GRCとは何か
GRCの3要素
GRCとは、Governance(ガバナンス)、Risk(リスク)、Compliance(コンプライアンス)の頭文字を取った経営管理フレームワークです。この3つの活動を統合的に運営し、組織の目標達成を確実にするための仕組みを意味します。
| 要素 | 意味 | セキュリティにおける具体例 |
|---|---|---|
| Governance ガバナンス | 組織の方針・意思決定の仕組みを整備し、経営目標に沿ってITやセキュリティが運営されることを保証する | セキュリティポリシーの策定、IT投資の承認プロセス、CISO/セキュリティ責任者の設置 |
| Risk リスク | 組織が直面するリスクを特定・評価・対応し、許容可能なレベルに管理する | リスクアセスメントの実施、脆弱性管理、インシデント対応計画の策定 |
| Compliance コンプライアンス | 法令・規制・業界基準・契約上の要件を遵守する | 個人情報保護法対応、ISMS認証、取引先のセキュリティ要件への準拠 |
GRCの本質は、この3つをバラバラに管理するのではなく、統合的に運営することにあります。たとえば、ガバナンスの一環としてセキュリティポリシーを策定し(G)、そのポリシーに基づいてリスクアセスメントを実施し(R)、評価結果が法令や取引先要件に適合していることを確認する(C)——この一連の流れがGRCの実践です。
GRCとセキュリティマネジメントの関係
セキュリティマネジメントはGRCの重要な構成要素です。GRCが企業経営全体のリスク管理フレームワークであるのに対し、セキュリティマネジメントはその中で情報資産の保護に焦点を当てた領域です。
GRCの「R(リスク)」の中でもサイバーセキュリティリスクの比重は年々増大しており、中小企業においてもGRC=セキュリティマネジメントと言っても過言ではない状況になっています。
なぜ中小企業にGRCが必要なのか
① サプライチェーンリスクへの対応
大企業のサプライチェーンを構成する中小企業に対して、取引先からセキュリティ対策状況の報告を求められるケースが急増しています。「セキュリティポリシーはあるか」「リスクアセスメントを実施しているか」「インシデント対応手順はあるか」——これらの質問に組織として回答できる仕組みがGRCです。
② 法規制の強化
2022年の個人情報保護法改正により、情報漏洩時の報告義務が強化されました。また、政府統一基準群の改定やNIST SP800-171の要求など、官公庁取引のある企業にはより高いセキュリティ水準が求められています。GRCの仕組みがなければ、これらの法規制への継続的な適合を証明することができません。
③ サイバー保険・取引審査への対応
サイバー保険の加入審査や、大企業との新規取引審査において、セキュリティ管理体制の有無が問われます。GRCを整備していれば、自社のセキュリティ対策を体系的に説明でき、保険料の低減や取引機会の拡大につながります。
④ インシデント発生時の被害最小化
セキュリティインシデントの発生を完全に防ぐことはできません。しかし、GRCの仕組み(インシデント対応計画、事業継続計画、定期的な訓練)が整備されていれば、被害を最小限に抑え、迅速に復旧できます。逆にGRCが未整備の場合、対応が後手に回り被害が拡大します。
セキュリティマネジメントの基本構造
情報セキュリティの3要素(CIA)
セキュリティマネジメントの基盤となるのがCIAと呼ばれる3つの要素です。
| 要素 | 英語 | 意味 | 脅かされる例 |
|---|---|---|---|
| 機密性 | Confidentiality | 許可された人だけが情報にアクセスできること | 不正アクセスによる顧客情報の流出 |
| 完全性 | Integrity | 情報が正確で改ざんされていないこと | Webサイトの改ざん、データの不正変更 |
| 可用性 | Availability | 必要な時に情報やシステムにアクセスできること | ランサムウェアによるシステム停止 |
セキュリティマネジメントとは、この3要素を組織として適切なレベルで維持し続けるための管理活動の全体を指します。
セキュリティマネジメントの4階層
セキュリティマネジメントは以下の4階層で構成されます。上位から下位に向かって方針が具体化されます。
| 階層 | 文書例 | 策定者 | 内容 |
|---|---|---|---|
| 第1層:基本方針 | 情報セキュリティ基本方針 | 経営層 | セキュリティに対する経営層のコミットメント、組織の基本姿勢 |
| 第2層:対策基準 | 情報セキュリティ対策基準 | セキュリティ責任者 | 遵守すべきルールの一覧(パスワードポリシー、アクセス制御基準等) |
| 第3層:実施手順 | 各種手順書・マニュアル | IT担当者 | 具体的な作業手順(アカウント発行手順、インシデント対応手順等) |
| 第4層:記録 | ログ、報告書、台帳 | 運用担当者 | 実施結果の証跡(監査ログ、リスクアセスメント結果、教育記録等) |
主要フレームワークの比較と選び方
セキュリティマネジメントを実践するためのフレームワーク(規格・ガイドライン)は複数存在します。中小企業が検討すべき主要なものを比較します。
① ISO/IEC 27001(ISMS)
情報セキュリティマネジメントシステム(ISMS)の国際規格です。認証取得によって第三者に対してセキュリティ管理体制を証明できる点が最大の特徴です。附属書Aに93の管理策(コントロール)が定められており、リスクアセスメントの結果に基づいて適用する管理策を選択します。
- 向いている企業:取引先から認証を求められている、官公庁入札に参加する、対外的な信頼性を証明したい
- 導入コスト:コンサル費用 200〜500万円程度 + 審査費用 50〜100万円/年
- 運用負荷:年1回の内部監査 + サーベイランス審査への対応
② NIST CSF(Cybersecurity Framework)
米国国立標準技術研究所(NIST)が策定したサイバーセキュリティフレームワークです。2024年にバージョン2.0に更新され、「統治(Govern)」「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」の6機能でセキュリティ対策を体系化しています。
- 向いている企業:自社のセキュリティ成熟度を自己評価したい、グローバル取引先がある、認証までは不要だがフレームワークは必要
- 導入コスト:フレームワーク自体は無償公開。自社での適用にはコンサル支援が有効
- 特長:認証制度がないため「自己宣言」型。柔軟に自社の規模に合わせて適用可能
③ CIS Controls
Center for Internet Security(CIS)が策定した18の重要セキュリティ管理策のリストです。「何から始めればいいかわからない」企業にとって、優先順位が明確で実装しやすい点が最大の強みです。各管理策に「IG1(基本)」「IG2(中級)」「IG3(上級)」の実装グループが定義されており、中小企業はIG1から着手できます。
- 向いている企業:セキュリティ対策の第一歩を踏み出したい、何を優先すべきか知りたい
- 導入コスト:フレームワーク自体は無償。IG1は56の具体的なサブコントロールで構成
- 特長:「まずこれをやれ」リストとして最も実践的
フレームワーク選定ガイド
| 状況 | 推奨フレームワーク | 理由 |
|---|---|---|
| 取引先から認証を求められている | ISO 27001 | 第三者認証が取得できる唯一の選択肢 |
| セキュリティ対策を始めたばかり | CIS Controls(IG1) | 優先順位が明確、すぐに実行できる |
| 全体像を把握して成熟度を上げたい | NIST CSF 2.0 | 6機能で自社の強み/弱みを可視化 |
| 政府案件に参入したい | 政府統一基準群 + ISO 27001 | 政府調達の前提要件 |
CIS Controls IG1で「まずやるべきこと」を実装し、その後NIST CSFで自社の成熟度を評価、必要に応じてISO 27001の認証取得に進む——この段階的アプローチが最もコスト効率が高い方法です。
リスクアセスメントの実践手順
リスクアセスメントはGRCの「R(リスク)」の中核活動であり、セキュリティマネジメントの出発点です。
Step 1:情報資産の洗い出し
保護すべき情報資産を特定・分類します。
- データ資産:顧客情報、従業員情報、財務データ、契約書、設計図、ソースコード
- システム資産:基幹システム、メール、ファイルサーバー、SaaS
- 物理資産:PC、サーバー、ネットワーク機器、USBデバイス
- 人的資産:IT管理者、開発者、委託先(情報へのアクセス権を持つ人)
Step 2:脅威と脆弱性の特定
各情報資産に対して「どんな脅威があるか」「どんな脆弱性があるか」を洗い出します。
| 脅威の例 | 脆弱性の例 | 想定されるインシデント |
|---|---|---|
| フィッシングメール | MFA未導入 | アカウント乗っ取り → 情報漏洩 |
| ランサムウェア | バックアップ未整備 | データ暗号化 → 事業停止 |
| 退職者の不正アクセス | アカウント棚卸し未実施 | 機密データの持ち出し |
| 自然災害(地震・水害) | DR環境なし | サーバー損壊 → 長期停止 |
Step 3:リスクの評価(定量 or 定性)
特定したリスクを「発生可能性」×「影響度」の2軸で評価し、優先順位を決定します。
| 影響度:低 | 影響度:中 | 影響度:高 | |
|---|---|---|---|
| 発生可能性:高 | 中リスク | 高リスク | 最高リスク |
| 発生可能性:中 | 低リスク | 中リスク | 高リスク |
| 発生可能性:低 | 低リスク | 低リスク | 中リスク |
Step 4:リスク対応方針の決定
評価結果に基づき、各リスクに対する対応方針を4つの選択肢から決定します。
| 対応方針 | 内容 | 例 |
|---|---|---|
| リスク低減 | 対策を実施してリスクを許容レベルまで下げる | MFA導入、EDR導入、暗号化 |
| リスク移転 | リスクを第三者に移転する | サイバー保険の加入、クラウドへの移行 |
| リスク回避 | リスクの原因となる活動をやめる | USBの利用禁止、危険なSaaSの利用停止 |
| リスク受容 | リスクを認識した上で、対策を取らずに受け入れる | 発生可能性・影響度がともに低いリスク |
リスクアセスメントは一度やって終わりではなく、最低でも年1回、またはIT環境の大きな変更(クラウド移行、M&A、新サービス導入等)があったタイミングで再実施します。ISMS認証を取得している場合は、内部監査のサイクルに組み込みます。
セキュリティポリシー体系の作り方
3階層の文書体系
セキュリティポリシーは「基本方針」→「対策基準」→「実施手順」の3階層で構成するのが一般的です。中小企業の場合、最初から完璧な文書体系を作る必要はありません。まずは以下の最低限の5文書を策定することを推奨します。
中小企業が最低限策定すべき5文書
| # | 文書名 | 階層 | 主な記載内容 |
|---|---|---|---|
| 1 | 情報セキュリティ基本方針 | 基本方針 | 経営者の宣言、適用範囲、セキュリティの基本原則 |
| 2 | 情報セキュリティ対策基準 | 対策基準 | パスワード要件、端末管理、データ分類、外部委託管理のルール |
| 3 | インシデント対応手順書 | 実施手順 | 検知→報告→初動→封じ込め→復旧→再発防止の手順 |
| 4 | IT資産管理台帳 | 記録 | PC/サーバー/SaaS/ライセンスの一覧と管理状態 |
| 5 | リスクアセスメント報告書 | 記録 | 情報資産一覧、脅威・脆弱性分析、リスク評価結果、対応計画 |
クラウドサービスによるGRC実装
主要なクラウドサービスには、GRCの各要素を技術的に支援する機能が豊富に用意されています。Microsoft 365のPurview / Defender、AWSのSecurity Hub / GuardDuty、Google CloudのSecurity Command CenterなどがGRC実装の中核となります。
GRC × クラウドサービス マッピング
| GRC要素 | 活動 | Microsoft 365 / Azure | AWS | Google Cloud |
|---|---|---|---|---|
| G ガバナンス | アクセス制御 | Entra ID 条件付きアクセス | IAM + AWS SSO | Cloud IAM + BeyondCorp |
| 監査ログ | M365 統合監査ログ | CloudTrail | Cloud Audit Logs | |
| R リスク | 脅威検知 | Defender for Endpoint | GuardDuty | Security Command Center |
| セキュリティ評価 | Secure Score | Security Hub | SCC ダッシュボード | |
| C コンプライアンス | DLP | Purview DLP | Macie | Cloud DLP |
| コンプライアンス評価 | Compliance Manager | Audit Manager | Assured Workloads |
コンプライアンス評価ツールの活用
各クラウドサービスにはコンプライアンス評価ツールが用意されています。Microsoft Purview Compliance Manager、AWS Audit Manager、Google Cloud Assured Workloadsはいずれも、ISO 27001やNIST CSFなどの主要規格に対する準拠状況をスコアやダッシュボードで可視化し、改善すべき項目を優先順位付きで提示します。
技術的な対策(MFA有効化、暗号化設定等)は自動で検出され、手動での対応が必要な管理策(ポリシー策定、教育実施等)は担当者を割り当てて進捗管理できます。
セキュリティスコアの活用
各クラウドにはセキュリティ状況をスコアで可視化する仕組みがあります。Microsoft Secure Score、AWS Security Hubのセキュリティスコア、Google Cloud Security Command Centerのダッシュボードでは、改善アクションが具体的に提示されるため、GRCの「R(リスク)」の改善活動に直結します。
継続的改善とPDCAサイクル
GRCとセキュリティマネジメントは、構築して終わりではなく継続的に改善し続けることが重要です。
年間サイクルの設計
| 時期 | PDCA | 活動内容 |
|---|---|---|
| 4月 | Plan | 年度のセキュリティ計画策定、予算確保、リスクアセスメント実施 |
| 5〜6月 | Do | 計画に基づく対策の実施(ツール導入、設定変更、教育実施) |
| 7〜9月 | Do | 継続運用(脆弱性管理、ログ監視、ヘルプデスク対応) |
| 10月 | Check | 中間レビュー:Secure Score確認、インシデント振り返り、KPI評価 |
| 11〜12月 | Do | フィッシング訓練、インシデント対応訓練の実施 |
| 1月 | Check | 内部監査の実施(ISMS認証がある場合) |
| 2〜3月 | Act | 年度振り返り、経営層への報告、次年度計画への反映 |
経営層への報告
GRCの成果を経営層に定期報告することは、ガバナンス維持と予算確保の両面で不可欠です。報告では技術用語を避け、ビジネスインパクトの言葉で伝えます。
- Secure Scoreの推移(対策の進捗を数値で可視化)
- インシデント件数と対応結果(被害金額の推定値を含む)
- リスクアセスメントの結果サマリー(最高リスク項目とその対策状況)
- 次年度のセキュリティ投資計画と期待効果
BTNコンサルティングの支援
BTNコンサルティングは、中小企業のGRC構築からセキュリティマネジメントの運用まで一貫して支援します。
GRC構築支援
セキュリティポリシー体系(基本方針・対策基準・実施手順)の策定、リスクアセスメントの実施、コンプライアンス要件の整理を支援します。自社の規模に合った「重すぎないGRC」を設計します。
クラウドサービスによるGRC実装
策定したポリシーをお客様のクラウド環境で技術的に実装します。Microsoft 365(Entra ID / Intune / Defender / Purview)、AWS(IAM / GuardDuty / Security Hub)、Google Cloud(Cloud IAM / SCC)の設定・チューニングまで対応します。
フレームワーク準拠アセスメント
CIS Controls IG1、NIST CSF 2.0、ISO 27001のいずれかをベースに、現在のセキュリティ対策状況を評価し、ギャップと改善ロードマップを報告します。
セキュリティ運用(情シス365)
GRC構築後の継続運用を「情シス365」サービスとして代行します。Secure Scoreの継続監視、脆弱性管理、インシデント対応、内部監査支援、経営層への定期報告まで対応します。
「セキュリティポリシーを整備したい」「取引先のセキュリティ要件に対応したい」「ISMS認証を検討している」——GRCに関するお悩みにお応えします。
→ ITコンサルティングの詳細を見る
まとめ
GRC(ガバナンス・リスク・コンプライアンス)は、企業のセキュリティ対策を「個別の技術対策の寄せ集め」から「経営レベルの統合的な管理活動」に昇華させるフレームワークです。中小企業においては、CIS Controls IG1で実践的な対策から着手し、NIST CSFで成熟度を評価、必要に応じてISO 27001の認証取得に進む段階的アプローチが最も現実的です。
各クラウドサービスのコンプライアンス評価ツール(Compliance Manager / Audit Manager / Assured Workloads等)やセキュリティスコアを活用すれば、GRCの進捗を数値で可視化し、経営層への報告にも活用できます。「何から始めればいいかわからない」場合は、まずリスクアセスメントから始めましょう。自社の情報資産と脅威を「見える化」することが、GRCの最初の一歩です。