SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press(AD)

コンプライアンス情報を統合する――リスク可視化ツール「Risk Organizer」

 国内ではコンプライアンスや情報セキュリティに関連した不祥事や事故が相次ぎ、改めて企業に潜む多様なリスクや影響範囲の広さに気づかされた人も多いだろう。今やセキュリティ対策やコンプライアンス遵守の必要性が増しているのは明らかであり、さらにはより実効的な対策が求められている。しかし、これまでの個別対応型のソリューションでは管理負荷が大きく、流動的な変化にも対応できないという問題がある。そこで注目されているのが、「ガバナンス・リスク・コンプライアンス」を横断的に捉え、かつ能動的に管理する『GRC』という考え方だ。NANAROQ株式会社はこの『GRC』にいち早く注目し、GRC専業サービスプロバイダーとして企業の課題解決に応えてきた。同社のGRCソリューションの概要について紹介する。

変化の激しい社会情勢に対応していくために、あらゆるコンプライアンス情報を統合する

 GRCとは、言葉通り「ガバナンス・リスク・コンプライアンス」を統合し、それぞれが連携しながら包括的にコントロールする、一連の活動や仕組み、システムのことだ。企業を取りまくリスクの多様化・複雑化、その範囲の影響の拡大などを鑑み、今あらためて注目されている。  

 もともと従来から「ガバナンス・リスク・コンプライアンス」については企業の大きな課題であり、様々な施策が展開されてきた。しかし、その多くがJ-SOX法準拠やISO対応、個人情報保護法やPL法への対応といったように、いわば個別対応に近いものも多かった。法令遵守への対応というように受動的であることから、予期せぬリスクや断続的な法改正など流動的な対応を苦手とし、管理負荷も増大する傾向にあった。また、ビジネスにおけるグローバル化が進み、海外進出先でのコンプライアンス対応はもちろん、取引先・提携先・連携子会社など意識すべき範囲も広がっている。

 こうしたコンプライアンス対応およびリスクマネジメントの複雑化に対して、GRCによる横断的・能動的な管理を“シンプルに”提供する。そのコンセプトのもと開発されたのが、NANAROQのGRCソリューションだ。

NANAROQ株式会社執行役員 兼 COO 榎本司氏

NANAROQ株式会社 執行役員 兼 COO 榎本 司氏

 SOX法はもちろん、様々な業界法令も含めたコンプライアンスに対する専門家のコンサルテーションとアセスメント。そして、世界各国の最新の情報を集約して提供するコンプライアンスデータベースの「UCF (Unified Compliance Framework)」、そしてリスクマネジメントを可視化し、能動的な対策を支援する「Risk Organizer」をクラウドサービスという形態で提供するなど、ITツールまでEnd-to-Endで提供している。「GRCに特化したベンダーというのは、日本では希有な存在だと思います」とNANAROQ株式会社執行役員 兼 COO榎本司氏は語る。さらに日本国内だけでなく、国外拠点へのソリューションをワンストップで提供できるのも同社の強みだ。

 「アジアを中心に、各国の法例に則ってローカライズしたGRCのシステムインテグレーションを提供しています。フロントや使い勝手は日本企業にフォーカスしながらも、バックヤードでは常に世界の変化を意識し、各国の最新情報を収集して提供しています。いつでも安心してグローバルビジネスに注力できるよう、使い勝手のいい『パスポート』的なソリューションを提供するつもりで取り組んでいます」(榎本氏)

各国の専門パートナーとの連携、ワンストップでのコンプライアンス設計が可能

 NANAROQのGRCソリューションは、リアルとITの連携によって、効果的かつ効率的なGRCを実現しようというものだ。  

 まず、コンサルティングについては、基本的な設計からアセスメント、そして実装までをそれぞれの専門家とのパートナーシップのもと、ワンストップで提供している。

 「コンプライアンスやセキュリティ対策における盲点を洗い出したり、GRCとして統合するロードマップを提供したり、“統合・最適化”を目的としたものが多いですね。海外拠点の場合は、GRC関連するサポートを各国の専門パートナーと連携して、提供しています」(榎本氏)  

 また、監査業務も手がけており、たとえば世界規模のペイメントテクノロジーを提供するVisa Inc.の日本唯一のSecurity Assessorsとして承認されている。従来、Visaが担っていたPINセキュリティなどのコンプライアンス・プログラムにおいて審査実施が可能だ。PCI DSS(Payment Card Industry Data Security Standards)などにも精通している。

 「コンサルタントがすべてコンプライアンスの専門家であると同時にバイリンガルであるのがNANAROQの強みの1つでしょう。現在、日本語・英語・中国語・韓国語・ヒンズー語に対応しており、海外とのやりとりや国外拠点へのサポートがスムーズに行えます。今後はさらに対応言語を増やしていく予定です」(榎本氏)

 コンサルタントは社内外合わせて約60名を超え、基本的には担当者が最後まで伴走するシステムになっている。ただし、アジア圏の拠点など遠方に対しては、より合理的かつ低コストでサービスを提供するために、クラウドサービス「アドバイザリーコネクト」によってサポートを行う。たとえば、監査前の専門家によるチェックや新たな対応に対する質問対応などがあった場合には、クラウド上でNANAROQが、企業の法務や経理などの部門担当者と現地のエキスパートとの仲立ちを行い、スムーズなコミュニケーションを支援するというものだ。

 また、近年の情報漏洩などのトラブルが内部的要因に起因していることを鑑み、社員に対してコンプライアンス教育を提供する「シンプラZ」の提供も開始した。クラウドで提供されるゲーム型教材になっており、一人のコンプライアンスへの意識の向上に貢献するという。

 こうした様々なソリューションの中でも、GRC統合の要となっているのが、リスクマネジメント可視化ツール「Risk Organizer」だ。

能動的にリスクに備え、迅速に対応する――リスクマネジメント可視化ツール「Risk Organizer」

 多くの企業では、リスクの洗い出しや分析などの現状把握は行なっていても、定期的な管理にまで至らず、トラブルが生じても対応するまでに時間がかかる。結果として、大きな事件や事故になるまで放置してしまう。  

 そこで「Risk Organizer」では、様々なリスクに関する情報をシンプルでわかりやすいビューで可視化して管理することで、リスクに能動的に対応し、時には先手を打てるような環境を提供する。重要リスクと対応状況を定期的にモニタリングし、現場関係者で共有しながら、必要なアラートをリスク責任者までスピーディに上げるというわけだ。

画面:リスク状況の可視化/各情報資産のリスクや管理策の情報を可視化して把握可能

 「Risk Organizer」はリスクマネジメントの国際規格であるISO31000に準拠し、欧米における経験やノウハウを活かしつつ、日本の組織分化や風土を強く意識して開発されている。プラットフォームには、信頼性やセキュリティに定評のあるセールスフォース・ドットコムのクラウド基盤を利用しており、クラウド型であることからスモールスタートでスピーディに導入でき、毎月のランニングコストのみで利用が可能だ。当然ながら、拡張性も担保されている。

 「リスク管理者と部門責任者の両者がタイムリーに現状を把握し、密なコミュニケーションを簡単に図れる。結果、プロアクティブなリスクマネジメントが実現できるというのが『Risk Organizer』の最大のメリットです。さらには、国内外のあらゆる拠点で容易に連携でき、タイムラグを感じさせることがありません。そのため国内はもちろん、グローバル企業の海外拠点でも多くご利用いただいています」(榎本氏)

 もちろん「何が重要リスクなのか」「どんなリスクを管理すべきか」といったリスクマネジメント戦略に基づく設計は欠かせない。そこで前述したようなコンサルティングサービスにより、リスク分析やアセスメント、定期的なPDCAなどの設計も必要に応じて提供している。

図:リスクアセスメントとリスク対応

 さらに2015年夏には、「Risk Organizer」をベースに、ISMS(Information Security Management System)やPCI DSSなどに対応し、情報システムのリスク管理に特化した「Risk Organizer for IT」を提供することを予定している。

 今後は「Risk Organizer」「Risk Organizer for IT」、3年で10倍のライセンス契約を目標としている。日本唯一のGRC専業ベンダーとしての挟持を胸に、企業の国内外でのコンプライアンス&リスクマネジメントにおいてリーディングカンパニーとなるべく、さらなる飛躍をめざす。

●NANAROQ株式会社 お問い合わせ: info@nanaroq.com

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7036 2015/08/06 10:20

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング