ニュース
» 2010年09月13日 07時05分 UPDATE

内部統制やコンプライアンスの管理をシステム化、RSAがGRC製品を投入

RSAセキュリティは、「Governance, Risk, Compliance」(GRC)ソリューションの「Archer」を2011年に日本市場に投入する。製品責任者が米国でのユーザー事例や製品特徴などを発表した。

[國谷武史,ITmedia]

 RSAセキュリティは、企業の内部統制やコンプライアンス、リスク管理を支援する「Governance, Risk, Compliance」(GRC)ソリューションの「Archer」を2011年に日本市場に投入する。米RSA Security eGRC Solutions ディレクター デイビッド・ウォルター氏が明らかにした。

 GRCソリューションは、企業経営を取り巻く法規制や内部統制、ビジネス上のリスクに関わる問題を発見し、その内容に基づいて適切な対応(コントロール)を支援するシステムを利用する。米EMCは、今年第1四半期に米国で600万以上のライセンスユーザーを保有するArcher Technologiesを買収し、セキュリティ部門のRSA Securityに統合した。

rsaarcher.jpg RSA Security eGRC Solutions ディレクター デイビッド・ウォルター氏

 ウォルター氏によると、近年米国では企業を取り巻く法規制の強化や、2008年の金融危機を契機にした経済情勢の悪化に伴い、内部統制やコンプライアンス、ビジネス上のリスクを管理する経営部門の業務の負担が高まっているという。

 多くの企業が業務プロセスの仕組みや業務上のリスクなどを定義する際に、スプレッドシートを使用して文書化している。だが法令への順守状況などを報告する際に手作業で報告書を作成しなければならず、日常的な管理も煩雑なため、GRCのシステムを導入してこれらの作業を効率化しようとする機運が高まりつつあるとしている。

 Archerの特徴は、業種や業態を問わず、ITセキュリティや財務、法務、人事など多くの企業に共通する関節業務やそのビジネスプロセスに注目している点や、内部統制やコンプライアンス、リスクに関するさまざまなデータをシステムに取り込める柔軟性の高さ、仮想化環境への対応であるという。

 「“Need for Context”をコンセプトにしており、システムで把握した情報に意味付けをして、ユーザーが内容をすぐに把握できるようにしている」(ウォルター氏)。例えば情報システムで登録されていないIPアドレスの利用を検出した場合、そのIPアドレスをどの機器が利用し、どのユーザーがどのようなビジネスプロセスで使用しているのかを管理者に通知できる。

 仮想化環境への対応は、EMCによる買収によって可能になったといい、VMware環境で構築されたシステムのセキュリティイベント情報を、Archerで一元的に集約できるようにした。

 Archerのユーザー企業は全米トップ40の金融機関のうちの35社に上る。また製薬や通信分野での利用も多い。最近では製造分野での利用も広がっているという。

 例えば日系電機メーカーの米国法人では、内部統制に基づく職務分掌や情報のアクセス権限の管理を効率化する目的で、現在導入プロジェクトを進めている最中である。既に業務プロセスやポリシーの定義を終え、社員への周知やトレーニングを行っているとこであり、今後は事業継続や災害復旧に対応できる環境を整備していく。

 また、別の日系の製造業の米国企業ではグリーンITの実現のためにArcherを導入しているという。環境規制に基づいた情報システムの運用状況をシステムで監視し、規制違反などのリスクに迅速に対応する仕組みを構築している。

 公認会計士の資格を持つウォルター氏自身も、以前は大手金融機関で財務を担当していたという。監督当局に提出する報告書の作成では、毎回650種類以上のドキュメントを参照しながら現場部門からの報告を取りまとめて、財務責任者経由で報告書を提出していた。この作業には24時間以上を費やしていたという。

 GRCソリューションの導入後は、システムが自動的に報告書を作成してくれるため、内容を確認して財務責任者にメールで知らせるだけになった。「1人のユーザーの立場でみても、システムテムによる業務効率化のメリットは非常に大きなものだ」という。

 企業の情報化が進んだことで、処理される電子データの量も増加の一途をたどっている。ウォルター氏は、こうした状況で管理者が情報をすべて把握するのは難しく、システムによってリスクに関する情報を一元的に集約するGRCのような仕組みが重要だと話す。

 RSAでは今年末にリリースする最新版で多言語対応を図り、国内市場では日本のコンプライアンス要件を満たすためのテンプレートも取り入れて、2011年内に提供を開始する計画だ。ウォルター氏は、「今後、日本でも米国と同様にコンプライアンス業務担当者の負担が高まっていくと予想される。担当者の負担を解消できるように支援したい」と語っている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ