複雑化するデータリスクに対応する統合リスク管理のアプローチ：Computer Weekly製品ガイド

データドリブンなプロジェクトやセキュリティ強化の必要性が原動力となって、統合型リスク管理が台頭している。

[Peter Ray Allison，Computer Weekly]

iStock.com/AndreyPopov

　ガバナンス、リスク管理、コンプライアンス（GRC）は、組織がデータコンプライアンスとセキュリティ管理を実現するための比較的新しい技術と言える。一般的にはデータセキュリティに関係しているが、データ復旧やサードパーティーとのサービス品質保証契約が含まれることもある。

　GRCは一般的にIT部門の領域だ。コンプライアンス責任者が担当する場合もあるが、他のビジネス部門が関わることはめったにない。リスクに対しては、ビジネスの観点からではなくガバナンスの観点から目を向ける必要がある。

　SailPoint Technologies Holdingsの欧州、中東、アフリカ（EMEA）業務担当ゼネラルマネジャー、ティム・ギャリガン氏は言う。「データは石油よりも高い価値を持つようになり、人間は1日で2.5EB（エクサバイト）ものデータを生成している。このデータブームから、データの安全を守って管理する必要性が生まれた。管理すべきデータが増えるほど、そのデータに誰がアクセスし、それをどう扱い、どのようなセキュリティ対策を講じるのかを適切に統制することが難しくなる」

　データ共有能力の向上に伴い、GRCは組織のデータセキュリティ手順にさらに相対的なアプローチを提供する統合リスク管理（IRM）へと発展した。「センシティブなデータのまん延する性質と、それがもたらすセキュリティおよびプライバシー問題がこの動きの原動力となっている」とALTR Solutionsの製品担当バイスプレジデント、ダグ・ウィック氏は話す。

　IRMは、リスクを認識する組織が技術と戦略を使って意思決定や実績を出す速度を速め、人の介入と自動化されたプレイブック（筋書きを想定し、そのプロセスに応じて展開すべき行動を決定）を通じて特定の状況の拡散を防止する一連のプロセスで構成される。

　ただし、GRCやIRMはどんな組織にも適しているわけではない。

続きを読むには、［続きを読む］ボタンを押して
ください（PDFをダウンロードします）。

関連記事

モバイル端末や印刷に潜むコンプライアンス違反のわな

自己暗号化ドライブ（SED）で守れるもの、守れないもの

フィッシング／なりすまし攻撃を防ぐDMARCのススメ

ソフトウェア保守契約を無検討で更新してはならない

サイバーリスクの管理に自信のない企業が今すぐすべきこと