写真1●RSA, The Security Devision of EMCでSenior Director of GRC Strategy and Solutionsを務めるDavid Walter氏
写真1●RSA, The Security Devision of EMCでSenior Director of GRC Strategy and Solutionsを務めるDavid Walter氏
[画像のクリックで拡大表示]
写真2●RSA Archer eGRC Platformのダッシュボード画面
写真2●RSA Archer eGRC Platformのダッシュボード画面
[画像のクリックで拡大表示]

 EMCジャパンは2011年9月13日、事業リスクを統合管理するGRC(ガバナンス・リスク・コンプライアンス)管理ソフト「RSA Archer eGRC Platform」を発表した。10月3日に販売を開始し、11月7日に出荷する。価格は、基盤ソフトに加えて、全社管理、ポリシー管理、リスク管理の三つのアプリケーションをセットにした構成例で、2000ユーザー時に約1700万円(税別)。販売目標は、グローバル展開企業を中心に今後2年間で50社以上という。

 RSA Archer eGRC Platformは、リスク情報を一元管理する、情報系のアプリケーション。法規制上の要件や自然災害など、企業が事業を継続する上で問題となる各種のリスク情報を収集・登録し、これらを互いに関連付け、可視化する。どこにどのようなリスクが存在するのかや、個々のリスクが事業に与える影響などを、見えやすくする。専門家が作成したリスク対処のベストプラクティスも含む。

 GRCソフトが登場した背景には、法規制の複雑化や業務プロセスの複雑化がある。こうした中、ガバナンス(法規制や社内ポリシーを守る体制)の作成、リスク(リスクと、リスク低減の手法)の定義、コンプライアンス(リスク低減活動の監視)の実施、という一連のサイクルを、システムによってつなげて統合する需要が出てきたという。このサイクルを、情報の集約と可視化によって支援する。

 ITシステムを使って事業リスクを評価できるようになるため、米国では、「GRCソフトの導入によって、いくつかの法規制に準拠できる」(RSA, The Security Devision of EMCのDavid Walter氏、写真1)。国内においても、企業の説明責任にとって、GRCは有力な根拠になるという。例えば、独占禁止法の課徴金を支払うケースでは、あらかじめGRCのデータを示しておくことで支払い額の低減も可能になる。

用途に合わせてアプリケーションを選ぶ

 製品は、基盤ソフトの「RSA Archer eGRC Platform」と、eGRC Platformを使って開発した、用途ごとのアプリケーション群「RSA Archer eGRC Solutions」で構成する。ユーザーは、基盤ソフトを使って任意のアプリケーションを開発できるほか、eGRC Solutionsから企業の需要に合ったアプリケーションを選んで、段階的に導入する。

 基盤ソフトのeGRC Platformは、レポート/ダッシュボード機能(写真2)、アクセス制御機能、任意のアプリケーションを作成する機能、監視内容などの条件に応じた通知機能、業務の流れに沿ったワークフロー機能、などを提供する。ライブラリとして、法規制の情報や業界標準に関連付けられているアセスメントなど、専門的な情報を組み込んでいる。

 用途別アプリケーションのeGRC Solutionsは、以下の9個で構成する。eGRC Solutions同士は互いに連携し、共通のリスク情報にアクセスする。

  1. 「RSA Archer Enterprise Management」(エンタープライズ管理)
  2. 「RSA Archer Policy Management」(ポリシー管理)
  3. 「RSA Archer Risk Management」(リスク管理)
  4. 「RSA Archer Compliance Management」(コンプライアンス管理)
  5. 「RSA Archer Incident Management」(インシデント管理)
  6. 「RSA Archer Vender Management」(ベンダー管理)
  7. 「RSA Archer Threat Management」(脅威管理)
  8. 「RSA Archer Business Continuity Management」(事業継続管理)
  9. 「RSA Archer Audit Management」(監査管理)

 実際の使い方は以下のようになる。事業継続管理の場合は、まずBIA(ビジネス影響度分析)を実施し、RSA Archer eGRC Platform上で災害復旧計画を作成し、作成した計画が有効かどうかをテストする。その後に、日常的に計画の見直しや更新などのメンテナンスを実施する。

 米国の金融サービス企業が事業継続管理を実施した例では、RSA ArchereGRC Platformの導入によってリスク評価にかかるコストを年間で2万ドル削減したという。