サイバー攻撃の高度化やサプライチェーンリスクの拡大を背景に、中堅・中小企業のセキュリティガバナンス需要が急増。東証グロース上場のGRCSが打ち出した新モデルは、業務代行とクラウドを融合した”第三の選択肢”だ。
企業のセキュリティ担当者を悩ませてきた二つの壁が、ここにきて同時に高くなっている。一つは、ランサムウェアやサプライチェーン攻撃など脅威そのものの複雑化。もう一つは、それに対応できる専門人材の慢性的な不足だ。
情報処理推進機構(IPA)の調査によれば、国内のセキュリティ人材不足は依然として深刻で、特に中堅・中小企業では専任担当者を置けないケースが多い。リスク管理の「やりたくてもできない」状況が常態化しているのが実情だ。
新サービスの概要
こうした市場の需要に応えるべく、GRC(ガバナンス・リスク・コンプライアンス)領域に特化した東証グロース上場のGRCS(証券コード:9250)は3月17日、BPaaS(Business Process as a Service)型のリスク管理支援サービス「GRCS BPO MT」の提供を開始した。
BPaaSとはクラウドツールの提供にとどまらず、そのツールを用いた実務・運用プロセスまでを一括して請け負うビジネスモデルだ。単なるソフトウェアのサブスクリプションでも、人手のみに頼るアウトソーシングでもない”第三の選択肢”として近年注目を集めている。
ーーーーー
「専門知識が必要」「情報の管理が大変」という課題のある組織のリスク管理を、高品質を維持したままスマートで身近なものとして提供する。
(GRCSリリースより)
二本柱の機能
本サービスが対象とするのは、同社が提供する二つの既存クラウドサービスの契約者だ。一つは外部委託先のセキュリティリスクを一元管理する「Supplier Risk MT」、もう一つはインシデント対応と脆弱性管理を担う統合セキュリティツール「CSIRT MT.mss」である。
サードパーティリスク管理の領域では、取引先へのアセスメントシートの送付から結果の回収・集計、リスク判断材料の提供、ダッシュボードによる可視化まで、一連の煩雑な業務を丸ごと代行する。従来は担当者が個別にExcelや電子メールで管理していたプロセスを、AIが自動化することで工数を大幅に削減できるという触れ込みだ。
一方、サイバーインシデント・脆弱性管理の面では、自社や子会社で発生したセキュリティ上の問題を集約し、即時対応が必要な案件のフィルタリングと対応状況の管理・分析をAIが主導する。レポート作成もAIが担うため、経営層への定期報告に要する時間の短縮も期待される。
市場背景とGRCSの勝算
本サービス投入の背景には、規制環境の変化もある。経済産業省が推進するサイバーセキュリティ経営ガイドラインの改訂や、金融機関・重要インフラ事業者へのサプライチェーンリスク開示要求の強化により、従来は大企業の専売特許だったGRC対応が、中堅・中小企業にも求められ始めている。
GRCSにとってBPaaS化は既存顧客の解約防止(チャーン抑制)と新規顧客の獲得を同時に狙う戦略でもある。ツール単体の販売からサービス継続型のビジネスモデルへの転換は、ストック収益の積み上げにつながりやすく、投資家目線でも評価されやすい構造だ。
競合には国内大手SIerの子会社やセキュリティ専業のMSSP(マネージドセキュリティサービスプロバイダー)が存在するが、GRCSはGRC領域に特化した知見と既存の自社クラウドプロダクトとの連携を差別化軸として打ち出している。人間の専門家とAIを組み合わせた「ハイブリッド型代行」が、コスト面でも大手MSSPと対抗できるかが普及の鍵を握るだろう。
今後の焦点
企業のリスク管理をとりまく環境は今後も厳しさを増す方向だ。生成AIの急速な普及はビジネス効率を高める一方で、フィッシングやディープフェイクを悪用した新種の脅威をも生み出している。そうした状況下で、自社内にノウハウを蓄積するよりも、専門サービスへのアウトソーシングを選ぶ企業は増えてくる可能性が高い。
GRCSにとっての次の課題は、BPaaS化によって実際に顧客企業のリスク管理水準が向上したという実績を積み上げ、それをマーケティングに活かせるかどうかだ。サービスの成否は、ツールの機能より「代行後の成果」で問われることになる。
