クラウド型ERPアプリケーションセキュリティとガバナンス

手作業から完全システム化への変革

AI、ロボティクスなどの未来のテクノロジーの導入は既に始まっています。新しいテクノロジーの導入に伴い、簡易的で汎用的な業務は、システムやロボットに置き換わり、システムにある膨大なデータをアナリティクスの技術を活用して人が判断・意思決定するプロセスに変わります。

このような高度で複雑なシステム環境では、さらにブラックボックス化が進みます。完全に自動化された業務プロセスの有効性・効率性を担保するためには、高度なガバナンスとセキュリティの仕組みが必要になります。クラウド型アプリケーションには、既にガバナンスやセキュリティに対応するための基本機能は備わっていますが、単に導入するだけでは十分な仕組みの構築は実現できません。

ERPシステムの特徴である「データの一元管理とリアルタイム連携」の仕組みを踏まえると、取引の起点となるデータの正当性を高めることが最も重要になります。1度入力したデータは後続の処理において変更できない仕組みとし、処理を自動化させることで手作業を軽減してデータの正当性を維持し、例外取引や異常値に限定してモニタリングすることがガバナンスの基本的な考え方と言えます。

システム導入時のガバナンス設計とセキュリティ対策の必要性

システムが稼働した後にガバナンスの機能を導入する場合、業務プロセスの変更とシステム改修が伴うため多大な労力と時間がかかります。システム設計時にガバナンス要件を盛り込み、また同時に不正防止のためのセキュリティ対策を講じておくこと（セキュリティ・バイ・デザイン）によって効果的なガバナンスの仕組みの構築と強固なセキュリティ環境を実現することができます。

強固なガバナンスの仕組みとセキュリティ設計に向けた基本アプローチ

ERPシステムの仕組みと、クラウドアプリケーションの機能を熟知した専門家がプロジェクトのフェーズに沿ってプロジェクトメンバーや開発者と協議しながら、ガバナンスの仕組みを構築します。

• 要件・設計フェーズでは、リスクに応じたガバナンス要件を整理し、アプリケーションシステムの標準機能を最大限活用しつつ、業務の有効性が向上するガバナンス・コントロールを設計します。特に入力データのチェック機能やアクセス制御、および例外取引や異常値を発見できるレポート機能の有効性を調査・検証することがポイントになります。
• テストフェーズでは、設計したガバナンスやセキュリティが有効に機能していることの確認として、ポジティブ（できること）とネガティブ（できないこと）のテストを網羅的に実施します。
• 本番稼働準備フェーズでは、持続可能な運用プロセスを確立するために、ガバナンスとセキュリティの視点を加えたマニュアルを整備し、エンドユーザに対するトレーニングを実施します。
• 稼働後の監査対応に備えてコントロールの文書化、規程・手順書類の整備、コントロールの有効性評価手続の策定も併せて行います。

不正防止のための情報セキュリティ対策（セキュリティ・バイ・デザイン）

企業には個人情報や機密情報が多く存在し、それらはデータとして新システムに定義されます。まずそれらのデータの重要性を定義し、漏えいや改ざんなどのリスクが発生した場合の影響を評価したうえでセキュリティ対策を講じる必要があります。具体的には、データへのアクセス制限をはじめ、職務権限の分離、システムの脆弱性（プログラムの欠陥や不具合）の調査、ログの取得、ネットワークやOS・データベースのインフラ基盤に対するセキュリティを検討し、システムに実装します。