ガバナンス、リスク、コンプライアンス と統合して、アプリケーションのリスクとコントロールを特定する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:7分

    • エンタープライズアーキテクチャ (旧 アプリケーションポートフォリオ管理) は ガバナンス、リスク、コンプライアンス (GRC) と統合して、ビジネスアプリケーションのリスクを特定および評価するのに役立ちます。

    始める前に

    必要なロール:admin

    このタスクについて

    GRC アプリケーションを使用して、ハードウェア、ソフトウェア、ビジネスアプリケーションなどの資産に関連するリスクを分析できます。また、これらのリスクに関連するコントロールを特定してテストしたり、それらの資産に対して実施された監査を確認したりすることもできます。この分析により、アプリケーションオーナーが、ビジネスアプリケーションのリスクを効果的に理解できるようになります。

    アプリケーションオーナーは、外部監査システムを利用してアプリケーションを監査しなくても、ビジネスアプリケーションがさらされている重大なリスクとコンプライアンスの問題を特定できます。

    エンタープライズアーキテクチャ を GRC と統合するには、次のプラグインをアクティブ化します。

    手順

    1. 移動先 すべて > システム定義 > プラグイン.
    2. GRC: GRC プロファイル依存関係 (com.snc.grc_profile_dep) プラグインをインストールします。
    3. GRC: Vendor Risk Management 依存関係 (com.snc.grc_vrm_dep) プラグインをインストールします。
    4. GRC: Policy and Compliance Management 依存関係 (com.snc.grc_policy_dep) プラグインをインストールします。

      これには、ServiceNow アプリストアからの app-compliance のインストールも必要になります。

      注:
      統合には、特定のアプリケーションを ServiceNow アプリストアからインストールする必要もあります。ダウンロードしてアクティブ化する手順については、「ストアでアプリを要求する」を参照してください。

    次のタスク

    ビジネスアプリケーションを参照するエンティティを作成します。エンティティを監査にアタッチします。

    ビジネスアプリケーションを参照する監査のエンティティを作成する

    ビジネスアプリケーションテーブルとその特定のアプリケーションレコードへの参照を使用してエンティティを作成します。エンティティを使用して、リスクエクスポージャーのスコープを設定し、ビジネスアプリケーションのリスクアセスメントを実行します。

    始める前に

    必要なロール:sn_audit.admin または sn_audit.manager

    このタスクについて

    GRC では、プロファイルの代わりにエンティティという用語を使用します。エンティティは、監査可能なデータベース、サーバー、ビジネスアプリケーションなどの監査可能な任意の対象を指します。

    手順

    1. 移動先 すべて > 監査 > スコーピング > すべてのエンティティ.
    2. [New] をクリックします。
    3. フォームのフィールドに入力します。
      フィールドの詳細については、「エンティティフォーム」を参照してください。
    4. [送信] をクリックします。
      詳細については、以下を参照してください。

    リスクをエンティティに関連付ける

    エンティティをリスクにアタッチし、リスクレコードを作成します。ビジネスアプリケーションに悪影響を与える可能性のあるリスクを評価および特定します。

    始める前に

    必要なロール:sn_risk.admin および sn_risk.manager

    手順

    1. 移動先 すべて > リスク > リスク登録 > すべてのリスク.
    2. リスクフォームでリスクを作成します。

      参照:「リスクを手動で作成」。

      注:

      [エンティティ] フィールドで、リスクをエンティティに関連付けます。

    エンゲージメントへのビジネスアプリケーションエンティティの追加

    エンティティは、監査エンゲージメントについて査定および評価されます。その後、監査エンゲージメントのスコープが設定されて検証されたエンティティが、監査に関連付けられます。

    始める前に

    必要なロール:sn_audit.manager または sn_audit.admin

    ビジネスアプリケーションエンティティをエンゲージメントに追加するには、エンティティフォームの [エンティティ] フィールドでビジネスアプリケーションを参照するエンティティを作成する必要があります。参照:「ビジネスアプリケーションを参照する監査のエンティティを作成する」。

    手順

    1. 移動先 すべて > 監査 > エンゲージメント > すべてのエンゲージメント.
    2. ビジネスアプリケーションエンティティをエンゲージメントに追加するには、[エンティティ] 関連リストの [追加] ボタンをクリックします。
      注:
      エンゲージメントは、[スコープ] または [検証] ステータスである必要があります。

      参照:「エンゲージメントスコープにプロファイルを追加」。

      アプリケーションプロファイルがエンゲージメントにアタッチされると、エンゲージメントへのプロファイル [sn_audit_m2m_profile_engagement] テーブルに関連するプロファイルを持つエンゲージメントレコードが作成されます。

    ビジネスアプリケーションエンティティにコントロールを追加する

    リスクにさらされている可能性のあるビジネスアプリケーションエンティティにコントロールを関連付けます。リスクを軽減してビジネスを保護するには、ビジネスアプリケーションに効果的なコントロールを設定することが必須です。ビジネスアプリケーションをアップグレードするときに、古いコントロールを置き換えることができます。

    始める前に

    必要なロール:admin

    コントロールを関連付ける前に、エンティティを作成しておく必要があります。コントロールは GRC で作成されます。

    手順

    コントロールを作成してエンティティをコントロールに追加するには、「コントロールの作成」を参照してください。
    • コントロール [sn_compliance_control] テーブルから選択するエンティティはビジネスアプリケーション、レコードのエンティティの [クラス] はアプリケーションである必要があります。
    • コントロールレコードは、[ドラフト] または [廃止] のいずれかのステータスになります。ただし、このような状況のコントロールは、ビジネスアプリケーションに関連付けられる エンタープライズアーキテクチャ (旧称 アプリケーションポートフォリオ管理) には表示されません。

    ビジネスアプリケーションの ガバナンス、リスク、コンプライアンス リスクとエンゲージメントの表示

    アプリケーションオーナーは、ビジネスアプリケーションがさらされているリスクを表示できます。ガバナンス、リスク、コンプライアンス (GRC) がビジネスアプリケーションエンティティを監査し、監査されたリスクとエンゲージメントは、スクリプト化された関連リストとしてビジネスアプリケーションフォームにキャプチャされます。

    始める前に

    必要なロール:sn_apm.apm_user、sn_apm.business_stakeholder_apm_user

    手順

    1. 移動先 すべて > エンタープライズアーキテクチャ > アプリケーションポートフォリオ > すべてのビジネスアプリケーション.
    2. [GRC リスク] 関連アイテムをクリックします。
    3. リスクステートメントの名前、説明、リスクのカテゴリ (法務、財務、運用など)、リスクのレベルを示す固有の影響、およびリスク発生の可能性を示す固有の可能性を表示します。
      参照:「リスク、リスクステートメント、リスクフレームワークを管理する
    4. [エンゲージメント] 関連アイテムをクリックします。
    5. エンゲージメントの名前、アサインされているユーザー、エンゲージメントのステータス、アクティビティの開始予定日、終了日、完了したエンゲージメントの割合、およびエンゲージメントの実際のコストを表示します。
      参照:「エンゲージメントを管理する
    6. [コントロール] 関連アイテムをクリックします。
    7. コントロールの名前、オーナー、準拠しているかどうかを示すコントロールステータス、コントロールの分類 (予防、修正、または検出)、およびスケジュール済みジョブが実行される証明頻度を表示します。

      参照:「コントロールを管理する

    8. [GRC リスク] 関連リストのリスクレコードの横にある [階層リストの表示/非表示] 矢印をクリックして、ビジネスアプリケーションのリスクに関連付けられているすべてのコントロールを表示します。

      コントロールをリスクに関連付けると、コントロールとそれに関連付けられたリスクが、コントロールへのリスク [sn_risk_m2m_risk_control] テーブルに作成されます。

      図 : 1. リスクに関連付けられたコントロール
      リスクに関連付けられたコントロール