なぜ日本企業はGRCへの取り組みが遅れているのか？

　鴨志田氏■海外のセキュリティ関連のカンファレンスやシンクタンク系のシンポジウムなどでは、GRC（ガバナンス、リスク、コンプライアンス）に対して、全社的な取り組みが進み、IT化による合理化も進んでいるように思います。とくにグローバルな展開を見せる企業では、全体最適されたITシステムが企業経営の意思決定に効率よく生かされ、業務プロセスの標準化も進んでいます。

　それと比較すると、日本企業は立ち遅れている感が拭えません。とくに、私の専門とするセキュリティマネジメントについて強く感じます。問題意識は頭で理解しているものの、実際の対応に予算も人もかけない、あるいは対応の鈍い企業が少なくありません。なぜでしょうね。

　丸山氏■まず、グローバルな視点でみてみましょう。日本企業の場合、トップダウン的な全体最適というよりも、現場志向が強く、部署ごとの最適化やいわゆるサイロ型システムができやすいという問題が指摘されています。もう1つ、マネジメントの合理化ができていないこともあると思っています。世界のグローバル企業と比べ、マネジメントの標準化や品質の向上が遅れているのではないかと懸念しています。聖域を設けない選択と集中、BPO（Business Process Outsourcing）の活用なども課題となってくるでしょうね。

　セキュリティマネジメントについていえば、経営側が単なるコスト部門という考えに囚われすぎて、管理部門にセキュリティのプロフェッショナルを配置しなかったり、そもそもセキュリティ担当部門を持たない企業さえ存在します。これでは、本当の意味でのリスク対応は不可能だと思います。

　鴨志田氏■それは現実問題として実感しています。IT社会において、情報セキュリティ対策やインシデント対応は、企業戦略にとって欠かせない要素であるはずです。NRIセキュアでは、GRC対応の支援ツールをセキュリティマネジメントにも適用するソリューションを持っています。「セキュリティGRC」と呼んでいますが、リスク分析、モニタリング、対策などセキュリティマネジメントのフレームワークをシステム化し、ツールを活用していく手法です。このアプローチで重要なのは、それぞれの対策や取り組みの目標と成果を点数化して管理することです。

　丸山氏■わかりやすい運用のガイドラインやベストプラクティスを取り入れることは第一歩としてはよいと思います。また、リスク分析をツールで合理化するのは、マネジメントの標準化という意味でもよいと思います。