeGRC Solutionsは、以下の9個で構成する。eGRC Solutions同士は互いに連携し、共通のリスク情報にアクセスする。
- 「RSA Archer Enterprise Management」(エンタープライズ管理)
- 「RSA Archer Policy Management」(ポリシー管理)
- 「RSA Archer Risk Management」(リスク管理)
- 「RSA Archer Compliance Management」(コンプライアンス管理)
- 「RSA Archer Incident Management」(インシデント管理)
- 「RSA Archer Vender Management」(ベンダー管理)
- 「RSA Archer Threat Management」(脅威管理)
- 「RSA Archer Business Continuity Management」(事業継続管理)
- 「RSA Archer Audit Management」(監査管理)
実際の使い方は以下のようになる。事業継続管理の場合は、まずBIA(ビジネス影響度分析)を実施し、RSA Archer eGRC Platform上で災害復旧計画を作成し、作成した計画が有効かどうかをテストする。その後に、日常的に計画の見直しや更新などのメンテナンスを実施する。
米国の金融サービス企業が事業継続管理を実施した例では、RSA ArchereGRC Platformの導入によってリスク評価にかかるコストを年間で2万ドル削減したという。