(本記事は、こちらのBlog記事の翻訳です)

Now PlatformのTokyo リリースでは、Governance, Risk and Compliance (GRC) 製品を通じて提供する、企業・組織のリスク・コンプライアンス管理や事業継続・レジリエンス強化に関わる機能がより一層強化されました。本記事では、そうした機能のうちいくつかに焦点を当て、新機能の概要とそれらがもたらすメリットを紹介します。また、記事の末尾にて、Tokyoリリースで利用可能となったGRCの新機能を一覧で紹介します。

DevOps Accelerator

デジタルトランスフォーメーションの第一波となる取組みを成功させた企業・組織が数多く報告されるようになりました。そうした企業・組織では、注力領域がデジタル技術を活用した再構築から、イノベーションをより強く志向したものに移行しています。そうしたイノベーションの推進には、アプリケーション開発プロセスの円滑化と迅速化が欠かせません。アプリケーションの開発プロセスにおいてテクノロジー面のリスクを低減するためには、ソフトウェアがISO、NIST、PCIをはじめとした標準フレームワークに準拠して実装・検証されるようにするための管理体制が不可欠です。しかしながら、そうした管理の一環で行われる監査の際には、ソフトウェア開発者は監査役にエビデンスを提出する作業に追われがちで、結果としてコード開発が停滞してしまうことも少なくありません。コンプライアンスの遵守は言うまでもなく重要なことですが、その作業は往々にして手作業依存で時間のかかるものであり、ヒューマンエラーの温床にもなっています。

DevOps Accelerator は、GRC Policy & Compliance と DevOps Config を統合することによって生まれた新機能です。この機能はコンプライアンス遵守やエビデンス収集を目的としたモニタリングを通じて、予防的コントロールを自動実行できるようにすることを目指したものです。DevOps Acceleratorを活用することで、開発者の手を煩わせることなくポリシーチェックや監査対応を進めることができるようになります。加えて、ガバナンスを開発プロセスに統合することで例外処理も可能になるため、開発者が生産性やイノベーションを犠牲にすることなく、コンプライアンスを遵守し、監査要件を満たすことができるようになります。

測定基準とリスクヒートマップ

重大なリスクは、ビジネスに影響が及ぶ前に特定して対処することが重要です。そのためには、潜在的なリスクを可視化して重大さを評価するとともに、そうしたリスクのトレンドが辿る軌跡を掌握することが不可欠です。アプリケーション、ベンダー、プロセス、資産など、リスクはあらゆるエンティティに内在する可能性があります。そうした中で、GRCの測定基準 (Metrics) が強化され、KRI (Key Risk Indicator、重要リスク指標) と KCI (Key Control Indicator、重要管理指標) という新たな指標 (Indicator) をトラックできるようになりました。これらはマニュアルの測定基準、自動収集される測定基準、またはマニュアル・自動複合の測定基準を組み合わせによって定義できます。なお、指標はある集合の条件やコントロールに対する合否に基づいてリスクを判断するもので、測定基準は指標を補完する位置付けとなります。

リスクヒートマップでは、リスクの重大さに応じた優先度に相当するリスクスコアだけでなく、新たにリスクの上昇・下降トレンドの軌跡も確認できるようになりました。これにより、リスク姿勢を強固に保つための適切な意思決定を行うことができるようになります。 例えば、複数のリスクが中程度のスコアである場合に、そのうちいくつかのリスクのレベルが上昇基調にあることを認知できれば、それらのリスクの優先度を高めて即座に対処が講じられるよう、担当部門と連携を図ることができます。

Operational Resilienceのシナリオ分析

予期せぬイベントが現実に発生する可能性から逃れることはできません。事業運営におけるレジリエンスを高めるには、複数のシナリオを計画・テストし、ビジネスへの影響を評価・理解することが重要です。Operational Resilienceで新たに使用可能となったシナリオ分析を使用すれば、ユーザーはイベントを定義してシミュレートし、その結果を記録してレポート化できます。これにより、重要なビジネスサービスの中断につながる可能性のある要因や、具体的にサービス中断のどの段階にてリスクが顕著になるかを特定できます。

このような分析を実施することで、チームは事前に計画を立て、事業の突然の中断から迅速に回復できるようになります。

Tokyoリリースでは、上で紹介したものに加えて多くの機能がGRCに追加・強化されています。

Risk Managementに追加された機能

• AI を活用したリスク管理
• 複数レベルの承認
• 管理の設計と運用の有効性を計算するための機能強化
• アセスメントシミュレーション

Policy and Complianceに追加された機能

• ポリシーの例外、リスクアセスメントの統合
• エビデンスの再利用

Business Continuity に実装された自動化に関する機能強化

• 自動入力に関する機能
  • BIA (Business Impact Analysis) へのCMDBデータ
  • BIAから計画への依存関係
  • マスタープランへの関連プラン
  • イベントの二次的影響

Operational Resilienceに追加された機能

• ビジネスサービスの作成とメンテナンス
• 重要性と許容度の評価
• 自己証明書
• Pillarに基づくBCMプロファイルの追跡

Vendor Risk Managementに追加された機能

• 新しいサードパーティベンダーポータル
• サードパーティスコアフレームワーク

GRC全般の共通の機能の増強

• 機密性の継承
• エンティティ所有者との同期
• エンティティクラスルールフィルター

Tokyo リリースのWebイベント「Now Platform Tokyo Release Broadcast」中のセッション「What's new in Integrated Risk Management」にもぜひご参加いただき、詳細をご確認ください。

© 2022 ServiceNow, Inc. All rights reserved. ServiceNow, ServiceNow のロゴ、Now、その他の ServiceNow マークは米国および/またはその他の国における ServiceNow, Inc.の商標または登録商標です。その他の会社名と製品名は、関連する各会社の商標である可能性があります。

servicenow.com/jp