海外では、GRC（ガバナンス、リスク、コンプライアンス）に対して、全社的な取り組みが進み、IT化による合理化も進んでいます。とくにグローバルな展開を見せる企業では、全体最適されたITシステムが企業経営の意思決定に効率よく生かされ、業務プロセスの標準化も進んでいます。 また、セキュリティマネジメントには組織的な取り組みが欠かせません。どんなに高度な技術を駆使してITシステムを守ろうとも、最終的に情報を守るのは“人”だからです。しかし、組織が大きくなるほど、管理すべき人や物の数は膨大になり、支社や支店、海外拠点、グループ企業、外部委託先など、その範囲も広がっていきます。限られたリソースですべてを網羅的に管理するのは困難で、結果として対策のばらつきが生まれ、思わぬ事故が発生するリスクを抱えかねません。また、事後対応に追われて予防に手が回らないという悪循環に陥ることにもなります。

問題の本質は、様々なことが“見えない”ことにあります。しかもそれは、単に対策状況やリスクが見えないだけでなく、明確なゴールの設定や成果を測るための指標がないことをも意味します。そして、多くの企業がこのことに気づかないまま、ただあてもなく対策を実行し、迷走を続けているのです。

組織的な取り組みを推進し、全社レベルでセキュリティ対策を底上げしていくためには、明確なゴールや指標の“共有”が不可欠であり、“根本的な仕組みを変える”決断が必要です。

SecureCube / Centralは、現場主導のマネジメントシステムの構築で、骨太なセキュリティ統合基盤を実現するパッケージソフトウェア。対症療法的な部分最適のセキュリティ対策から、企業のあるべき姿に向けた全体最適のセキュリティ対策への転換を目指す、「セキュリティ版ERP」とも言える新しいコンセプトの製品です。

重要なポイントは、セキュリティ対策を日常業務の流れの中に組み込み、余計な手間のかかる興味の持てない仕事から、達成感を味わえるやりがいのある仕事に変えること。SecureCube / Centralは、既存システムとの連携により、セキュリティに関連する「情報」だけでなく「業務」までを統合し、目標および成果管理に基づく現場主導のマネジメントシステムを実現します。

SecureCube / Centralは、豊富な実績を通じて培われたNRIセキュアのノウハウをベースに“セキュリティ管理のあるべき姿”に必要な仕組みをシステム化した「セキュリティGRCソリューション」です。リスク分析、モニタリング、対策などセキュリティマネジメントのフレームワークをシステム化することにより、大規模な組織でも効率的な管理を可能にし、セキュリティ事故が起こりにくい組織へと導きます。

具体的には、次の3つの変革を通じて、現場主導のマネジメントシステムの構築を支援します。

1. 目標と成果が見える仕組みに変える！
2. 台帳管理のあり方を変える！
3. ISMSの構築・運用プロセスを変える！

SecureCube / Centralは、多様な業種、規模の企業に導入いただけるよう、汎用性の高い機能を標準で豊富に提供しています。

SecureCube / Centralが提供する様々な機能を組み合わせることにより、お客様の要件に合ったシステムを構築することができます。パッケージソフトウェアでありながら、多様なニーズにお応えする柔軟性を備えています。

例）記録媒体による重要情報の受領申請ワークフローと記録媒体管理台帳を連動させる、タスク管理機能で棚卸の指示を行い、その完了結果を自動的に現状分析機能に連動させる、など。

NRIセキュアは、ソフトウェア製品の提供にとどまらず、お客様にとって最適なセキュリティ管理のあり方をご提案するとともに、お客様の既存環境を踏まえたソフトウェア導入を支援します。

［NRIセキュアが提供する3つのサービス］

1. ソフトウェアの提供および保守
   
SecureCube / Centralおよび保守サービスを提供します。
2. 導入コンサルティング
   業界や事業の特性、組織、規則、現在の管理状況などを考慮したうえで、最適な業務設計や適用方法をご提案します。
   • セキュリティ管理の業務分析
   • SecureCube / Centralを利用した業務改善提案
   • 採点ルールのカスタマイズ
   • ISMS認証取得支援・運用改善　など
3. 導入SI
   既存システムや導入済みセキュリティ製品との機能連携を実装し、企業内イントラネット上にサーバを構築します。
   • OS、ミドルウェア、アプリケーションのインストール
   • 人事情報システム、統合認証システムとの連携
   • バックアップや運用監視の設計、構築
   • 画面メニューや権限設定のカスタマイズ　など

加点主義の採用で主体的な対策を促進
SecureCube / Centralは、社員全員が共通の指標を持ち、明確なゴールに向けて主体的に対策を推進できる環境を実現します。具体的には、まずユーザ部門が入力した対策状況から、現在のセキュリティレベルを点数化。この結果をもとにユーザ部門が自ら目標設定を行い、達成に向けた対策を実施します。さらに実施状況の報告をもとに再度点数化を行い、成果が明確な数値として提示されます。 セキュリティレベルを誰にでも理解しやすい形で見える化し、減点主義に陥りがちなセキュリティの評価を加点主義に改めることで、ユーザ部門のモチベーションアップが期待できます。

リスクの高い部門への対策に集中
ユーザ部門から収集した情報や、他システムから取り込んだデータをもとに、各部門の対策状況を集計・採点・分析し、わかりやすいグラフで表示します。

［経営者や管理部門の担当者］
各部門の目標管理や成果管理などの戦略的分野に注力できるだけでなく、部門ごとのセキュリティレベルを相対的に評価でき、リスクの高い部門への対策を集中的に進めることが可能です。

［ユーザ部門］
他部門との比較や、目標と成果の推移を示したグラフを、PDCAサイクルによる継続的な改善活動に役立てることができます。

セキュリティ関連の情報を一元化
情報やPC、携帯端末、記憶媒体、IDなどの資産情報をデータベース化し、各種台帳を統合的に管理します。セキュリティ管理ツールや資産管理ツールなど、他システムで管理している資産情報は、SecureCube / Centralが自動的に取得してデータベースに統合します。

ワークフロー連携で台帳の精度が向上
重要度の高い情報や、その格納先となるPC、携帯端末、記録媒体などの資産は、受領や移動の際に承認を受け、台帳で管理する必要があります。ワークフローと台帳が切り離されていると、時間の経過とともに台帳の更新を忘れ、承認記録と台帳の内容に差異が生じ、棚卸時の追跡が困難になります。

SecureCube / Centralなら、ワークフローの承認時に台帳を自動更新し、常に最新の状態に保ちます。また、ID登録申請、持出申請など、セキュリティ管理業務における汎用的なワークフローを標準提供。ワークフローの新規作成、人事システム上にある役職情報を活用した申請ルートの定義、台帳からの項目設定なども行えます。

ISMSの構築・運用に伴う手間をシステム化により軽減
ISMS認証を取得する、しないに関わらず、効果的かつ効率的なセキュリティ対策の実現には、ISMSの構築および継続的な運用が欠かせません。SecureCube / Centralは、そのキーとなるリスク分析を大幅に効率化。ユーザ部門が入力した情報の重要度、格納先、現在の対策状況に基づいて自動的にリスク分析を実行することで、管理部門の担当者が全ユーザ部門にヒアリングを行い、結果を集計する手間を省きます。

自然に理想のマネジメントシステムが完成
SecureCube / Centralの機能を運用していくと、無理なくセキュリティ管理のPDCAサイクルを回せるようになっています。専門知識がなくても現場レベルで改善活動が進むため、ISMSの構築に必要な手間とコストを大きく削減できます。