EMCジャパン、企業のリスクを一元管理するGRC製品を国内投入

米EMC GRCストラテジー＆ソリューション シニア・ディレクターのデビッド・ウォルター氏

　EMCジャパン株式会社は13日、GRC（ガバナンス、リスク、コンプライアンス）活動を総合的に支援するソリューション「RSA Archer eGRC Platform（以下、Archer）」を発表した。11月7日より出荷する。

　海外での法律・規制、温暖化防止などの環境要件、サイバー攻撃への対処、自然災害による被害――昨今、企業が直面するリスクは多面的となり、事業を円滑に推進するためには全社的なリスクを適切に把握し、対応ルールを定めて準拠していく必要がある。

　そのために、グループ方針・社内ルールを徹底させる体制を作り、企業を取り巻くリスクの可視化し、定めたルールに基づいて業務が回っているを監視する、といった流れを総合したものをGRCと呼ぶ。

　こうした活動は程度の差はあれど多くの企業で取り組まれているものだ。しかし、組織構造が複雑化した大企業などでは、リスクを所管する本部機能部門の専門化に、縦割り化、事業ラインの増加、地域統括部署の分化なども加わり、リスク管理の方針をいかに決めて、どう浸透させ、どこがモニタリングするかが課題となっている。

　「企業におけるリスク管理活動は、事業部単位で管理指針を定め、各部門専用のツールを使用したり、手作業で運用されていたり、他部門からは容易に状況を把握できないのが現状」（米EMC GRCストラテジー＆ソリューション シニア・ディレクターのデビッド・ウォルター氏）なのだ。

複雑な組織構造ではGRCの実現は容易ではない	ArcherはGRCの歯車をスムーズに回すための管理製品だ

　Archerは、事業部単位で個別に実施していたGRC活動を、企業全体にわたる共通のプロセスと情報に基づいて、効率的・効果的に実施できる製品。基盤となる「Platform」のほかに、組織・製品・サービス・資産などの関係や依存を管理する「Enterprise Management」や、外部の法律・規制・企業ポリシーをマッピングし相互参照を可能にする「Policy Management」、ビジネスに対するリスクを検出・評価する「Risk Management」といった全9種の管理コンポーネントで構成される。

　管理コンポーネントにはほかにも、インシデントをレポートし解決策を分析できる「Incident Management」や、外部委託先のベンダー情報やその関係を管理する「Vendor Management」などをそろえ、「Platform」に搭載されたユーザーアクセス制御、ワークフロー、ダッシュボードなどの機能によって、全社的に共通のプラットフォームを提供するのが特長だ。これにより、企業を取り巻くリスク因子とコンプライアンス状況を全社的に可視化し、部門ごとの作業の重複を解消できるという。

「Platform」を中心に9種類の管理コンポーネントが用意される	「Platform」に搭載されたダッシュボード画面例

　ウォルター氏はこれに加えて、「Archerの優位点は、企業のGRCに必要な主要なプロセスすべてを1つのプラットフォームを通じて統合できるほか、ビジネスユーザーが自分たちの要件に合わせてプロセスを変更できる柔軟なポイント・アンド・クリック構成にある」と説明。「Platform」には、あらかじめ用意された9種類の管理コンポーネント以外に個別要件に応じてアプリケーションを作成し、ビジネス課題を解決できる「アプリケーションビルダ」機能も搭載されているとした。

　また、震災後に改めて見直されている事業継続管理（BCM）にも対応し、管理コンポーネントの1つである「Business Continuity Management」を活用すれば、危機的事象のトラッキング、事業へのインパクト分析、事業継続計画（BCP）や災害復旧計画の文書化、計画の検証、自動メンテナンスというサイクルを効率化できる。

　さらに、すでに企業内に導入されている管理製品とも連携。RSA製品を例に取れば、SIEM（セキュリティ情報・イベント管理）製品の「enVision」と組み合わせて、enVisionで吸い上げた情報をArcherを使って企業全体のGRCプロセスに乗せることが可能という。

　Archerは、2010年1月にEMCが買収した企業の製品で、ようやく画面の日本語化などを終え日本市場への投入となる。日本市場での展開についてEMCジャパン RSA事業本部 マーケティング部の宮園充氏は、「Archerは全体としては大規模な管理製品だが、各種コンポーネントが分かれていることから、必要なものからスモールスタートして育てていける製品となっている。それを前提に、グローバル企業、金融、通信、商社、製造、製薬・医薬業など、経営活動において統合的なリスク管理を必要とする企業を対象に展開する」と説明。

　価格例は、「Platform」「Policy Management」「Risk Management」「Enterprise Management」の組み合わせの場合、2000ユーザーで約1700万円（税別）。まずは50社での採用を目指す。