経費管理コラム 第9回
経費管理を効率化する
SAP Concurのセキュリティ対策
企業のクラウドサービス利用が活発になっていますが、同時にセキュリティ面での懸念もあります。最近では情報漏えい事件も数多く発生しており、また漏えいしたIDとパスワード情報を別のサービスでログイン試行するという「パスワードリスト攻撃」も盛んに行われています。
今回は、「SAP Concur」のセキュリティ対策について紹介します。
セキュリティからみるクラウドサービス
インターネットにアクセスできれば、いつでもどこでも自分の環境を利用できるクラウドサービスは非常に便利です。しかも、クラウド上にデータセンターがあり、その上でソフトウェアが動作するので、アクセスする側にソフトウェアをインストールする必要もありません。一般的なWebブラウザがあればアクセスできます。
このため、多くの企業でクラウドサービスを活用するケースが増えています。例えばメールはGoogleの「Gmail」を利用し、「Dropbox」で業務用のファイルを共有し、マイクロソフトの「Office365」やセールスフォースの「salesforce.com」で業務を行うといったワークスタイルが一般化しつつあります。また、グループウェアがクラウドに対応するケースも多く、勤怠管理などもクラウドで行えます。これまでクラウド利用に否定的だった金融業界や保険業界においても導入事例が増えています。
しかし一方で、クラウドサービスへの不安もあります。それは、データがしっかりと守られているか、不正にアクセスされることはないか、システムに脆弱性はないかといったことです。さらに企業利用の場合は、コンプライアンスやセキュリティ基準に準拠しているか、サービスのSLA(サービス保証品質)はどの程度か、本当に信頼できるのかといったことがあるでしょう。
クラウドサービスに求められる
セキュリティ対策
クラウドサービス利用におけるセキュリティ被害には、「標的型攻撃」「アカウント情報の流出」「機密情報漏えい」「スパムメールの配信」「ファイルの改ざん」といったものが挙げられます。クラウドサービスは基本的に、IDとパスワードの組み合わせでユーザー認証を行っています。このため、IDとパスワードの情報が流出してしまうと、第三者が本人になりすましてサービスにログインし、利用されてしまうことになります。
前述のセキュリティ被害のうち、主に利用者のIDやパスワードを盗み出そうというものが「標的型攻撃」であり、なりすましなどによる悪意のある操作によって「アカウント情報の流出」「機密情報漏えい」「スパムメールの配信」「ファイルの改ざん」などが行われます。まずは容易にログイン情報を推測されないために、より複雑なパスワードを設定できるサービスを選ぶべきといえます。また、機密性の高い情報を扱う場合には、多要素認証に対応しているかもポイントになります。
また、SLAも重要なポイントです。クラウドサービスを業務に利用する場合には、100%稼働が求められる業務に対して95%のSLAでは不安です。クラウドサービスのバックアップ体制なども確認しておく必要があるでしょう。利用者が集中したときに動作が遅くなるようでは困りますし、クラウドサービスを狙うDDoS攻撃もあります。可用性だけでなく堅牢性も重要なポイントになるのです。
SAP Concurのセキュリティ戦略とは
出張・経費管理クラウドシステム「SAP Concur」では、企業の財務に関するデータを扱うため、セキュリティ対策には高い意識を持っています。SAP Concur社では「セキュリティに妥協なし」と考えており、同社の「Concur Trust Platform」は、最高レベルのデータセキュリティを保証するために、監査を経たプロセスとコントロールのフレームワークで動作し、企業の情報を不正アクセスから保護するとしています。
SAP Concurはセキュリティ戦略として「サービス管理」「プライバシー管理」「セキュリティ管理」「アクセス管理」「脆弱性管理」「継続的な監視」「コンプライアンス管理」を推進しています。プライバシー管理では、必要最小限の個人情報(PII)を収集し、明記した目的にしか使用しないとしています。セキュリティ管理では、国際的に認知されているISO 27001のセキュリティ管理標準に基づいて構築され、同標準に応じて監査されています。アクセス管理では、設定の自由度が高いアクセス制御により、各社の経費精算ポリシーに基づき、正確なレベルでのアクセス制御の設定と管理を可能としています。
富士ソフトは、SAP Concurの国内第1号となるアライアンスパートナーであり、SAP Concur専門のチームが基幹システム連携などに対応、6,000人規模の自社導入実績はアジア最大級となっています。また、SAP Concurの初期導入から運用保守までトータルにサポートします。SAP Concur導入時のテストや外部システムとの連携などにお悩みの場合には、ぜひご相談ください。
「Concur® Japan Partner Award 2024」においてパブリックパートナーアワードを受賞
当社は「Concur Japan Partner Award 2024」にて、「パブリックパートナーアワード」を受賞しました。
国内で初めて自治体のお客様にConcur Invoiceを導入した実績と、大学マーケット深耕に向けた営業活動など、コンカーのパブリックビジネスをパートナーとしてリードしたことを評価高く評価いただきました。
詳細はこちら>