米EMCのRSA事業部は、企業が抱えるリスク情報をまとめて可視化するソフト「RSA Archer eGRC」を提供している。同ジャンルは、GRC(ガバナンス・リスク・コンプライアンス)管理ソフトと呼ばれ、米国では一つの製品ジャンルを形成している。2011年11月7日にはRSA Archer eGRCの国内出荷も開始する(関連記事)。ITproは2011年9月13日、同社幹部にGRCの背景と日本の市場性を聞いた。
日本ではGRCは新しい言葉だ。
Heiser氏: GRCの特徴は、コンポーネントを束ねて、統合して提供すること。一つひとつのコンポーネントの機能は、以前からある。これらを統合することで、よりよく情報にアクセスできる。日本では、こうした統合ソリューションが立ち上がったばかりであり、新鮮に映るだろう。GRCソフトの目的はリスクの可視化であり、決して真新しい分野ではない。当たり前の機能であり、需要は高い。
Walter氏: 現在の日本の状況は、GRCを導入して活用する際の成熟度において、3~4年前の米国と同じ。日本の企業はこれから、リスク評価を必要とする部門などから順に、GRCソフトを段階的に導入していくはずだ。大切なことは、ユーザー企業が抱えている現実の問題を解決するということであり、GRCというキーワード自体にこだわる必要はない。
GRCソフトとは何か。その背景は。
Heiser氏: 米国でGRCが立ち上がった3~4年前、米国においても「GRCとは何か」という話題があった。当時からユーザー企業は、G(ガバナンス)、R(リスク)、C(コンプライアンス)を、どう管理するのか、という問題を抱えていた。しかし、これら三つの管理対象(G、R、C)を統合する単一の枠組みが存在しなかった。
GRCソフトは、個々のコンポーネントを統合することによって、情報の可視性を高める。単一のダッシュボードで、リスク情報をまとめて見渡せる。日本でも、企業を取り巻く環境の変化、つまり、法規制、事業のグローバル化、企業の拡大による組織の複雑化などが進行する中、GRCによる統合管理の需要が、今まで以上に高まるだろう。
GRCというキーワードが登場する以前、(米EMCが買収した)米Archer Technologiesでは、GRCソフトのことを「Enterprise Risk & Compliance」というキーワードで呼んでいた。リスク管理やコンプライアンス管理は、日本企業が今まさに直面している課題だ。今日、日本企業2社を訪問したが、2社ともRSA Archer eGRCを導入すると言っている。
こうした経緯から、現在では、GRC市場の成長率は平均で20%で伸びている。RSA Archer eGRCの例では、Fortune 100企業の42%、Forbes Global 2000企業の11%が導入している。
Walter氏: 金融、IT、運用、監査、法務など、異なる立場にいる担当者たちが、リスク情報にアクセスするための共通のフレームワークを求めている。これらをまとめて可視化する、単一のプラットフォームが求められる。GRC製品には、プロセスのワークフロー機能、データの統合機能、情報をまとめて見せるダッシュボード機能、利用者に合わせた画面を開発できる機能などが必要になる。
成長するGRC市場の内訳は。用途が一般化して新規ユーザーへと広まっているのか。
Walter氏: GRC市場の成長には、二つの意味がある。一つは、これまでGRCソフトを導入していなかった新規のユーザーがGRCソフトを導入しているということ。もう一つは、既存ユーザーの成熟度が上がるにしたがって、機能モジュールを追加購入したり、ほかの部門やほかの地域で使い始めたりするなど、より深くGRC製品を導入しているということだ。
Heiser氏: GRCソフトは一般的に使われる。実際にGRCソフトを導入していない企業でも、GRCの担当者がいる。GRC担当者の作業量は、年々増えて、複雑になっている。表計算ソフトでは管理しきれない。こうしたユーザーにGRCソフトを提供すると、熱心に使ってくれる。日々の生産性が上がり、エラーも減る。GRCソフトは、導入してすぐに価値を感じられるソフトだ。
GRCソフトは、どこかの業界に特化した縦割り型の製品ではない。包括的に、あらゆる業界を横断的に使える製品だ。米国では、GRCを導入していない業界は存在しない。もちろん、真っ先にGRCソフトを導入するのは、法規制が大きい業界である。日本でも、おそらく同じだろう。時間が経過することで、より広範な業界へと広がる。
日本でGRCソフトはどこまで一般化するのか。
Heiser氏: リスク、脅威、GRC。これらのキーワードはすべて、役員レベルで会話されるテーマだ。ここでは、リスクの可視性や自然災害などのトピックが、GRCソフトの導入を後押しする。日本は地震災害によってBCP(事業継続計画)への関心が高まっている。このことから、日本でGRCソフトが導入されるスピードは速いと見ている。
数年前と比べると、世界中の人がリスクを認識するようになっている。身の回りには、サイバー世界の脅威、先が不明瞭な金融環境、インターネットに関するさまざまな報道、プライバシー問題、オンライン詐欺などがある。こういった脅威は、どこかの国に留まっているものではなく、地域を越えて広がる。
今日会った日本企業2社も、GRCソフトの導入に乗り気だった。我々はただ情報提供をしただけであり、営業活動は一切しなかった。どういったモジュールを、どういったスケジュールで出すかを話しただけだ。それでも、RSA Archer eGRCを導入することで話がまとまった。予算はすでに確保していた。
RSA Security事業全体の動向は。
Heiser氏: RSA Security事業は、二つのコアで成り立つ。一つは、セキュリティ管理とコンプライアンスである。もう一つは、アイデンティティ管理とAuthentication(認証)である。GRCソフトは、セキュリティ管理とコンプライアンスの事業部門に属する。この部門には、RSA Archer eGRCのほかに、ログ管理の「RSA enVision」や、情報漏えい対策の「RSA DLP」などがある。
第4四半期(2011年10月~12月)には、2011年4月に買収した米NetWitnessのネットワークフォレンジック装置を出荷する。ネットワークフォレンジックはハイパーグロース(著しい成長)市場だ。セキュリティ管理とコンプライアンス事業のほかの製品群と組み合わせることで、シナジー効果が得られる。
