サービス業 <9250> 株式会社ＧＲＣＳ 事業の内容

３【事業の内容】

　当社は、「テクノロジーデシンプルニ」をビジョンに掲げ、テクノロジーを活用して情報管理の効率化を図ることにより、複雑な外部環境から企業を守ることを目指しております。近年、様々な社会情勢の変化により、企業を取り巻く外部環境が多様化し、ガバナンスの不備による企業不祥事や情報漏洩等の事件・事故が起こることで新たな規制強化等が行われてきました。

　当社の属する事業環境は、ビジネスのグローバル化に伴う海外の法規制の適用拡大、巧妙で執拗なサイバー攻撃の頻発、新型コロナウイルス感染症の拡大に伴うテレワークの急拡大等、外部環境が急激に変化しております。外部環境に変化が起こる度に、企業は対応を迫られるものの、欧米と比較して日本国内においては、ガバナンスの強化やセキュリティ対策等への対応が遅れております。各企業では、様々なリスクに晒されている状況が続き、対応の遅れから不祥事の発生等に繋がっていると考えております。また、企業不祥事の情報がSNSの普及等により個人でも簡単に発信・拡散できるようになり、過去と比較して同様の不祥事であっても、事業活動に与える影響が大きくなっていると考えております。

　このような環境の中、当社は、GRC及びセキュリティの視点に着目し、外部環境の変化に伴う企業課題を解決する事業を展開しております。市場としては、GRC領域において更なる深耕余地があると考えており、全社的リスク管理、外部委託先管理、プライバシー保護などの領域に注力しております。欧米では既に定義されているGRC市場の手法を取入れつつ、日本の企業風土や組織体制に合わせ、リスク管理、規制/ポリシー管理、内部監査、インシデント管理などの業務に対する専用ツールを導入することで、情報管理の効率化を図り全社横断的な把握・管理を実現しております。

　当社は、GRC及びセキュリティの各領域に精通したコンサルタントやエンジニアといった専門人材によるソリューションを提供することで、専門性の高いノウハウを活かした課題解決策を提案し、サービスの品質向上に努めております。また、自社開発プロダクトと他社プロダクトの活用により、膨大な情報を集約することで、全社横断的な把握・管理や効率的な対応を可能にしております。このようにテクノロジーを活用した管理強化・業務効率化に取り組み、リスクを見える化することで「ガバナンスのDX化」を推進しております。

　なお、当社はGRCソリューション事業の単一セグメントでありますが、サービス内容により、ソリューション部門及びプロダクト部門に区分しております。

(1）ソリューション部門

①　GRCソリューション

　GRC領域においては、自社開発プロダクトを含めたGRC関連ツールの設計や構築等の導入支援を行い、全社的リスク、外部委託先、プライバシー保護、セキュリティインシデント等に係る情報管理の効率化を図り、全社横断的な把握・管理を可能にしております。

②　セキュリティソリューション

　セキュリティ領域においては、多様化するサイバー攻撃、情報漏洩やセキュリティ事故等のリスクから企業を守るため、ITセキュリティの設計、規程・ポリシーの構築、分析・管理・監査・診断等の各種コンサルティングを行っております。また、セキュリティプロダクトの設計・構築等の導入支援やISMS認証（※１）等の規格認証の取得支援を併せて行っております。

　近年では、サイバー攻撃の手法も巧妙かつ高度化されておりますので、当社は主にEDR（※２）、SIEM（※３）、CASB（※４）といった新たなテクノロジーを有した海外プロダクトをメインに展開しており、顧客の問題意識からプロダクト選定、プロダクト導入に至るまでを支援しております。

(2）プロダクト部門

GRCプロダクト

　リスク管理、規制/ポリシー管理、内部監査、インシデント管理などの業務に対して専用ツールを導入することで、情報管理の効率化を図り全社横断的な把握・管理を実現しております。この領域に対して当社は自社開発プロダクト又は他社プロダクトにより、GRCに関わる「運用」課題の解決、個人情報の管理やセキュリティ事故の防止等、GRC及びセキュリティに特化したプロダクトを提供しております。

　当社は、そのような様々なリスク対応を効率化するため、主に以下のプロダクトを提供しております。

[主要なプロダクト]

　各事業部門における取引事例は以下のとおりであります。

[取引事例]

　なお、これら事例のようにプロダクトに関しては、導入支援として一時点で計上される売上高とサブスクリプション契約等により継続的に計上される売上高があります。導入支援は課題解決策の一部であり、専門人材のノウハウを必要とすることからソリューション部門の売上高として認識しております。また、サブスクリプション契約等は、プロダクトの利用料やライセンス料であることからプロダクト部門の売上高として認識しております。

用語解説

（※１）「ISMS認証」は財団法人日本情報処理開発協会が定めた評価制度で、指定の審査機関が企業の情報セキュリティマネジメントシステムを審査し、国際標準と同等の「ISMS認証基準」に準拠していれば、認証を与えるというもの

（※２）「EDR」はEndpoint Detection and Responseの略称。PC、サーバー、スマートフォン、タブレットなどのネットワークに接続されているエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアの総称

（※３）「SIEM」はSecurity Information and Event Managementの略称。セキュリティソフトの１つで、さまざまな機器やソフトウェアの動作状況の記録（ログ）を一元的に蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析し、情報漏えいなどの異常を自動検出して管理者にスピーディに通知する仕組み

（※４）「CASB」はCloud Access Security Brokerの略称。2012年に米国の調査会社であるガートナー社が提唱した言葉で、企業が利用するクラウド・アプリケーションについて可視化、データ・プロテクション、ガバナンスを実現するサービスや製品の総称

（※５）「ISO31000」は2009年にリスクマネジメントの国際規格として第１版が発行。そして、2018年にその第２版、すなわち改訂版が発行されている

（※６）「ERM」はEnterprise Risk Managementの略称。組織全体を対象にリスクを認識・評価、残余リスクの最小化を図り、重要リスクに優先的に対応、継続的にリスク管理体制を強化していく仕組み

（※７）「CSIRT」はComputer Security Incident Response Teamの略称。コンピュータやネットワーク（特にインターネット）上で何らかの問題（主にセキュリティ上の問題）が起きていないか監視すると共に、万が一問題が発生した場合に、その原因解析や影響範囲の調査を行う組織の総称

　当社の事業系統図は以下のとおりであります。

［事業系統図］