SAPジャパンは9日、SAP ERPのアクセス管理プロセスを自動化/効率化するためのソフトウェアツール、SAP GRC Access Control(エスエイピー・ジーアルーシー・アクセスコントロール)バージョン5.2の日本語版を提供開始することを発表した。
いわゆるJSOX法(金融商品取引法)の適用開始時期を2008年4月に控え、企業は業務を支えるITが適切な統制ルールの下で運用されていることを証明する必要に迫られている。IT統制の中で最も重要かつ基本的な項目とされているのが「アクセス管理」であり、SAP GRC Access Controlは、適切な職務分掌や重要な情報源へのアクセス管理を行なうことで、企業における不正処理をより効果的に未然に防ぐことができるもの。SAP GRC Access ControlはSAP NetWeaver上で稼動し、SAP ERPを始めとする様々な業務アプリケーションと連携する。
米国SOX法の内部統制の有効性評価において、アクセス管理の領域で最も指摘の多かった統制上の欠陥は、「不適切な職務分掌」だったという。職務分掌とは、システムにアクセスするユーザが特定の機能を実行するための権限を適切に分離する取り組み。例えば、一人のユーザが仕入先情報を更新する権限と、支払処理を実行する権限を持っていると、架空の仕入先に対して、「架空の送金処理を実行する」、という不正処理を実行し、不適切な財務データを生成するというリスクがある。SAP GRC Access Controlは、こうした不正処理を防ぐために、職務分掌ルールを適切に定義し、システム内に正しい権限設定を行うと同時に、それを維持するプロセスを確立する。
また、SAP GRC Access Controlは、特権ユーザーによる不正処理のリスクの軽減と、緊急処理の実行を両立するプロセスを実現する。特権ユーザーとは、システムのあらゆる機能を実行する権限を持つユーザー。担当者が不在の際に緊急処理対応が求められる場合、特権ユーザーが伝票処理などの代理処理を実行するケースがあるが、これらの運用プロセスにおいて、特権ユーザーによる不正処理が発生するリスクが高く、外部監査人から指摘を受けるケースが増えていることに対応するもの。
SAP GRC Access Controlは以下の4つのアプリケーションから構成される。
Compliance Calibrator(コンプライアンス・キャリブレーター) - ERP内における職務分掌ルールを効率的に定義するとともに、リアルタイムで、職務分掌上の潜在リスクを分析する機能を提供
Role Expert(ロール・エクスパート) - 権限を設定する際に定義する「ロール(役割)」の中に、潜在リスクを含む権限が割り当てられないかどうかを確認する
Fire Fighter(ファイヤ・ファイタ) - 特権ユーザーが緊急処理を実行することを防ぎ、緊急処理を行なうユーザーには代理処理用のIDを付与し、そのIDを使用した作業の履歴を残すことで、監査対応力を向上させる
Access Enforcer(アクセス・エンフォーサ) - ユーザーIDの新規申請、変更に関する承認プロセスを自動化すると共に、ユーザーに割り当てる権限が職務分掌上のリスクを含むかどうかをリアルタイムで確認する