リスクマネジメント リスクマネジメント記事一覧へ

[GRCの基本とツール活用の奨め]

IT GRCツールの導入ケース、ポリシー管理からインシデント管理まで

2016年6月22日(水)榎本 司(NANAROQ 執行役員兼COO) 森本 親治(NANAROQ GRCエグゼクティブディレクター)

前回は、e GRC/IT GRCのソリューションの分類とツールの概要を説明しました。今回は分類の中のいくつかの分野について、GRCツールの導入ケースを紹介します。いずれもシンプルなケースですが、仮にツールを使わずにそれぞれを管理しようとすると、大きな難題に直面することが理解できるはずです。

 GRCツールの導入例として取り上げるのは4つ。(1)法令や規則をどう整理して自社のポリシーとするのかというポリシー管理、(2)リスクを洗い出し、顕在化しないように管理する、あるいは顕在化した場合に対応するリスク管理、(3)リスクへの対策が正しく、継続的に運用されているかをモニタリングし、PDCAサイクルとして完結させるコンプライアンス管理(PCI DSS)、そして(4)CSIRT組織における情報資産・インシデント管理(CSIRT)です。

ケース1:ポリシー管理

 ポリシー管理は、国内外の様々な外部規制や企業の中で定められる方針、規程、規則、マニュアルの体系を整理し、組織や業務の観点から関連付けて統合管理するものです。世の中の様々な法令やガイドラインの要求事項を集約・整理したうえで、自社のポリシーを策定する必要があります。どうやって様々な法令やガイドラインを調べればいいのでしょうか?

 A社はシステムの運用ルールを全面刷新するにあたり、「UCF:Unified Compliance Framework」をベースに自社に必要な要求事項を洗い出し、抜け漏れのない情報セキュリティポリシーを策定しました(図1)。UCFとは、世界中の法令・レギュレーションとIT統制をマップしたフレームワークです。重複がある要求事項を整理しているので重複や漏れのないポリシー作成に役立ちます。GRCツールとして、UCFをA社は活用したわけです。

図1:ツールを生かしたポリシー策定のパターン図1:ツールを生かしたポリシー策定のパターン
拡大画像表示

 仮に、これを担当者が自ら調べてリストアップすると、「今はこうしているから」といった本質論ではないところからの発想となり、不要な項目が挙げられたり、必要な項目が抜け落ちたりしてしまうリスクがあります。UCFを活用することにより、世の中のベストプラクティスから必要な事項を洗い出すことができ、ポリシー品質の向上に結び付きます。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】監査する側の作業負担も大きな問題
  • 1
  • 2
  • 3
バックナンバー
GRCの基本とツール活用の奨め一覧へ
関連記事

IT GRCツールの導入ケース、ポリシー管理からインシデント管理まで前回は、e GRC/IT GRCのソリューションの分類とツールの概要を説明しました。今回は分類の中のいくつかの分野について、GRCツールの導入ケースを紹介します。いずれもシンプルなケースですが、仮にツールを使わずにそれぞれを管理しようとすると、大きな難題に直面することが理解できるはずです。

PAGE TOP