SAPジャパンは、SAP ERPのアクセス管理プロセスを自動化・効率化するためのソフト「SAP GRC Access Control 5.2」の日本語版の出荷を開始した。
内部統制で求められる職務分掌を実現
「SAP GRC Access Control 5.2」は、適切な職務分掌や重要な情報源へのアクセス管理を行なうことで、企業における不正処理を防ぐソフト。職務分掌とは、システムにアクセスするユーザーが特定の機能を実行するための権限を適切に分離すること。たとえば、仕入先情報を更新する権限と支払処理を実行する権限を同一人物が持っている場合、架空の仕入先に対して架空の送金処理を実行するリスクがある。こうしたリスクを防ぐために、職務分掌は日本版SOX法で求められるIT統制で特に重要とされている。
SAP GRC Access Controlは、職務分掌ルールを適切に定義し、システム内に正しい権限設定を行なうと同時に、それを維持するプロセスを確立するための4つのアプリケーションからなる。
「Compliance Calibrator」はERP内での職務分掌ルールを効率的に定義し、リアルタイムに潜在リスクを分析。「Role Expert」は権限を設定する際に定義するロール(役割)の中に、潜在リスクを含む権限が割り当てられないかどうかを確認を行なう。
「Fire Fighter」は、システム管理者などの特権ユーザーが緊急処理を実行することを防ぐ。緊急処理を行なうユーザには代理処理用のIDを付与し、そのIDを使用した作業の履歴を残す。「Access Enforcer」は、ユーザIDの新規申請、変更に関する承認プロセスを自動化し、ユーザに割り当てる権限が職務分掌上のリスクを含むかどうかリアルタイムに確認する。
SAP GRC Access Controlは、SAPのエンタープライズSOA基盤「NetWeaver」上で稼動し、SAP ERP以外にもさまざまな業務アプリケーションと連携が可能。
