[GRCの基本とツール活用の奨め]

2016年6月22日(水)榎本 司（NANAROQ　執行役員兼COO） 森本 親治（NANAROQ GRCエグゼクティブディレクター）

リスト

　GRCツールの導入例として取り上げるのは4つ。（1）法令や規則をどう整理して自社のポリシーとするのかというポリシー管理、（2）リスクを洗い出し、顕在化しないように管理する、あるいは顕在化した場合に対応するリスク管理、（3）リスクへの対策が正しく、継続的に運用されているかをモニタリングし、PDCAサイクルとして完結させるコンプライアンス管理（PCI DSS）、そして（4）CSIRT組織における情報資産・インシデント管理（CSIRT）です。

ケース1：ポリシー管理

　ポリシー管理は、国内外の様々な外部規制や企業の中で定められる方針、規程、規則、マニュアルの体系を整理し、組織や業務の観点から関連付けて統合管理するものです。世の中の様々な法令やガイドラインの要求事項を集約・整理したうえで、自社のポリシーを策定する必要があります。どうやって様々な法令やガイドラインを調べればいいのでしょうか？

　A社はシステムの運用ルールを全面刷新するにあたり、「UCF：Unified Compliance Framework」をベースに自社に必要な要求事項を洗い出し、抜け漏れのない情報セキュリティポリシーを策定しました（図1）。UCFとは、世界中の法令・レギュレーションとIT統制をマップしたフレームワークです。重複がある要求事項を整理しているので重複や漏れのないポリシー作成に役立ちます。GRCツールとして、UCFをA社は活用したわけです。

図1：ツールを生かしたポリシー策定のパターン
拡大画像表示

　仮に、これを担当者が自ら調べてリストアップすると、「今はこうしているから」といった本質論ではないところからの発想となり、不要な項目が挙げられたり、必要な項目が抜け落ちたりしてしまうリスクがあります。UCFを活用することにより、世の中のベストプラクティスから必要な事項を洗い出すことができ、ポリシー品質の向上に結び付きます。