SAPジャパンは2月2日、アステラス製薬が、SAPのガバナンス、リスク、コンプライアンス(GRC)ソリューションである「SAP BusinessObjects Access Control」を導入し、安定稼働を開始したと発表した。
アステラス製薬では、J-SOX法(金融商品取引法)に対応したコンプライアンス体制の強化や、将来的なグローバル共通のリスク管理基盤の構築が課題となっていた。そこで、属人的なアクセス権限管理の解消に向けて社内統制強化のためのプロジェクトチームを設け、検討した結果、グローバルで1000社を超す導入実績があるSAP BusinessObjects Access Controlの導入を決定したという。
SAP BusinessObjects Access Control導入プロジェクトの第1フェーズは2008年6月に開始された。第1フェーズでは、アステラス製薬が基幹システムとして使用するSAP ERPのアクセス権限管理を見直し、「Risk Analysis and Remediation」上で自社の特権リスクルールを設定、特権対象となるトランザクションやロールを定義することで特権ユーザーを管理する方針を決定した。Risk Analysis and RemediationはSAP BusinessObjects Access Controlに標準装備され、リアルタイムにERP内での職務分掌上の潜在リスクを分析する。
実際の運用は2009年2月から開始され、社内ルールに基づいて継続的なモニタリングが行われるようになった。内部統制担当者からERPの管理責任者に対して月次レポートが提出され、社内ルールから外れた特権ロールを持つユーザーが発見された場合には担当者に通知、改善されるというサイクルが確立したという。SAPは「SAP BusinessObjects Access Controlが導入されたことでアステラス製薬は、特権の付与状況と利用状況がリアルタイムで可視化できた。また、属人的な管理体制が解消されたことで、課題であった管理水準と運用効率の向上が実現した」としている。
アステラス製薬では、自社開発によるシステムのほか、多数の業務アプリケーションが混在していたが、2010年以降に予定されている一般権限を対象とした管理体制構築を行う第2フェーズでは、これらのシステム環境を横断したアクセス権限管理を行うことを目指す。
