Tripwireはこのほど、「5 Things Everyone Needs to Know About GRC|Tripwire」において、デジタル組織に不可欠な要素として、組織戦略であるガバナンス、リスク、コンプライアンス(GRC: Governance, Risk and Compliance)について説明した。GRCはビジネスおよびサイバーリスクの要素を調整することで組織が大きな利益を得られるという認識から生まれた規律とされ、組織のガバナンスとリスクには管理を技術革新と統合するためのツールやテクニックを含んでいる。
ガバナンス、リスク、コンプライアンスのそれぞれの意味は次のとおり。
- ガバナンス: 目標を達成するために策定された組織の方針、規則、または枠組み
- リスク管理: 組織がリスクを特定し、潜在的な問題を予測し、それを是正する方法を見出して損失を最小限に抑えることを支援するプログラム
- コンプライアンス: 事業活動が規制に準拠していることを確認するための手順
現代の組織は、財務上の不確実性や技術の進化、法的責任などさまざまなリスクに直面しており、デジタル化の進展により、サイバー脅威やデータ保護リスクなどが重要な課題となっている。そのため、GRCが組織を守るための重要な仕組みになるとTripwireは述べている。
GRCの重要性と利点から多くのGRCフレームワークが登場している。各フレームワークは相互に共通点が多いとされ、セキュリティプログラムの状態評価や包括的なセキュリティプログラムの構築、成熟度測定と業界比較、ビジネスリーダーとのコミュニケーションの簡素化などの目的で使われている。
最も一般的なフレームワークが紹介されている。それは次のとおり。
- ISO/IEC 27005:2022
- NIST Risk Management Framework
- NCSC Risk Management Guidance
- EU IT Security Risk Management Methodology
- NIST Cybersecurity Framework
- NCSC Cyber Assessment Framework Guidance
- BSI Standard 200-2
- NIS 2
GRCはEU一般データ保護規則(GDPR: General Data Protection Regulation)やカリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)などのプライバシー規制と関連しており、個人データ保護のリスクベースのアプローチに従っているという。セキュリティ対策がビジネスリスク環境に適切であることを保証するリスクベースのデータ保護を確立するためにGRCが役立つとされ、組織がコンプライアンスリスクを最小化するためのポリシやプラクティスを策定するのにGRCフレームワークが必要とされている。
Tripwireは、前向きなセキュリティとリスクの文化を通じて意思決定と業務を強化することがGRCにおける大きな役割と述べている。建設的な報告、共有、セキュリティ上の問題や弱点への関与を奨励するとともに、リーダーシップの観点からは率直な議論を促進し、問題を報告した従業員を怒らせないようにする前向きなセキュリティとリスクの文化が重要とされている。