企業に求められる情報セキュリティ対策要件は年々厳しくなっています。昨年には、EU(欧州)域内においてGDPR(General Data Protection Regulation:(EU)一般データ保護規則)が施行され、EU域内において事業活動を行っている企業や、EU域内市民向けのサービスを提供している企業は、外国籍企業であったとしても同法令が適用されることになります。
しかも、GDPRではWeb上での端末識別情報(IPアドレスやクッキー)も個人情報と定義しているため、Webサービス全盛期の現代において、日本企業の中にもGDPR適用対象となる企業は多数存在します。
こうした中、企業が取り組むべきGRC(Governance Risk Compliance)と情報セキュリティとは何でしょうか?本稿ではこのポイントを重点的に解説していきます。
GRCとは?
GRCは「Governance(ガバナンス)」「Risk(リスク)」「Compliance(コンプライアンス)」の頭文字を取った言葉であり、それぞれ次のような意味があります。
Governance(ガバナンス)
組織としての目標を適切に作成し、それを達成するための仕組み
Risk(リスク)
目標達成に対して好影響・悪影響を与えるような要因(リスク)を把握し、管理するための仕組み
Compliance(コンプライアンス)
法規制や社内規定に準拠するための仕組み
GRCはいずれの要素もビジネスシーンでよく耳にする言葉です。特に「Governance(ガバナンス)と「Compliance(コンプライアンス)」は、事業目標を達成したり企業としての信用を維持したり、不正行為が発生しないために欠かせません。
ここで言うそれぞれの「仕組み」とは、GRCを実行するためのプロセス及び組織、プロセスを通じたインプット・アウトプット、それとプロセスを支える文化やインフラを指します。
ビジネスシーンに欠かせないGRC。最近では管理の複雑化により、適切に管理できていなかったり、効率の良い仕組みが構築できなかったりする企業が多いようです。
こちらの「REALTECH GRCセキュリティスターターパック」もぜひご覧ください。
企業に求められる情報セキュリティ対策とは?
現代企業はかつてないほどの、情報セキュリティの脅威にさらされていると言って過言ではありません。数々のサイバー攻撃は非常に高度化し、ウイルス対策ソフトやネットワーク・ファイアウォールなど、従来一般的だった情報セキュリティ対策だけで防げる攻撃は微々たるものです。
たとえば、標的型サイバー攻撃の脅威は現在も続いています。2015年、日本年金機構で125万人以上の個人情報流出事件が発生したことを皮切りに、日本中の企業がその被害に遭っています。ちなみに標的型サイバー攻撃とは、ターゲットを特定する種類の攻撃であり、防ぐことが困難だとされています。
他にも、2017年にはランサム(身代金要求)型コンピューターウイルスの「WannaCry(泣きたくなる)」が世界中で大流行し、猛威を振るいました。米国のセキュリティ会社Mcafee(マカフィー)の調査によれば、WannaCryの被害総額は世界で40億ドル(約4,500億円)に達するとされています。
参考:Mcafeeブログ ランサムウェアの被害額、リスクを把握するとイメージできる被害金額
このように、情報セキュリティ業界では時代ごとに脅威トレンドが存在し、各企業には堅牢な情報セキュリティ対策が求められています。
GRCと情報セキュリティ対策を徹底するための方法とは?
まずGRCに関してですが、データ偽装や検査不正、製品の重大な欠陥といった品質問題は、継続的に同じような事象が再発したり、より大きな問題に発展したりするケースは少なくありません。しかしながら、通常これらのケースではインシデント(不正やセキュリティ事件など)が適切に報告・管理されていないのが現状です。存在していたインシデントが何らかのきっかけで表面化したに過ぎず、以前から存在しているケースがほとんどです。
こうしたインシデントが表面化しない原因は、下記のようになります。
インシデントを確認した人、発生した所ではその問題を大きな問題だと認識しておらず、報告しない
そもそも、インシデントが発生してもどのような事案をどこに報告すればよいのかが分からない
人、部署、組織にとって悪い情報は報告せず、忖度(そんたく)する企業文化が根付いている
では、これらの問題を解消してGRCを徹底するための方法とは何でしょうか?最も効果的とされているのが、「GRCソリューション」を活用することです。GRCソリューションの機能を簡単に解説してみましょう。
[SMART_CONTENT]
Risk(リスク)管理
グループ会社を含め主要な組織や部門に「リスク調査票」を記入してもらい、これを集計してヒートマップやリスクマップなど、様々な方式でデータをダッシュボードに表示し、全社的なRisk(リスク)を管理する。
Governance(内部統制)・J-SOX
Governance(内部統制)・J-SOXの対象となるプロセスや組織のおけるリスクとコントロールを定義して、テストを通じてコントロールが適切なものか、リスクが低減されているかなどを評価する。
内部監査
個別監査計画、監査調査書作成、証跡管理、指摘作成、報告書作成、私的フォローアップなど主要業務に加えて全体スケジュール管理、要因管理、品質管理など内部監査業務を全体的にカバーする。
事故報告・内部通報
発生したCompliance(コンプライアンス)違反など、インシデントの発生部門や発見部門が入力する。入力された内容はワークフローを通じて関係者に即座に共有・展開される。
個別の重要リスク領域
業務プロセスの変更や問題があった場合に影響が及ぶ範囲を明確にし、アプリケーションやデバイスの脆弱性管理や法令規制の変更管理なども行う。
以上のように、GRCソリューションを導入することにより、企業はGRCの総合的管理が行えるようになります。こうしたシステム無しに、GRCを管理することは現在不可能だと考えられています。ちなみにGRCソリューションを用いることで、現代企業が抱えている情報セキュリティ対策問題も解決できるようになります。
ERPに欠かせないGRCソリューション
現在、大企業や中小企業など事業規模を問わずERP(Enterprise Resource Planning:統合型基幹システム)を導入する時代に突入しています。このERPに欠かせないのがGRCソリューションです。
ERPには企業経営に必要な基幹系システムと、情報が集約されています。それはつまり、ERPは会社そのものということであり、最大限の努力を持って情報セキュリティ対策を実施していくことが大切です。現在、ERPを導入している企業はGRCソリューションの活用を積極的に検討し、ERP環境におけるGRCと情報セキュリティ対策について見つめ直していきましょう。
REALTECHでは、初期スタートのため1ヵ月で導入するREALTECH GRCセキュリティスターターパックをご用意しております。
SAPシステムへのGRCセキュリティ導入に関するご相談はぜひ当社までご連絡ください。
