SAPの権限設定で検討すべきポイントについて

 2021.10.28  リアルテックジャパン株式会社

多くの企業では内部不正を防ぐために、企業経営を背後から支える統合的リスク管理手法「GRC」の導入を検討しています。本記事では、GRCの概念について解説するとともに、適切な権限設定や職務分掌といった高度な内部統制の観点から、SAP社のERPシステムにおける権限設定のポイントを紹介します。

ERPで重視されるGRCの概念とは

情報通信技術の進歩に伴ってデータ分析の重要性が増しており、企業では増大し続ける経営データの効率的運用が課題となっています。とくに企業の基幹業務を統合管理するERPシステムのアクセス権限設定は優先すべき経営課題のひとつです。アクセス権限の適切な設定は企業の情報資産を保護し、事業活動におけるさまざまなリスクの軽減に寄与します。

そんなERPシステムのアクセス権限設定において重視するべきポイントが「GRC」です。GRCとは「ガバナンス・リスク・コンプライアンス」の頭文字をとった略称で、経営体制の統合的なリスクマネジメント手法です。近年は企業の組織再編や事業統合が増加傾向にあり、情報流出リスクが高まっていることからGRCが重要視されています。ここでのガバナンス・リスク・コンプライアンスは以下のような意味合いをもつ概念です。

GRC(Governance・Risk・Compliance)

【Governance:経営指針や企業倫理の統制】
【Risk:事業活動におけるリスク管理の徹底】
【Compliance:法令や運用ルールの遵守】

機密情報を保護するためにも権限設定は必須

ERPシステムは財務・会計・人事・調達・生産・販売など、企業の基幹業務を統合管理するシステムであり、人事データや顧客データなど、決して流出してはならない機密情報が保管されています。そのため、マルウェアのようなサイバー攻撃から保護する仕組みはもちろん、従業員の誤操作やデータの持ち出しによる情報漏洩を防ぐセキュリティ環境を構築しなくてはなりません。だからこそアクセス権限設定が必須であり、設定の指針となるのがガバナンス・リスク・コンプライアンスに基づくGRCです。

GRC導入事例(アクセスリスク分析導入編)
SAP GRCインプリメンテーションサービス

SAPユーザーが検討すべき権限設定のポイント

SAP社はERPシステムのトップシェアを誇るベンダーであり、国内でも多くの企業が「SAP ERP」や「SAP S/4HANA」を統合基幹システムとして採用しています。SAPは企業の基幹業務を一元的に管理し、組織全体における情報共有や部門連携の強化に貢献するソリューションです。しかし、全社共通で利用するシステムのため、情報の閲覧・編集を制限するアクセス権限の設定は必須といえるでしょう。ここからはSAP社のERPシステムにおける権限設定のポイントについて解説していきます。                                                                                                                                                                                                                                                                                                                                      

誰が何をできるかを明確にする

SAPのアクセス権限は「誰が」「何をできるか」という2つの観点から設定するのがポイントです。SAPにログインするユーザーが「誰が」の部分に該当し、これを「ユーザマスタ」と呼びます。つまり、ユーザーIDや氏名、所属部門や役職、アクセス可能な権限といったデータをもつユーザー自身です。「何をできるか」の部分はアクセス権限そのものを指し、「ロール」と呼ばれる概念で管理されます。ロールは「役割」や「役柄」を意味しており、アクセス権限の設定単位を表す用語です。

たとえば「あるファイルの閲覧権限はあるが編集権限はない」や「発注の起票権限はあるが承認権限はない」といったロールを、ユーザマスタに割り当てることで、アクセス権限を設定できます。ロール機能がなければ、ユーザー一人ひとりに対して細かくアクセス権限を割り当てなくてはなりません。権限の単位を作成することでロールに対してユーザーを割り当てられるため、アクセス権限の設定が効率的かつ容易になります。また、細やかな権限を単体ロールで作成し、その単体ロールを複数組み合わせて集合ロールとして作成することも可能です。また、単体ロールと集合ロールには、どのようなものがあって、どのユーザーに割り当てられているのかは、専用のトランザクションから確認することができます。

システムトレースを使用するとSAPシステム内部の活動を記録できるため、権限チェックのコンポーネントを監視することもできます。

トップダウンアプローチによる権限設定

トップダウンアプローチとは、職務分掌やルールセットを定義した上で、ロールの初期設定とアクセス権限設定を実施する手法です。まずガバナンスの1つである職務分掌を規程し、あらゆるリスクを想定したルールセットを定義します。そして、社内規定や運用ルールの遵守といったコンプライアンスに準拠する仕組みを構築し、その後にロールを設定するのがトップダウンアプローチの基本プロセスです。この手法はセキュリティリスクを最小限に抑えられるというメリットがある一方で、初期の要件定義に膨大な時間を要する点がデメリットです。

ボトムアップアプローチによる権限設定

ボトムアップアプローチによる権限設定では、先にロールの設定とユーザマスタへの割り当てを実施するのが大きな特徴です。そして、ロールの構築後およびユーザマスタへのアクセス権限を付与後に、リスクやコンプライアンス要件に対処します。ボトムアップアプローチはスピーディなアクセス権限設定ができるのが大きなメリットです。しかし、権限の割り当てや職務分掌に関して意見が割れた場合は、設定の見直しや再設計が必要になるというデメリットがあります。

リアルテックジャパンのSAP運用サービスでセキュリティ強化

企業にとってセキュリティ管理の最適化は重要課題のひとつです。情報漏洩インシデントは企業が積み重ねてきた社会的信用の失墜を招くだけでなく、取引停止や損害賠償請求などの損害をもたらす可能性があります。とくに統合基幹システムのSAPはさまざまな機密情報が保管されているため、強固なセキュリティ環境が不可欠といえるでしょう。そこでおすすめしたいのが、リアルテックジャパンが提供するSAP運用サービスです。

リアルテックジャパンはSAP関連のシステム構築や導入支援を提供しています。セルフサービスからフルマネージドまで企業の業務形態に合わせ、SAPのクラウド移行やシステム環境の刷新などを支援します。セキュリティに関しては「REALTECH GRCセキュリティスターターパック」というGRCに特化したソリューションがあり、SAP Access Controlシステム導入を1ヶ月で実装可能です。SAPの権限設定や運用効率を最適化するためにも、リアルテックジャパンのSAP運用サービスを活用してみてはいかがでしょうか。

まとめ

SAPは経営資源を統合管理するERPシステムであり、企業の情報資産を保護するためには適切なアクセス権限の設定が不可欠です。SAPに関するお悩みがあれば、一度リアルテックジャパンにご相談ください。

SAP GRCインプリメンテーションサービス

RECENT POST「GRC」の最新記事


GRC

SAPのセキュリティとは?設定方法と監査ログ・脆弱性への対策を解説

GRC

特権ユーザーとは? 意味や必要性、リスクを詳しく解説

GRC

コンプライアンスとは? 意味や違反例、対策方法を徹底解説

GRC

内部統制とは? 4つの目的と6つの要素・3点セットや報告書について解説

SAPの権限設定で検討すべきポイントについて
New Call-to-action

RECENT POST 最新記事

RANKING人気記事ランキング

ブログ購読のお申込み