日本オラクル システム事業統括本部 Fusion Middlewareビジネス推進本部 シニアディレクター 入江宏志氏

日本オラクルは13日、同社のGRC(Governance, Risk and Compliance)製品群「Oracle GRC Application Suite」に含まれるリスクコントロール製品群「Oracle GRC Controls Suite」の新製品として、業務アプリケーションの職務分掌を管理する「Oracle Application Access Controls Governor(以下、Oracle AACG)」の提供を開始した。日本オラクル システム事業統括本部 Fusion Middlewareビジネス推進本部 シニアディレクター 入江宏志氏は「景気低迷に伴い、コスト削減を伴わないIT投資なんて考えられない状況になっている。J-SOX施行1年目がもうすぐ終わろうとしているが、企業の担当者からは"次はもっと(内部統制の)コストを下げたい"という声が多数上がっている。Oracle AACGは職務分掌という観点からリスク管理を合理化し、全体としてコスト削減につなげていくことができる製品」と語る。

Oracle AACGは、職務分掌権限設定(SoD)を適切に行うことで「誰が」「何に」アクセスできるかを把握、特権的なアクセス権限付与が発生しない仕組みを作ることができる。たとえば重複して付与すべきではない職務権限を図で示したり、アクセス状況の分析/レポート機能も備えているので、監査における問題点を可視化して把握することが可能になる。また、事前の権限付与シミュレーションも可能なので、効率的にアプリケーションのリスク管理を行うことができる。Oracle E-Business SuiteやPeopleSoftなど、同社のERP製品を利用しているユーザであれば、SoDが事前定義された700以上のライブラリを利用することも可能だ。

Oracle AAGCでは、アプリケーション横断使用におけるアクセスポリシーの管理・設定を一元的に行える。操作もドラッグ&ドロップで可能。左は不正使用の状況を具体的に報告しているところ、右はポリシー違反ユーザをヒートマップで一覧表示しているところ

アプリケーションリスクコントロールに特化したOracle GRC Controls Suiteには、Oracle AACGのほか、アプリケーションの変更管理を行う「Oracle Configuration Controls Governor」、アプリケーションの実行状況をモニタリングする「Oracle Transaction Contorols Governor」が含まれている。これらを組み合わせて活用することで、発見的統制と予防的統制の2つの側面から「手動統制から自動統制へと変更し、手間を削減、(監査の)正当性を担保しながら、内部統制を合理的に実施することが可能になる」(入江氏)という。

入江氏は、Oracle GRCについて「経営管理、リスク管理、ITインフラ管理という3つの視点でGRCを実現する製品群」と語り、「今後は、過去に起きた不備を穴埋めするような危機管理の形ではなく、将来起こりうるリスクを事前に検知し、コントロールしていく時代になっていく。だからこそ、Oraccle AAGCのような製品によってアプリケーション管理を自動化し、コントロール数を削減することで、トップダウンのリスクアプローチが可能になる」としている。J-SOX施行から約1年が経ち、企業側も監査法人側もさまざまな課題が見えてきたが、「無駄な作業や項目を減らしたい、そしてコストを減らしたいという要望はどちらも同じ」と語り、そのためには危機管理の段階からリスクコントロールの段階へ移行し、そして「最終的には"エンタープライズリスクマネジメント(ERM)"の次元まで到達することが日本企業の目標」とする。

Oracle GRC Controlsを導入した米Intuitの事例。内部監査にかかる時間が大幅に削減(350時間→90時間→50時間)し、外部監査の負荷も減っている。「導入5カ月で投資コストを回収することができた」(入江氏)

また、日本オラクルは同日、GRC製品群の「Oracle GRC Manager(以下、Oracle GRCM)」の短期導入コンサルティングサービスである「GRCテンプレートサービス」も開始した。通常6カ月以上かかるとされるGRCMの導入を約半分の3カ月程度に短縮することが可能になるという。同サービスには運用設計支援、実機による製品説明、サーバセットアップ、初期設定、RCM(Risk Contorol Matrix)移行の設定、オプションレポート提出、などが含まれる。