縦割りだったリスク管理とコンプライアンス評価を一元化
EMCジャパン、リスクの可視化、自動化製品を発表
2011/09/13
EMCジャパンは9月13日、企業のGRC(ガバナンス、リスク、コンプライアンス)活動を支援する「RSA Archer eGRC Platform」を発表した。グローバルな事業展開にともない複雑化している企業のリスク管理やコンプライアンス対応を支援する。
RSA Archer eGRC Platformは、法令違反や災害、セキュリティインシデントといった企業を取り巻くリスクを可視化することで、ビジネスへの影響度に基づいて適切な対策を取れるよう支援するソフトウェアだ。ポリシーや統制フレームワークを文書化して共有し、企業が保有するリソースとリンクさせ、重要度に応じてどんな対処を取るべきかを把握できるようにする。一連の活動はレポート化され、目標達成度や規制の順守状況を確認できる。
新日本有限責任監査法人 金融アドバイザリー部 シニアパートナーの森本親治氏によると、現にいくつかの日本企業が、米国の反トラスト法や海外腐敗行為防止法(FCPA)に違反したとして、億単位の課徴金を支払っているという。こういった状況を踏まえ、ステークスホルダーに「リスクをきちんと管理していること」を分かりやすく説明することの重要性は増していると述べた。
しかし従来、リスクの把握やコンプライアンス評価は、事業部門ごとにばらばらに手作業で行われることが多く、作業の重複や部署ごとの食い違いなどが生じていた。RSA Archer eGRC Platformは、企業全体にまたがってリスクやコンプライアンスに関する情報を一元管理できるようにする。また、システム化/自動化することで、リスク管理に要する作業を効率化できるメリットも生まれる。
例えば、米国のある企業では事業継続管理にRSA Archer eGRC Platformを採用。事業影響度分析(BIA)の結果を共有し、一貫性のある事業継続計画作成に役立てた。また、いったん作成した計画のメンテナンスも自動化できた。リスク評価を効率化した結果、年間2万ドルのコスト削減につながったという。
RSA Archer eGRC Platformは、ワークフロー作成やダッシュボード表示といった機能を提供するプラットフォームソフトウェアのほか、ポリシーやコントロール基準を一元管理する「RSA Archer Policy Management」、ビジネスを取り巻くリスクを管理する「RSA Archer Risk Management」、内部統制運用を評価、支援する「RSA Archer Compliance Management」など、9つのコンポーネントで構成される。このうち「RSA Archer Incident Management」は、EMCの統合ログ管理製品「RSA enVision」と連携し、インシデントに関連する情報をリアルタイムに分析可能だ。
価格は、RSA Archer eGRC PlatformにEnterprise Management、Policy Management、Risk Managementの3つのコンポーネントを組み合わせた場合、2000ユーザーで約1700万円。10月3日から受注を開始し、11月7日に出荷する。海外で展開しているSaaS形式での提供については検討中という。
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。