日本企業の多くは、セキュリティ対策状況の確認や、情報資産の台帳管理などを、表計算ソフトで手作業で行っているところも少なくない。こうした状況を改善するうえで注目を集めているのが、GRC（Governance, Risk management and Compliance）ツールだ。セキュリティマネジメントのフレームワークをシステム化し、GRCの観点で統合管理するには、ITを効果的に活用する必要がある。NRIセキュアテクノロジーズ 上級セキュリティコンサルタントの鴨志田昭輝氏が「GRCに学ぶこれからのセキュリティマネジメント」の中で解説した。

法規制の強化、経営環境のグローバル化などを背景に、セキュリティやリスクマネジメントに関する企業の負担はますます増大している。こうした中、海外の先進的な企業がITを効果的に活用し、GRC（Governance, Risk management and Compliance）に取り組んでいるのに対して、日本企業の多くは遅れをとっているのが現状だ。今日のような厳しい経済環境下で、効果的・効率的なGRC対応を実現するためには何が必要なのか？　その解を示す場として、2010年9月29日、東京都内にて「セキュリティGRCセミナー」が開催され、デロイト トーマツ リスクサービス 取締役執行役員 パートナーの丸山満彦氏が登壇した。

（講演内容）多くの部門、拠点、グループ会社、外部委託先を抱える企業では、セキュリティマネジメントに多大な手間がかかります。対策状況の調査、リスク分析、情報資産の台帳管理などを人手で対応しているために、対策推進が後手に回り、現場へのフィードバックに時間が割けないといった課題を抱えている企業も少なくありません。
本セッションでは、海外企業を中心に取り組みが進んでいるGRCをヒントに、有効かつ継続的にセキュリティマネジメントを運営する枠組みについて解説します。

（講演内容）経営環境が急激に変化する今日では、企業の内外に存在するリスクを経営者が素早く把握し、的確な指示を出すことが企業の生き残りに欠かせなくなっています。しかし、ほとんどの日本企業では、リスクマネジメントを表計算ソフトと人手に頼っており、海外企業に大きく後れを取っているのが現状です。今後も日本企業が競争力を維持していくために、リスクインテリジェントな企業へと変化することが求められています。GRCにおけるITの有効活用をはじめ、これからの企業におけるリスクマネジメントについて解説します。

（講演内容）これまでも日本企業は、J-SOX、個人情報保護などの様々な要求事項に対応してきましたが、それでも情報漏洩は後を絶ちません。そればかりか、日本企業の海外進出、クラウドの台頭などのIT環境の急激な変化が、本質的なセキュリティ強化をより困難なものにしています。本セッションでは、近年急速に複雑化している国内外のコンプライアンス事情をはじめ、様々な要求事項に的確に対処できる枠組みを作ることを通じて、本質的なセキュリティ強化を実現するアプローチについて解説します。

（講演内容）セキュリティ事故の発生が避けられない「事故前提社会」の現在、経営主導による内部体制の確立や、ステークホルダーに対する説明など、企業存続におけるCISOの役割は重要性を増してきています。こうした状況下で、様々な企業のCISOが協力し、議論を深め情報発信することを目的に、日本CISO協会が設立されました。本セッションでは、日本企業のCISOに期待される役割について解説するとともに、2010年9月1日に設立されたばかりの日本CISO協会について紹介します。

企業が取り組むべき内部統制やリスクマネジメントなどにおける組織的活動を総称する略語として、「GRC (Governance, Risk management and Compliance)」が頻繁に使われるようになってきた。グローバルな視点で見た場合、日本企業の多くはGRCへの対応に立ち遅れ、世界標準とのギャップがますます大きくなっている。長期的な経済不況でコスト削減が重要視される中、効率のよい世界標準GRCの実践とは？　デロイト トーマツ リスクサービス 取締役執行役員 パートナーの丸山満彦氏と、NRIセキュアテクノロジーズ 上級セキュリティコンサルタントの鴨志田昭輝氏、同社セキュリティコンサルタント 山倉 直氏の三方にお話を伺った。