GRC ツールの価格設定は不明瞭？ ４つのカテゴリーへの理解が重要 – Gartner

Unclear pricing for GRC tools creates market confusion

2024/10/25 HelpNetSecurity — 昨今の GRC (government, risk, and compliance) ツールには、多様な価格設定が並存している。そのため、ERM (Enterprise Risk Management) のリーダーたちは、GRC ソリューションの４種類の価格カテゴリーを理解し、スコープ・フレームワークを適用した上でベンダーを選定し、コストを見積もる必要があると、Gartner は指摘している。

Gartner の調査によると、自組織のリスク評価で推奨された行動を、上級管理職／経営陣／取締役などの意思決定者が常に取っているケースは、わずか 27% に過ぎないと、ERM 責任者たちは答えている。また、現時点のリスク評価のプロセスが、変化するリスクの状況に対応できていると、自信を持って言えると答えたのは、わずか 31% だった。

さらに、CSO (Chief Strategy Officers) の 44% が、自社の戦略目標の達成が遅れていると回答しており、リスク管理活動を戦略実行に組み込む能力に自信を持っている回答者は、わずか 19% だった。

自社において、ChatGPT 以外の生成 AI を既に使用していると 60%が回答し、2024年には使用する予定だと 28% が回答している。リスク管理プロセスと関連する場面において、テクノロジーの活用に高い信頼を置いているのは、わずか18% であった。

Gartner Audit & Risk Practice の Director Analyst である Joel Backaler は、「デモなどの、時間を要する販売プロセスを回避する道はない。しかし、それぞれのベンダーが該当する、一般的に言われる４つの価格カテゴリーを理解し、それに応じてスコープ・フレームワークを適用することで、選択に要する時間を節約し、予算の制約内で収まりそうなベンダーに、RFP の焦点を絞り込むことが可能になる」と述べている。

GRC ソリューションの４つの異なる価格帯カテゴリー

Enterprise GRC：このソリューションは、最も高額になりがちなものであり、それを保証するチーム (リスク／法務／コンプライアンス／監査) 全体にわたる、広範なリスク／コンプライアンス活動を管理するものとなる。したがって、包括的なプラットフォームを必要とする、大規模で複雑な組織に最適なものとなる。一般的に、これらのソリューションは、幅広いカスタマイズ・オプション／複数のリスク・モジュール (企業リスク／業務リスク／サードパーティ・リスクなど) のサポートや、高度な分析機能を提供する。

Agile GRC：Agile GRC ソリューションは、実装や拡張が容易であり、必要不可欠な機能を提供するものであるが、エンタープライズ・ツールと比べて利用しやすい代替手段となる。これらのツールは、効果的なリスク／コンプライアンス管理を必要とするが、複雑性やコストは抑えたい中規模から大規模の組織に最適である。通常の Agile GRC は、ドラッグ＆ドロップによる設定／段階的な拡張を可能にするモジュール構造／ユーザー・フレンドリーなインターフェースなどを備えている。

Adjacent GRC：このソリューションは、コア GRC 機能を提供するものであり、それぞれの製品間で、価格が大幅に異なる場合がある。また、特定の分野における深いワークフローに対しては、独自の基準セットを使用している。ポイント・ソリューションの例としては、事業継続管理／サードパーティ・リスク管理／規制変更管理をサポートするツールなどがある。

Disruptor GRC ベンダー：市場で台頭し始めている企業があるが、多くの場合において、既存の GRC 企業から独立した元経営陣や、GRC 導入の経験を持つ元経営コンサルタントにより設立されている。 彼らは、市場にギャップがあることを認識しており、最新のテクノロジー (例えば、GRC  ツールにおける AI の利用) や、データの相互運用性の容易性により、そのギャップを埋めることを目指している。 したがって、新興企業が主力顧客の獲得を目指す中で、価格交渉において大きな影響力が生じる可能性がある。

Gartner の Joel Backaler は、「Disruptor ツールを使用する ERM の責任者は、ベンダーの将来を見据えた製品ロードマップに影響を与えることで、より手頃な価格で新しい機能を利用できるようになる。さらに、主要顧客は、ベンダーに製品ロードマップに機能強化の要望を盛り込ませようとし、大きな影響力を発揮するだろう」と述べている。

エンタープライズのセキュリティを考える上で、GRC (government, risk, and compliance) は重要な概念となりますが、抽象的なレベルでの考え方を、現実レベルへと落とし込んでいくプロセスに難しさがあるように思えます。そこで、さまざまなツールが提供されているようですが、そこには４つのカテゴリがあり、それぞれの価格付けが行われていると、Gartner は主張しています。記事の本文に、Gartner へのリンクがないので検索したところ、以下のリソースが見つかりました。よろしければ、カテゴリ SecTools と併せて、ご参照ください。

• Gartner Says Enterprise Risk Management Leaders are Challenged with a Lack of Pricing Transparency in GRC Tools
• Putting the “R” back in GRC – Insights from Gartner on Emerging Cyber GRC Technologies
• Rethink Cybersecurity with the Gartner® Innovation Insight: Cyber GRC Streamlines Governance Report