ダイヤモンド社のビジネス情報サイト

最新のセキュリティを導入する前に
企業がすべきこと

――IT投資の最適化を目指す「GRC」という考え方

ダイヤモンドIT&ビジネス
【第118回】 2016年7月6日
著者・コラム紹介バックナンバー
previous page
2
nextpage

セキュリティを全社共通の言葉に直す

 具体的にGRCとは何をするものか。まず、企業内の各部署に導入されているITを「棚卸し」することから始める。ITの導入目的やコストなどを次々と集めてデータベースに情報を蓄積する。そして、個々のITが事業の目的に見合っているのかを精査し、無駄な投資は見直す。

 次に、セキュリティ、つまりデータ保護の基準を見直す。これは企業の要望の中で最上位に来るテーマだという。「顧客のデータを流出してしまうと企業は信頼を失ってしまいます。また、最近は国家による攻撃で企業の知的財産を狙ってくるものもあります。こうした攻撃に備えることは企業のリスク管理の上で大きな課題です」とウォルター氏は語る。

 ただし、GRCの中でサイバーセキュリティは数多くある事業リスクの1つという位置づけである。大事なのは、テクノロジー志向でセキュリティレベルを高めるためにシステムを導入するのではなく、企業内のどこにリスクがあり、何に値して備えるべきかを全部門が共通の言語で理解できる状態にかみ砕いておくことだ。

 ウォルター氏は「ITベンダー任せでセキュリティを導入しただけでは不十分です。いざという時に責任を問われるのはベンダーでなく、顧客企業なのです。自分たちの問題として理解し、外部に説明できるようにしておく必要があります」とくぎを刺す。

 そして3つ目のコンプライアンスは、複雑化する規制対応、法令順守のグローバル化への対応が課題である。冒頭で触れたように、企業はコンプライアンスへの対応は比較的素早く行うが、その際にITによって「コンプライアンスの自動化」をできる限り行うことが必要だという。「例えば欧州委員会が定めた指令では、サイバーセキュリティに関する事件が起きた際、どんな小さなことでも72時間以内に公開しないと罰金が科せられます。GRCソリューションを導入し、情報を自動的に集める仕組みを作っておくことが重要なのです」(ウォルター氏)

 つまりGRCの3つの分野は、相互に密接に関連しあっており、どこかに抜けがあっても事業がうまく回らないのである。

previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

IT&ビジネス 業界ウォッチ

IT業界で話題の新サービス・新製品のニュース、これから話題になりそうな新ツール、知っておきたい各種の統計調査……などなど、経営効率化に寄与するIT業界の今のうごきをレポートします。

「IT&ビジネス 業界ウォッチ」

⇒バックナンバー一覧