【SAP GRC】 Access Controlとは？

「Access Control」とはいったいどのようなものなのでしょうか？本記事では、SAPの提供するGRC「Access Control」はどのようなものなのか解説していきます。

Access Controlとは？

まず始めに「Access Control」とは何でしょう？

システムが複雑になるとどの権限が必要なのかわかりづらくなってしまいます。
過剰に権限が付与されているとリスクのある操作を行う可能性があります。
またJ-SOXや社内規定コンプライアンスに違反することがあります。

こういったユーザアクセスに関する潜在リスクを明らかにし、それを修正、あるいは予防するSAP提供の仕組みのことを「Access Control」と言います。

「Access Control」には主要な機能が下記のとおり5つあります。

1. アクセスリスクの管理
2. アクセス申請の管理
3. ロールの管理
4. 定期アクセスレビューの管理
5. 緊急アクセス管理

次項では主要な機能について解説します。

アクセスリスクの管理

職務分掌とクリティカルアクションに対するアクセスリスクを発見し軽減します。
下記の機能があります。

• 事前定義された包括的なルールセットの利用
• エンタープライズアプリケーションのシステム間分析を実行する
• アクセスリスクを修正および軽減する
• 変更をシミュレートして、新しいリスクを特定し防止する

アクセス申請の管理

エンタープライズアプリケーションのアクセス管理を自動化します。
下記の機能があります。

• 自動化されたアクセス要求
• ワークフロー駆動型の承認プロセス
• クリーンな状態を保つための組み込みリスク分析シミュレーション
• エンタープライズアプリケーションへの自動プロビジョニング

ロールの管理

ロールを定義、管理します。下記の機能があります。

• ロール定義とメンテナンス
• ビジネス用語でのロール定義、ビジネスプロセスとの関係の設定
• ビジネスロールの分析と最適化の実施

定期アクセスレビューの管理

アクセス割当が正しいことを監査します。下記の機能があります。

• 定期的なユーザーアクセスレビューの自動化
• ロールのコンテンツとユーザーへの割当の監査
• 軽減コントロール割当レビューの自動化

緊急アクセス管理

緊急アクセスとトランザクション利用の監視を行います。
特権ユーザ管理と呼ばれることもあります。

• 緊急アクセスの管理
• ユーザーとロールのトランザクション利用の詳細レビュー
• 職務分掌コンフリクト、センシティブなアクションの使用に関する通知

緊急アクセスに必要なロールは、管理者が対象のユーザにあらかじめ割り当てておくことが可能です。
セルフサービス申請のワークフローによって管理者が承認するように設定することも可能です。

リスク分析

事前に定義した職務分掌ルールもしくはSAP標準の職務分掌ルールを使用して分析を行います。

今回はSAP標準の職務分掌ルールを例に説明します。

SAP標準の職務分掌ルールでは、「トランザクションコード：FD02」と「トランザクションコード：VA01」を使用できる権限を付与されているユーザがいる場合リスクとして検知されます。

これは「架空の顧客を登録し、不正な販売伝票を作成することで売り上げを粉飾できる」リスクがあるためです。

ロールやユーザ毎にリスクがあるということを検知することが可能です。

下記はリスク回避の一例です。

今回のまとめ