サービス

クラウド型ERPアプリケーションセキュリティとガバナンス

企業を取り巻く環境の変化に伴い、個人情報・機密情報に関する国内外の制度対応から内部・外部のサイバー攻撃による情報漏えい、データの改ざんリスクが高まっており、企業は今まで以上に情報のインテグリティおよびデータ保護の強化が求められています。また、企業はIT環境のクラウド化へのシフトを加速させることに伴い、スピードとコスト削減を実現しつつ、データ保護等のセキュリティ強化を実現することが必要になります。

手作業から完全システム化への変革

AI、ロボティクスなどの未来のテクノロジーの導入は既に始まっています。新しいテクノロジーの導入に伴い、簡易的で汎用的な業務は、システムやロボットに置き換わり、システムにある膨大なデータをアナリティクスの技術を活用して人が判断・意思決定するプロセスに変わります。

このような高度で複雑なシステム環境では、さらにブラックボックス化が進みます。完全に自動化された業務プロセスの有効性・効率性を担保するためには、高度なガバナンスとセキュリティの仕組みが必要になります。クラウド型アプリケーションには、既にガバナンスやセキュリティに対応するための基本機能は備わっていますが、単に導入するだけでは十分な仕組みの構築は実現できません。

ERPシステムの特徴である「データの一元管理とリアルタイム連携」の仕組みを踏まえると、取引の起点となるデータの正当性を高めることが最も重要になります。1度入力したデータは後続の処理において変更できない仕組みとし、処理を自動化させることで手作業を軽減してデータの正当性を維持し、例外取引や異常値に限定してモニタリングすることがガバナンスの基本的な考え方と言えます。

システム導入時のガバナンス設計とセキュリティ対策の必要性

システムが稼働した後にガバナンスの機能を導入する場合、業務プロセスの変更とシステム改修が伴うため多大な労力と時間がかかります。システム設計時にガバナンス要件を盛り込み、また同時に不正防止のためのセキュリティ対策を講じておくこと(セキュリティ・バイ・デザイン)によって効果的なガバナンスの仕組みの構築と強固なセキュリティ環境を実現することができます。


強固なガバナンスの仕組みとセキュリティ設計に向けた基本アプローチ

ERPシステムの仕組みと、クラウドアプリケーションの機能を熟知した専門家がプロジェクトのフェーズに沿ってプロジェクトメンバーや開発者と協議しながら、ガバナンスの仕組みを構築します。

  • 要件・設計フェーズでは、リスクに応じたガバナンス要件を整理し、アプリケーションシステムの標準機能を最大限活用しつつ、業務の有効性が向上するガバナンス・コントロールを設計します。特に入力データのチェック機能やアクセス制御、および例外取引や異常値を発見できるレポート機能の有効性を調査・検証することがポイントになります。
  • テストフェーズでは、設計したガバナンスやセキュリティが有効に機能していることの確認として、ポジティブ(できること)とネガティブ(できないこと)のテストを網羅的に実施します。
  • 本番稼働準備フェーズでは、持続可能な運用プロセスを確立するために、ガバナンスとセキュリティの視点を加えたマニュアルを整備し、エンドユーザに対するトレーニングを実施します。
  • 稼働後の監査対応に備えてコントロールの文書化、規程・手順書類の整備、コントロールの有効性評価手続の策定も併せて行います。


不正防止のための情報セキュリティ対策(セキュリティ・バイ・デザイン)

企業には個人情報や機密情報が多く存在し、それらはデータとして新システムに定義されます。まずそれらのデータの重要性を定義し、漏えいや改ざんなどのリスクが発生した場合の影響を評価したうえでセキュリティ対策を講じる必要があります。具体的には、データへのアクセス制限をはじめ、職務権限の分離、システムの脆弱性(プログラムの欠陥や不具合)の調査、ログの取得、ネットワークやOS・データベースのインフラ基盤に対するセキュリティを検討し、システムに実装します。

プロフェッショナル

松井 靖己/Matsui Seiki

松井 靖己/Matsui Seiki

デロイト トーマツ リスクサービス パートナー

監査法人系コンサルティング会社にてシステム導入業務を経て2001年監査法人トーマツに入社。 IT全般統制監査、米国サーベンスオクスリー法、内部統制報告制度対応支援に従事。現在は業務・内部統制の改善、IT統制設計、セキュリティ構築、データ品質管理等のコンサルティングサービスを提供。... さらに見る