GRCとは
GRC(Governance、Risk、Compliance)とは、ビジネス環境下で直面する様々なリスクに対し、ガバナンス、リスク、コンプライアンスの各取り組みを統合的に管理する概念です。効率的な運用を実現するGRCソリューションが企業に求められています。
概要
アクセスリスク分析を自動化し、アクセス権付与前にユーザーのリスクを特定
重要なビジネスシステムへの不適切なアクセスを回避し、単一ソリューションのセキュリティと自動検証を使用して、プロビジョニング前のリスクを最小限に抑えます。
「GRCとアクセスリスク分析」機能を利用することで、手動でのプロビジョニングと職務分離 (SoD) 管理が不要となり、 ERP システムとアプリケーションに同じSoD コントロールを適用できます。
課題
GRCとアクセスリスク分析の課題を解決
一貫した職務分掌の徹底が困難
SAP ERPやSAP SuccessFactors、SAP S/4HANAに代表されるERPシステムやアプリケーションには膨大なロールと権限設定があるため、職務分掌(職務の分離)を徹底し、監視することが困難です。しかし、職務分掌の徹底を怠ると情報漏洩や機密データの損失、コンプライアンス違反に至るリスクにつながります。
アクセス権のリスク管理が脆弱
利用中のERPシステムのアクセス権の分析粒度が粗いと、適切にロールやアクセス権が付与されていなかったり不要な権限が付与されていたりするケースを発見できません。不適切なアクセス権の付与は内部不正や情報漏洩の原因となる恐れがありますが、正しく運用するには難易度が高いのが現状で、企業の課題となっています。
ロール変更によるリスク予測が困難
ロールを変更する際、変更に伴う影響とリスクの見通しを立てるのは困難です。プロビジョニング後にリスクに気づいても手遅れになってしまうかもしれません。
導入メリット
アクセス権が付与される前にリスクを回避
職務分掌(職務の分離)の徹底
SailPointの「GRCとアクセスリスク分析」機能の導入により、ERPシステムのロールと権限のポリシーを容易に細かい粒度で設定が可能です。適切にアクセス権限を付与し、管理することで最小権限の原則が徹底でき、コンプライアンスを確保しながら情報漏洩を防止します。
不正アクセスのリスク回避
ユーザー、ロール、業務プロセスごとの利用状況を継続的に監視・分析し、全方位的に可視化することで、潜在的な不正アクセス権やリスクのあるユーザーを特定でき、事前にリスクを回避できます。
コンプライアンス違反を阻止
ロール設定や変更の際、事前にリスクシミュレーションをし、GRCプロセスやID棚卸、緊急時のアクセス管理を正しく実施することでコンプライアンス違反を防止します。また、定期的に行うべきアクセス権の棚卸の業務を自動化することで、棚卸のサイクルを加速化します。
機能
アクセスリスクに対する実用的なインサイト
「GRCとアクセスリスク分析」機能は、ビジネス環境に合わせた職務分掌(SoD)ルールを作成します。プロセスの自動化とアクセスリスクガバナンスを一元化することで、業務効率向上とコンプライアンス維持を実現します。
リスクを予測
利用状況から不正を検知
緊急時のアクセス権管理
FAQ
よくあるご質問
GRC は、ガバナンス(Governance)、リスク(Risk)、コンプライアンス(Compliance)の頭文字を取り、企業等が実施すべき取り組みを統合的にとらえたリスク管理のフレームワークです。
経営環境のグローバル化、企業買収や委託先の拡大、各国における法規制遵守の義務にともない、ガバナンス強化、経営リスク管理、コンプライアンス遵守の3軸で一元的に経営することが求められているためです。
