2020年07月22日 08時00分 公開
特集/連載

無思慮なS/4HANA移行で発生するセキュリティリスク職務分掌の設計が重要

SAP ERPの導入時にありがちなのが「誰が何をできるのか」を十分に考慮して実装しないことだという。S/4HANA移行が本格化しつつある今、再び同じミスを繰り返してはならない。

[Brian McKenna,Computer Weekly]
iStock.com/carlotoffolo

 「SAP ECC」(ERP Central Component)から「S/4HANA」への移行を考えているSAPユーザーは、「セキュリティを最初に確保しておかない」という過去の過ちを繰り返さないよう注意が必要だ。これはTurnkey Consultingが発行した「SAP Security Research Report」の要点だ。この論旨にそれほどの驚きはない。

 同社の創設者兼マネージングディレクターを務めるリチャード・ハント氏は、この報告書を踏まえてSAPのユーザー組織に専門家として助言している。

 ハント氏が率いるTurnkey Consultingは経営コンサルタント企業で、SAP製品のセキュリティとガバナンス、リスク、コンプライアンス(GRC)システムを、直接または他社と共同で提供している。同社は米国、ドイツ、スイス、マレーシア、シンガポール、オーストラリアにオフィスを展開している。

 同氏によると、システムインテグレーター(SI)はSAP ERPの実装時にセキュリティを確保しないことが多いという。それが結局は、監査や最悪の場合はハッキングによって明らかになるセキュリティの欠陥(訳注:SAP ERPの欠陥ではないことに注意)を修正するという費用のかかるプロジェクトの実施を余儀なくさせる。

 「SIが重視するのは正しく機能させることだ」と同氏は話す。つまりシステムの実装を優先する。どのシステムに誰がアクセスするかという問題を考えるのは先延ばしにされる。

 「セキュリティに明確なROI(投資利益率)はない。セキュリティが侵害されるまでは目に見えることはない」

アクセスリスクの管理

 ERPを実装するに当たっての基本的な原則の一つは、職務分掌(SoD:Segregation of Duties)の確保だ。つまり、タスクを少なくとも2人の担当者が分担する。Turnkey Consultingが欧州、アジア、米国の100人(管理職以上)のSAPユーザーを対象に調査した前述の報告書には次のように記述されている。「多くの企業には、SoDマトリックスを利用して分析できる適切なツールが整っていない。こうしたツールがあれば根本的なアクセスリスクを明らかにすることができる。SAP ERPのきめ細かく複雑な承認の概念を考えると、こうしたツールなしに問題点を見極めるのは不可能に近い」

 これを正しく行わなければ悲惨な結果を招く恐れがあるとハント氏は話す。




続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。






ITmedia マーケティング新着記事

news113.jpg

日本のスマホ決済アプリのインストール数は75%成長 バンキングアプリ利用も急増――Adjust調査
2020年上半期は特に日本において、新型コロナの影響でファイナンスアプリの利用が活発化...

news048.jpg

ニューノーマル初の年末商戦 成功の鍵は「送料無料」と「低価格」、そして……――Criteo予測
コロナ禍の収束が見通せないながらも、人々の消費は少しずつ動き出しています。ホリデー...

news177.jpg

広告業界の倒産、4年連続増加の可能性も――帝国データバンク調査
広告関連業者の倒産動向調査(2020年1〜9月)の結果です。年末に向け、新型コロナウイル...