ERP（Enterprise Resource Planning）は内部統制の基本的要素が組み込まれたプロセスを実装しているため，ERP導入こそが内部統制を適切にかつ継続的に機能させていくための必要十分条件であると判断される場合がある。事実，きめ細かい権限設定が可能なERPは，「財務報告に係る内部統制の評価および監査に関する実施基準（以下，実施基準）」中で明示的に指摘された統制活動である「職務分掌」に非常に有効と言える。そのため，ERPを正しく利用している限りにおいて，内部統制は確立できていると安易に考えてしまいがちだ。しかし，実施基準をみると，ERPがある暗黙の条件のもとでのみ統制が効いている，ということが判る。では，その暗黙の条件とは何なのか，次に見てみることにする。

財務報告の信頼性を確保するための統制活動として，実施基準では次のような点がフォーカスされている。

• 財務報告プロセスや内部統制システムに関する組織的，人的構成の把握
• 権限および職責の付与，職責の分掌等の広範な方針および手続

前述の通り，ERPでは利用者の職責に応じた権限をログインIDに付与することが可能だ。しかし，それが組織的，人的構成と連動して管理できているかという点まで考慮すると，ERP単体では保証できていない部分がある。そもそも，利用者がログインIDを持つべきかどうかの判断自体がERPの権限管理の対象外だからだ。

冒頭で指摘した「暗黙の条件」とはここを指している。つまり，業務プロセスの一部としてとらえる必要があるアクセス権限の付与剥奪の管理（いわゆるアイデンティティ管理）業務は，外部のシステムで補完する必要がある。では，具体的にどのような統制活動がERPに不足していると言えるのか以下に列挙してみた。

• そのユーザ・アカウントの作成行為は本当に許可されたものか
• 実在する社員のためのユーザ・アカウントであると証明できるのか
• 職責に相当する申請なのか
• だれが承認したのか
• 各組織レベルで適切な権限管理が行われているのか

アイデンティティ管理がシステム化されていない場合，例えば，紙等による申請・承認フローをベースとした業務は，ERP上で行う管理操作と直接紐づける事ができない。そのため，操作ログを取る等「あとから付き合わせることができるようにしておく」という内部統制の目的とは異なった方向へ投資を迫られてしまう。

また，人事異動で新たに必要になったシステムのユーザ・アカウント申請は忘れようがないが，不必要になった旧部署のユーザ・アカウントの削除申請は必ずしも徹底できない，という運用上の問題もある。不必要でありながら削除されていないアカウント，いわゆる「休眠アカウント」の棚卸しは数ヶ月を要する場合があり，セキュリティ上の潜在的リスクのみならず，管理コストへの影響も無視できない。

アイデンティティ管理を実現するためには，申請者や承認者本人のみが知りうる属性（例：ユーザ名とパスワードの組み合わせやICカード等）を元に，証拠が残る形で仕組みを整備していく必要がある。

Sun Java^TM System Identity Managerは，ERPをはじめ，さまざまなシステムに散在するユーザ・アカウントのライフサイクルを一括管理し，効率的な職務分掌の徹底を実現する包括的ソリューションである。社員の職責に応じたアクセス権限に関する予防的統制（プロビジョニング）と，付与されている権限の妥当性を検証する発見的統制（スキャン）の両方に対応。また，ERPが持つ標準的なEAIやプログラミングAPIを利用した連携方式（エージェントレス・リソース・アダプタ）により，既存システムを改修することなく柔軟な組織再編とセキュリティ確保の両立が可能となるのも特徴だ。

Sun Java^TM System Identity Managerは業務領域毎に「ロール」という概念でユーザ・グループを抽象化し，利用者に対してロールの付与，剥奪を行うことで，連携先システムのユーザ・アカウント管理を実現する。

一方，人事異動による職責変更の発生から関連システムにおけるユーザ・アカウント情報の反映に要する時間に注目すると，その長さに比例して内部統制上のリスクが高まるのは明白だ。さらに，システム上職務分掌が達成されているように見えても，人事上の職責との比較を行わない限り，相互牽制が作用しているかどうかの確認ができない場合もある。その場合，人事システムをアイデンティティ管理の起点とすることで，職務分掌や監査支援を一層強化することが可能となる。

サン・マイクロシステムズのSun Java^TM System Identity Managerは機能および実績で，市場から圧倒的な支持を受けている。また，ERP市場でもFortune上位企業でサン・マイクロシステムズが多数採用されている。それ故，サン・マイクロシステムズはERPに求められるアイデンティティ管理で，欧米の先行事例を多数保有している。

次に，SAP ERPを対象にSun Java^TM System Identity Managerの連携を紹介する。なお，Sun Java^TM System Identity ManagerはSAP社「Powered by SAP NetWeaver」の認定を受けており，両社のテクノロジーはシームレスに統合できることが確認済みだ。

Sun Java^TM System Identity ManagerとSAPシステムの間はSAP標準のインターフェースであるBAPIコールを利用。テーブルを直接書き換えることで発生し得るビジネスデータの不整合を未然に防ぐと同時に，BAPIの上位互換性によりシステムのバージョンアップに対しても最小の工数で対応が可能というメリットがある。連携可能な属性はBAPIエクスプローラ等によってSAP内部で定義されているビジネス・オブジェクト「USER」を調査することで確認が可能だ。

SAP NetWeaver Portalのユーザ管理ではUser Management Engine（以下，UME）と呼ばれるアーキテクチャを利用している。リソース・アダプタはWebサービスを介して標準化されたXML規格であるSPML（Service Provisioning Markup Language）により，UMEと連携する。

SAP ERPの人事マスタとSun Java^TM System Identity Managerの連携は標準的なALE (Applicationi Link Enabling)分散アーキテクチャで実現している。属性名，インフォタイプを調査し，それらすべてを含む任意のメッセージタイプをひとつだけ指定する。標準ではHRMD_Aメッセージタイプを使用するが，カバーできない場合は，要件に応じた独自メッセージタイプをSAP ERP側で定義が必要となる。

サン・マイクロシステムズ株式会社 URL：http://jp.sun.com/