2020年07月22日 08時00分 公開
特集/連載

無思慮なS/4HANA移行で発生するセキュリティリスク職務分掌の設計が重要

SAP ERPの導入時にありがちなのが「誰が何をできるのか」を十分に考慮して実装しないことだという。S/4HANA移行が本格化しつつある今、再び同じミスを繰り返してはならない。

[Brian McKenna,Computer Weekly]
iStock.com/carlotoffolo

 「SAP ECC」(ERP Central Component)から「S/4HANA」への移行を考えているSAPユーザーは、「セキュリティを最初に確保しておかない」という過去の過ちを繰り返さないよう注意が必要だ。これはTurnkey Consultingが発行した「SAP Security Research Report」の要点だ。この論旨にそれほどの驚きはない。

 同社の創設者兼マネージングディレクターを務めるリチャード・ハント氏は、この報告書を踏まえてSAPのユーザー組織に専門家として助言している。

 ハント氏が率いるTurnkey Consultingは経営コンサルタント企業で、SAP製品のセキュリティとガバナンス、リスク、コンプライアンス(GRC)システムを、直接または他社と共同で提供している。同社は米国、ドイツ、スイス、マレーシア、シンガポール、オーストラリアにオフィスを展開している。

 同氏によると、システムインテグレーター(SI)はSAP ERPの実装時にセキュリティを確保しないことが多いという。それが結局は、監査や最悪の場合はハッキングによって明らかになるセキュリティの欠陥(訳注:SAP ERPの欠陥ではないことに注意)を修正するという費用のかかるプロジェクトの実施を余儀なくさせる。

 「SIが重視するのは正しく機能させることだ」と同氏は話す。つまりシステムの実装を優先する。どのシステムに誰がアクセスするかという問題を考えるのは先延ばしにされる。

 「セキュリティに明確なROI(投資利益率)はない。セキュリティが侵害されるまでは目に見えることはない」

アクセスリスクの管理

 ERPを実装するに当たっての基本的な原則の一つは、職務分掌(SoD:Segregation of Duties)の確保だ。つまり、タスクを少なくとも2人の担当者が分担する。Turnkey Consultingが欧州、アジア、米国の100人(管理職以上)のSAPユーザーを対象に調査した前述の報告書には次のように記述されている。「多くの企業には、SoDマトリックスを利用して分析できる適切なツールが整っていない。こうしたツールがあれば根本的なアクセスリスクを明らかにすることができる。SAP ERPのきめ細かく複雑な承認の概念を考えると、こうしたツールなしに問題点を見極めるのは不可能に近い」

 これを正しく行わなければ悲惨な結果を招く恐れがあるとハント氏は話す。




続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。






ITmedia マーケティング新着記事

news162.jpg

コロナ禍における「ご自愛消費」の現状――スナックミー調査
「ご自愛消費」として最も多いのは「スイーツやおやつ」で全体の68%。その他、ランチ38...

news144.jpg

正月三が日のテレビ視聴は過去10年間で最高値――ビデオリサーチ調査
正月三が日の総世帯視聴率(HUT)は過去10年で最高値となり、年末年始のテレビ視聴は例年...

news066.jpg

KOLやKOCによる口コミを創出するために必要なこと
中国向けにマーケティングを行う上で重要なのが口コミである。口コミには友人・知人間で...