【Product Review コンプライアンス】
SAP GRC Access Control（SAPジャパン）

アクセス管理ソフトウェア

（2007年12月18日）

適切な職務分掌の設定を支援する
アクセス管理ソフトウェア

　SAPジャパンの「SAP GRC Access Control」は、同社の基幹業務アプリケーション「SAP ERP」におけるアクセス管理プロセスの自動化・効率化を図るソフトウェアである。コーポレート・ガバナンス、リスク・マネジメント、コンプライアンスのための機能を包括的に提供することを目的としたアプリケーション群「GRC（Governance/Risk/Compliance）ソリューション」の1製品として提供される。

　SAP GRC Access Controlは、適切な職務分掌ルールを定義し、システム内に正しい権限設定を行うとともに、そうした状態を維持できるプロセスを確立する。例えば、1人のユーザーが、仕入先情報を更新する権限と、支払い処理を実行する権限の両方を持った場合、架空の仕入先に対して架空の送金処理を実行するといったリスクが生じる。同製品で適切な職務分掌の設定を行うことで、そうしたリスクを回避することが可能になる。

　
特権ユーザーによる代理処理リスクと
緊急時の迅速な対応を両立

　また、重要な業務の担当者が不在の際や緊急時などに、特権ユーザーが代理で重要な業務に関する処理を実行するといった場合は、特権ユーザーによる不正処理というリスクが生じる。SAP GRC Access Controlでは、そのリスクの低減と緊急時の迅速な対応を両立するために、代理処理用のIDを発行し、そのIDによる作業履歴を記録するという機能を備えている。

　なお、SAP GRC Access Controlは、以下の4つのアプリケーションで構成されている。

■Compliance Calibrator
　ERP内における職務分掌ルールの定義を効率化することができるほか、職務分掌上の潜在リスクをリアルタイムに分析する機能を提供する。

■Role Expert
　権限を設定するときに定義する「ロール（役割）」において、潜在的なリスクを含む権限が割り当てられていないかどうかをチェックする。

■Fire Fighter
　緊急処理を行うユーザーに対して代理処理用のIDを付与することで、特権ユーザーが緊急処理を実行することを防止する。代理処理用のIDを使用した作業については履歴が残される。

■Access Enforcer
　ユーザーIDの新規申請や変更に関する承認プロセスを自動化する。加えて、ユーザーに割り当てる権限が職務分掌上のリスクを含むかどうかをリアルタイムでチェックする。

「SAP GRC Access Control」による適切なアクセス管理の維持