【SAP GRC】GRC用語まとめ

GRCで使われる用語にはどんなものがあるのでしょうか？

今回はGRC関連の用語についてまとめ、解説していきます。

GRC関連の用語

ここではSAPのGRCで登場する用語について解説します。

多くがSAPのGRC独自の用語となっています。

GRC関連の用語一覧

用語	内容
GRC	「ガバナンス（Governance）」「リスク管理（Risk management）」「コンプライアンス（Compliance）」という主要な3つの要素の頭文字を合わせたもの。SAPの提供する機能。
BIS	GRCの主要領域「企業リスク・コンプライアンス管理」のソリューションの1つ。 「Business Integrity Screening」の略語。 複数の不正検知ルールを用いてデータを抽出する機能。
Access Control	GRCの主要領域「ID・アクセスのガバナンス」のソリューションの1つ。 アクセスリスクの管理、アクセス申請の管理、ロールの管理、定期アクセスレビューの管理、緊急アクセス管理の領域からなる機能。
ARA	Access Control の「アクセスリスクの管理」の機能である「Access Risk Analysis(アクセスリスク分析)」の略語。 ロール、ユーザ毎にどのようなリスクが存在しているか検知することが可能です。
SoD	ユーザアクセスおよび職務分掌のこと。
ARM	Access Control の機能である「Access Request Management(アクセス申請の管理)」の略語。
BRM	Access Control の機能である「Business Role Management (ロールの管理)」の略語。
EAM	Access Control の機能である「Emergency Access Management (緊急アクセス管理)」の略語。 ※GRCではないSAPの用語で「Enterprise Asset Management(設備資産管理)」も同様にEAMで表記されるため混同に注意。
Firefighter ユーザ	緊急アクセスを必要とするユーザのこと。
Firefighter ID	高い権限を付与されたユーザ IDのこと。 特権ID、特権ユーザなどと呼ばれることもある。
FFID	「Firefighter ID」の略語。
監査担当者	Firefighting アクティビティから生成されたログファイルをレビューし必要に応じて承認するユーザのこと。
オーナー	Firefighter IDおよび監査担当者とFirefighterユーザの割当に責任があるユーザのこと。
Firefighting	緊急時にタスクを実行するためにFirefighter ID を使用すること。
集中 Firefighting	FirefighterユーザがFirefighting用の別のシステムにログオンするための集中コンソールとして GRCシステムを使用すること。
分散 Firefighting	FirefighterユーザがFirefighting用のシステムに直接ログオンでき、GRCシステムは緊急アクセス割当の更新およびレポート用にのみ使用すること。
SOX法	正式名称は「Public Company Accounting Reform and Investor Protection Act of 2002：上場企業会計改革および投資家保護法」 SOX法は米国の証券市場で株式上場をしている企業が不適切な会計手続きを行うことを防ぐ法律。
J-SOX法	日本版のSOX法を意味する、正式名称は「内部統制報告制度」。 すべての上場企業に対して「財務諸表」「内部統制監査報告書」「内部統制報告書」の公開を義務付ける制度。
内部統制	「財務報告の信頼性」「事業活動にかかる法令等の順守」「資産の保全」「業務の有効性・効率性」を主目的とすると金融庁は定義している。 組織内のルール、ルールを順守する体制の整備すること。
IAM	「Identity and Access Management」の略語。 ユーザーIDとアクセス権限を管理すること。
企業リスク・コンプライアンス管理	GRCの主要領域の1つ。 ソリューションとして「SAP Risk Management」「SAP Process Control」「SAP Audit Management」「SAP Business Integrity Screening」が存在している。
SAP Risk Management	GRCの主要領域「企業リスク・コンプライアンス管理」のソリューションの1つ。 リスクとなり得る要素の分析・評価を行う。
SAP Process Control	GRCの主要領域「企業リスク・コンプライアンス管理」のソリューションの1つ。 主要なビジネスプロセスのリスクの特定、評価、改善を行う。
SAP Audit Management	GRCの主要領域「企業リスク・コンプライアンス管理」のソリューションの1つ。 内部統制の整備を行う。
ID・アクセスのガバナンス	GRCの主要領域の1つ。 ソリューションとして「SAP Access Control」「SAP Cloud Identity Access Governance」が存在している。
SAP Cloud Identity Access Governance	GRCの主要領域「ID・アクセスのガバナンス」のソリューションの1つ。 オンプレミス環境とクラウド環境のアクセス管理をシンプル化する。
サイバーセキュリティ	GRCの主要領域の1つ。 ソリューションとして「SAP Enterprise Threat Detection」「SAP Privacy Governance」が存在している。
SAP Enterprise Threat Detection	GRCの主要領域「サイバーセキュリティ」のソリューションの1つ。 サイバー攻撃の事前検知、外部脅威の特定、分析を行う。
SAP Privacy Governance	GRCの主要領域「サイバーセキュリティ」のソリューションの1つ。 データプライバシー規制の管理、内部のセキュリティ統制を行う。
国際取引の管理	GRCの主要領域の1つ。 ソリューションとして「SAP Watch List Screening」「SAP Global Trade Services」が存在している。
SAP Watch List Screening	GRCの主要領域「国際取引の管理」のソリューションの1つ。 ビジネスパートナーのスクリーニングを簡潔化する。
SAP Global Trade Services	GRCの主要領域「国際取引の管理」のソリューションの1つ。 貿易業務の効率化、コンプライアンスの強化を行う。

GRC

GRCは「ガバナンス（Governance）」「リスク管理（Risk management）」「コンプライアンス（Compliance）」という主要な3つの要素の頭文字を合わせたものです。

SAPが提供しているGRCソリューションは下記の4つの領域に分かれています。

• 企業リスク・コンプライアンス管理
• 国際貿易管理
• サイバーセキュリティとデータ保護
• IDおよびアクセスのガバナンス

BIS

GRCの主要領域「企業リスク・コンプライアンス管理」のソリューションの1つで「Business Integrity Screening」の略語です。
複数の不正検知ルールを用いて異常、不正行為、ポリシーからの逸脱のデータを抽出する機能です。

下記がBISで実現可能です。

• 不正検知とコンプライアンスチェック
• 不正検知ルールの作成
• アラート生成・調査
• 予測分析でのリスク特定 

例として次のような検知が可能です。

不正検知ルールとしてワードリストに「一時金」を登録します。

そうすると伝票テキストに「一時金」を含む伝票をアラートとして検知します。

Access Control 

「Access Control」とはユーザアクセスに関する潜在リスクを明らかにし、それを修正、あるいは予防するSAP提供の仕組みのことです。

「Access Control」には主要な機能が下記の5つとなっています。

• アクセスリスクの管理
• アクセス申請の管理
• ロールの管理
• 定期アクセスレビューの管理
• 緊急アクセス管理

アクセスリスク分析

「アクセスリスクの管理」の機能の１つです。
ロール、ユーザ毎にどのようなリスクが存在しているか検知することが可能です。

SAP標準の職務分掌ルールでは下記のように「トランザクションコード：FD02」と「トランザクションコード：VA01」を使用できる権限を付与されているユーザはアクセスリスク分析で「架空の顧客を登録し、不正な販売伝票を作成することで売り上げを粉飾できる」リスクがあると検知されます。

今回のまとめ