1.ビジネス環境の変化やリスクの増大
企業は、現実世界で発生している戦争やサイバー世界の不正アクセスなど、様々なリスクにさらされています。また、ビジネス環境の変化による委託先の拡大などに伴うガバナンス変化、個人情報保護法などの法規制への対応といった変化に、迅速に対応することを求められています。
これらガバナンス、リスク、コンプライアンスという独立した3つの概念はGRCと呼ばれています。企業の中には、GRCを総合的に全社統一で管理することで、効率的な企業経営を可能にしようと、管理を手助けする仕組みづくりに取り組んでいる企業もあります。
管理を手助けする仕組みには、リスクを把握・管理する仕組みや、企業内での法規制・社内規程を準拠しているかの管理を行う仕組みの整備などが必要となります。しかし、一つ一つ仕組みを作り上げるのは時間がかかるため、手助けする仕組みをパッケージ化したGRCツールと呼ばれる製品が登場しています。
2.GRCツールの活用
GRCツールは、企業全体を俯瞰して、コンプライアンスリスクがある領域を把握して社内ルールの見直しを図ったり、ITリスクのあるシステムを特定してセキュリティ対策を実施したりする活動を行うとき、GRCツールを活用した分析が生きてきます。そのため、GRCツールは、GRCに関する一連の情報を格納し活用するデータベース、GRCのプロセスを支えるためのワークフローを持つものがあります。
GRCツールで取り扱う情報も様々ですが、特に企業の目標達成の変動要因となる「リスク」を適切に管理できるようにすることは欠かせません。「リスク」は、外的要因や内的要因で発生しますが、詳細プロセスや組織の役割分担、システムなどを設計し、状況を継続的にモニタリングすることで、リスクの発生を予測したり、検知したりすることになります。
3.モニタリングの大切さ
GRCツールを用いる際に欠かせないのが、企業のリスクやコンプライアンスといった現状を把握するためのインプット情報です。インプット情報によって分析・評価の結果が影響を受けることになるので、モニタリングは分析などと並んで重要なプロセスです。(図)
図:GRCにおけるモニタリング
モニタリングが重要ではありますが、パッケージとして提供されているGRCツールはデータベース部分や表示機能に比べ、モニタリング機能部分はパッケージ化されていなかったり、カスタマイズが必要だったりして、導入しただけでモニタリングできるようにはなりません。
どうしても、GRCツールを導入する際、「評価」や「方向づけ」で使用されるデータベースや表示機能、ワークフロー機能に注目されますが、導入を検討されるにあたり「モニタリング」機能についても確認することが必要です。
GRCツールの中には様々なAPIが提供されていますが、モニタリングで収集するデータと分析に用いる情報の関連付けなどは専門家の支援が必要なこともありますので、自社に合わせたカスタマイズが必要なツールと理解いただくのが良いでしょう。
実際、当社でGRCツールの検証を実施した際、モニタリング部分は、データベース部分や表示部分と比べて手間や工数がかかる部分でした。
4.モニタリングの難しさ
モニタリングを行ってインプット情報を得る方法としては、ヒアリングを行う、アンケートを行う、ログなどのデータを収集・分析するといった方法が考えられます。
実施のハードルが低いのがアンケートやヒアリングとなり、コンサルタントなどの支援を受けながら、これらの方法を用いてモニタリングを実施するケースが多いでしょう。
一方で、アンケートやヒアリングで得られたインプット情報には、若干の課題が見受けられることがあります。
その課題は、アンケートやヒアリングで情報を得る際に、現場の方に回答いただきますが、アンケートの回答にすべて満点の回答をしてしまう方がいることです。その方が喜ばれると誤解されて、実態に合わない高い評価をインプット情報として提出されてしまうのです。
もちろん、インプット情報を正しいものに近づけるため、実態に合わない評価データを見つけ出し是正する運用を行うこともあります。しかし、インプット情報の精査作業では、複数の情報から実態に沿っているか、実態を表していないかを判断し、かつ回答内容の訂正を進めるため、かなりの労力が必要となることもあります。
結果として、正しくないインプット情報が残ると、該当するシステムや組織にリスクが残ったままの状態となるため、リスクが対処されず、インシデントを引き起こすこともあります。
5.モニタリングの自動化
アンケートやヒアリングといった担当者の回答に頼らず、必要な情報を集めるには、どうすればよいでしょうか。その方法の一つとしてモニタリングにエージェントやログ分析といった機械の目を活用することがあげられます。
システムなどが出力する情報を、機械の冷静な目により取捨選択し、インプット情報とすることにより、精査作業などの作業を軽減することが期待できます。
また、機械の目を用いることで、情報の新しさを維持することも期待できます。アンケートやヒアリングを常に行い続けることは難しいですが、機械が休みなくインプット情報を更新し続ければ、常に最新のインプット情報を得ることも期待できます。
一方で、エージェントやログ分析といった機械の目は万能ではありません。インプット情報にもよりますが、体制の構築やルール整備状況は、機械の目でインプット情報とすることは難しく、アンケートやヒアリングなどで確認することが必要となり、これらの手段と組み合わせる必要が生じます。
将来的に人工知能(AI)などを活用して、ヒアリングやアンケートといった方法で収集した情報についても、例えば、ルールの中で、必ず記載してほしいキーワードが書かれているかをAI分析するといった方法で、機械の目でインプット情報とすることも期待できます。しかし、現時点では、割り切って外部からの不正アクセス状況など、自動化して取得しやすい項目を機械に任せ、ヒアリングやアンケートといった人手による情報収集を少しでも減らすという方法をとることが現実的でしょう。
6.おわりに
GRCは10年以上前から話題に上っておりますが、GRCツールの登場で評価や見える化といった部分は進化しているように感じます。一方で、モニタリングに関しては、ヒアリングやアンケートの方法をとることが多く、それなりの態勢を組み、維持する必要があることから、インプット情報に多大な労力がかかってしまっている状況から抜け出せていません。
企業のかじ取りにGRCを活用いただくには、モニタリングの自動化は避けて通れない課題と考えており、インプット情報入手のハードルが下げるため、機械化の方法を検討しています。
現状では、モニタリングの自動化には、開発を伴うこともありコスト面で厳しいのも事実です。それでも、モニタリングを自動化することは、人手で情報収集するよりも信頼性と最新化の面でメリットがあると考えます。NTTデータでは、これらのGRCツールの導入やモニタリングの自動化支援サービスを提供しています。