グローバル展開時には、海外では普及しているが日本ではあまり導入されていないセキュリティ製品についての知識も必要になる。海外のベンダーが薦めてくる可能性があるからだ。
その一つの例が、業務上の役割(ロール)のライフサイクルを一元管理する「IAG」(Identity and Access Governance)である。
例えば、新入社員のA君が1カ月の人事研修を終えて経理部に配属されたために、経理部側で、A君のアクセス権限を変更して経理システムにログインできるようにしたとしよう。このアクセス権限の変更に関して、日本では多くの場合、情報システム部門はノータッチだ。業務上の役割の管理は、各業務部門に任せているからである。
IAGは、業務上の役割(=各業務システムのアクセス権限)を、情報システム部門が一元的に管理できる製品であり(図1)、内部統制向けの監視機能やレポート生成機能なども備える。海外では、かなり浸透してきている製品だ。代表的な製品としては、SAPの「NetWeaver Identity Management」やCA Technologiesの「CA GovernanceMinder」などがある。
IAGが海外で普及しているのは、監査法人から、ロールのアクセス権限に関して不正がないことを証明できるログの提出を求められるからだ。日本の監査法人は、ここまでロールのアクセス権限に関して厳しくない。これが、IAGが日本であまり普及していない理由である。