|
ERPをベースとした業務において意図していたような統制を働かせるためには、アイデンティティ管理が依然として重要なテーマです。ここでは、内部統制で求められている要件を参考に、ERPに必要なアイデンティティ管理の姿をご紹介します。 そもそもERPにアイデンティティ管理が必要なのか?という疑問 内部統制は整備するだけでなく、それを意図していたように維持・運用させていくことが重要です。ERP (Enterprise Resource Planning) は内部統制の基本的要素が組み込まれたプロセスを実装しています。そのため、ERPの導入こそが内部統制を適切にかつ継続的に機能させていくための必要十分条件であると認識されている場合があります。 事実、きめ細かい権限設定が可能なERPは、「財務報告に係る内部統制の評価および監査に関する実施基準 (以下、実施基準) 」中で明示的に指摘された統制活動である「職務分掌」に有効と言えます。それ故、ERPを正しく利用している限りにおいて、内部統制は確立できていると考えられています。 しかし、実施基準をよく理解すると、ERPは暗黙の条件の上でのみ統制が効いているということに気づくはずです。その暗黙の条件こそがアイデンティティ管理なのです。 いったいどういうことでしょうか。 実施基準が求める "業務プロセス" はERPのみで閉じていない 財務報告の信頼性を確保するための統制活動として、実施基準では次のような点がフォーカスされています。
これらは、業務のプロセスに組み込まれるべきものとされ、組織内の全ての者において遂行されることにより機能するとあります。 前述の通り、ERPでは利用者の職責に応じた権限をログインIDに付与する事が可能です。しかし、それが組織的、人的構成と連動して管理できているかという点まで考慮すると、ERP単体では保証できていません。そもそも、利用者がログインIDを持つべきかどうかの判断自体がERPの権限管理の対象外だからです。 冒頭で指摘した「暗黙の条件」とはここを指しています。つまり、業務プロセスの一部としてとらえる必要があるアクセス権限の付与剥奪の管理 (いわゆるアイデンティティ管理) 業務は、外部のシステムで補完する必要があるということです。では、具体的にどのような統制活動がERPに不足していると言えるのでしょうか。
アイデンティティ管理がシステム化されていない、例えば、紙等による申請・承認フローをベースとした業務はERP上で行う管理オペレーションと直接紐づける事ができません。そのため、管理者のオペレーションのログを取る等「あとから付き合わせることができるようにしておく」という内部統制の目的とは異なった方向へ投資を迫られてしまいます。 また、人事異動の際、異動先で必要なシステムのユーザ・アカウント申請は忘れませんが、必要なくなった旧部署のユーザ・アカウントの削除申請は必ずしも徹底できない、という運用上の問題もあります。不必要でありながら削除されていない、いわゆる「休眠アカウント」の棚卸しは数ヶ月を要する場合があり、セキュリティ上の潜在的リスクのみならず、管理コストへの影響も大きくなります。
ギャップを埋めるためのビジネス要件 前節で挙げたアイデンティティ管理を実現するためには、申請者や承認者本人のみが知りうる属性 (例:ユーザ名とパスワードの組み合わせ) を元に、証拠が残る形で整備していく必要があります。人とシステムのアクセス権限を一括で管理し、職務分掌を自動化させるためには、つぎのような仕組みが必要です。
ソリューション:Sun Java Identity Management Suite Sun Java System Identity ManagerはERPをはじめ、さまざまなシステムに散在するユーザ・アカウントのライフサイクルを一括管理し、効率的な職務分掌の徹底を実現する包括的ソリューションです。社員の職責に応じたアクセス権限に関する予防的統制 (プロビジョニング) と、付与されている権限の妥当性を検証する発見的統制 (スキャン) の両方に対応します。既存システムに変更を加えることなく導入することができ、柔軟な組織再編とセキュリティ確保の両立が可能です。 さらに、組織、人、システムが適切に運用されているかどうかを確認する監査機能により、統制活動の実施証明を可視化でき、担当者の負担を飛躍的に緩和します。 また、バーチャル・アイデンティティの概念はアイデンティティ管理におけるデータ保持方法や信頼性を左右する特徴的なアーキテクチャです。運用段階にあるSun Java System Identity Managerに対して連携システムの増減があっても最小工数でメンテナンスが可能です。すでに複数の数万人規模の案件で拡張性と柔軟性が実証されている点は、メタディレクトリ方式と決定的に異なると言えます。 関連リンク: 具体的な実装例と期待される効果 以上を踏まえ、ERPに必要とされるアイデンティティ管理のシナリオをご紹介いたします。
シナリオ1:Sun Java System Identity Manager → ERP ERPやその他複数のシステムに必要とされるユーザ・アカウント作成から削除に至るライフサイクルの一元管理 (アイデンティティ・プロビジョニング) を実現します。アプリケーションに応じたリソース・アダプタをSun Java System Identity Manager側に設定します。ERPが持つ標準的なEAIやプログラミングAPIを利用した連携方式 (エージェントレス・リソース・アダプタ) により、既存システムを改修することなくアイデンティティ管理のフレームワークに統合できます。 通常、ITシステムはオペレーティング・システムやミドルウェアのようなインフラ・ストラクチャとその上位で稼働するアプリケーションに大別できます。本番稼働しているシステムでは、インフラ・ストラクチャへアクセスできる人とアプリケーションへアクセスできる人は職責上分離する必要があります。同様に、開発機上で作業を行う開発者は本番機に対してアクセス出来ないようにする必要もあります。Sun Java System Identity Managerは業務領域毎に「ロール」という概念でユーザ・グループを抽象化し、利用者に対してロールの付与、剥奪を行うことで、連携先システムのユーザ・アカウント管理を実現しています。 シナリオ2:人事システム → Sun Java System Identity Manager 人事異動による職責変更の発生から関連システムにおけるユーザ・アカウント情報の反映に要する時間に注目すると、その長さに比例して内部統制上のリスクが高まるのは明らかです。 人や組織の情報を正確に把握し、適時アイデンティティ管理に反映させるためには、こういった情報を最も精度良く保持している「人事システム」を利用するのが最適です。人事マスタをアイデンティティ管理の基本情報とすることで、人事異動に伴うシステム利用者の役割の変化を素早く、正確に検知することができます。 また、Sun Java System Identity Manager上で、異なる社員に異なるロールがそれぞれ割り当てられ、職務分掌が達成されているように見えても、人事上の職責との比較を行わない限り、担当者間で相互牽制が作用しているかどうかの確認ができないのも事実です。人事上の職責とアクセス権限の関係がシステム的に把握できるようになる事で職務分掌や監査支援をさらに強化することができます。 まとめ 組織的、人的構成を反映したアイデンティティ管理の実施は内部統制における重要な検討項目とされています。ERPのみで行うユーザ・アカウント管理業務には統制活動として不足部分が見られます。手作業による統制活動は継続的な内部統制の実施に支障をきたします。いずれ、Sun Java System Identity Managerによる自動的、集中的なアイデンティティ管理が不可欠となるでしょう。 関連資料: Next Step アイデンティティ管理を具現化するためには、確かな製品力と豊富な実績が必要です。 Sun Java System Identity Managerは、柔軟かつ、標準的なアーキテクチャを採用しているため、市場の様々なERP製品との連携をサポートしています。これにより、ERPをお使いのお客様は、Sun Java System Identity Managerによるアイデンティティ管理が実現可能です。 サポートしているERP製品
SAP Business SuiteおよびSAP NetWeaver PortalとSun Java System Identity Managerとの連携に関する技術情報はこちら。 また、「Sun アイデンティティ・マネージメント ビジネスパートナー プログラム」では、サンの高いビジネス・ガバナンス意識と世界中の事例から学んだ高度で堅牢な実装例をパートナー企業様と共有しています。パートナー企業様とサンが共同でお客様の継続的な内部統制の仕組み作りを支援します。
|
| |||||||||||||||||||||||||||||||
|
| |||||||||||||||||||||||||||||||
印刷用ページ