システムセキュリティ簡易診断サービス（ACTT）

システムセキュリティの診断領域

デロイト・デロイト トーマツ グループは、システム内のセキュリティの状態を簡易的に確認できるツール（ACTT：Automated Control Testing Tool）を開発しました。このツールを使うことにより、システムの脆弱性やユーザのアクセス状況を瞬時に把握することができます。

対象システムは、SAP、オラクルEBS、ピープルソフトのERPシステムをはじめ、WindowsやUnixのOS、オラクルデータベースにも対応できます。

ERPシステムのセキュリティは以下３領域から構成されており、ニーズ・状況に応じて必要な診断を利用できます。

SENSITIVE ACCESS（SA）
重要なトランザクションにアクセス可能なユーザとロールの診断

• 重要なトランザクションを特定し、アクセス可能なユーザとロールの一覧を提供します。
  （診断項目例）
  クライアント管理、直接プログラム実行、ユーザマスタ更新、会計期間のオープンクローズ、システムプロファイル更新、テーブル更新、会計伝票の更新、マスタ一括更新 など
  

SEGREGATION OF DUTIES（SOD）
SOD（職務分掌）違反のユーザとロールの診断

• SOD（職務分掌）から派生する不正等のリスクのあるユーザとロールの一覧を提供します。
  （診断リスク例）
  不正支払、架空取引先、架空発注、架空入庫、帳簿操作、不正取引、資産の不正取得 など
  

CONFIGURABLE CONTROLS（CC）
コンフィグレーションの診断（68項目）

• ERPシステムのコンフィグレーションを確認し、統制が十分機能しているかを診断します。
  （診断項目例）
  クライアント設定、ユーザのパスワード値、二重請求書入力チェック、購買伝票の入力項目制御、与信限度額設定、会計期間、MM勘定設定 など