SAPジャパン、アクセス管理プロセスを効率化するソフトの日本語版を提供開始

Tokyo - 2007年8月9日 - SAPジャパン株式会社（本社：東京都千代田区、代表取締役社長：ロバート・エンスリン）は、基幹業務ソフトウェアであるSAP ERPのアクセス管理プロセスを自動化・効率化するためのソフトウェアツール、SAP GRC Access Control（エスエイピー・ジーアールシー・アクセス・コントロール）バージョン5.2の日本語版を本日より提供開始することを発表しました。

「金融商品取引法」の適用開始時期を2008年4月に控え、企業は業務を支えるITが適切な統制ルールの下で運用されていることを証明する必要に迫られています。IT統制の中で最も重要かつ基本的な項目とされているのが「アクセス管理」です。SAP GRC Access Controlは、適切な職務分掌や重要な情報源へのアクセス管理を行うことで、企業における不正処理をより効果的に未然に防ぐことができます。当アプリケーションは、SAP NetWeaver上で稼働し、SAP ERPをはじめとするさまざまな業務アプリケーションと連携します。

米国SOX法の内部統制の有効性評価において、アクセス管理の領域で最も指摘の多かった統制上の欠陥は、「不適切な職務分掌」と言われています。職務分掌とは、システムにアクセスするユーザが特定の機能を実行するための権限を適切に分離する取り組みです。たとえば、1人のユーザが仕入先情報を更新する権限と、支払処理を実行する権限を持っていると、架空の仕入先に対して「架空の送金処理を実行する」という不正処理を実行し、不適切な財務データを生成するというリスクの可能性があります。SAP GRC Access Controlは、こうした不正処理を防ぐために、職務分掌ルールを適切に定義し、システム内に正しい権限設定を行うと同時に、それを維持するプロセスを確立します。

また、SAP GRC Access Control は、特権ユーザによる不正処理のリスクの軽減と、緊急処理の実行を両立するプロセスを実現します。特権ユーザとは、システムのあらゆる機能を実行する権限を持つユーザを指します。担当者が不在の際に緊急処理対応が求められる場合、特権ユーザが伝票処理などの代理処理を実行するケースが見受けられますが、これらの運用プロセスにおいて、特権ユーザによる不正処理が発生するリスクが高く、外部監査人から指摘を受けるケースが増えていました。

SAP GRC Access Control は以下の4つのアプリケーションから構成され、アクセス管理の主要なプロセスを支援します。

1. Compliance Calibrator（コンプライアンス・キャリブレーター）：
   ERP内における職務分掌ルールを効率的に定義するとともに、リアルタイムで、職務分掌上の潜在リスクを分析する機能を提供
2. Role Expert（ロール・エキスパート）：
   権限を設定する際に定義する「ロール（役割）」の中に、潜在リスクを含む権限が割り当てられないかどうかを確認
3. Fire Fighter（ファイヤ・ファイター）：
   特権ユーザが緊急処理を実行することを防ぎ、緊急処理を行うユーザには代理処理用のIDを付与し、そのIDを使用した作業の履歴を残すことで、監査対応力を向上
4. Access Enforcer（アクセス・エンフォーサー）：
   ユーザIDの新規申請、変更に関する承認プロセスを自動化するとともに、ユーザに割り当てる権限が職務分掌上のリスクを含むかどうかをリアルタイムで確認

以上