SCSK、JCBのSalesforce導入におけるIT統制活動を支援

　SCSK株式会社は9日、株式会社ジェーシービー（以下、JCB）に対して、Salesforce導入時のIT統制活動を支援したと発表した。

　JCBでは、システム開発の高速化を図るための一手段として、システム部門がSalesforceの導入検討を開始したが、一部のユーザー部門ではすでに導入・拡大を検討していたという。またシステム部門およびリスク管理部門では、各部門が独自にSalesforceシステムの構築・拡大することによって生じる潜在的なリスクを危ぶみ、統制ルールの作成に関して着手・検討をしていたとのこと。

　そうした中でSCSKは、JCBが保有する開発標準ルールをもとに、Salesforceに対応した統制ルール作成をするなど、JCB社内で安全・安心にSalesforceを導入するためのIT統制活動を、JCBとの協業のもとで推進した。

　ここで作成された統制ルールについては、実案件に適用して妥当性を評価・改善したほか、統制ルールに基づき「適合性評価」「リスク評価」「セキュリティ対策の評価」を実施し、各案件で統制ルールに沿った、適切なSalesforceの導入を行っているかの確認・チェックを行っている。

　このうち適合性評価では、Salesforce導入の標準プロセスを一元化し、要求定義・要件定義工程段階において、業務要件や案件特性に対するSalesforceの適合性を評価することにより、過度なプログラミング開発を抑制し、コスト低減を図っている。

　2つ目のリスク評価では、各案件の難易度を把握し、Salesforce導入におけるリスクの高低を評価する仕組みにより、開発方針の策定や設計品質の担保を図った。なお、高リスク案件についてはシステム部門が案件を推進する一方、低リスク案件については、ユーザー部門が推進している案件をシステム部門がモニタリングすることで、品質を担保する。

　3つ目のセキュリティ対策の評価は、クラウドサービス導入の観点で、外部からの不正アクセスや内部不正などに対するセキュリティ対策が施された設計かどうかを評価するもの。これにより、Salesforce上に格納された重要情報に関しての情報漏えいリスクを排除するとしている。

　SCSKでは、こうした活動を経てJCBの営業支援システムの導入を実施し、本番稼働が2019年10月より開始された。なお、統制ルール施行前に開発した案件と比較するとプログラミング開発の割合を約半分に削減。Salesforceを導入する上で順守すべきルール項目についても確実に準拠できたという。さらに、統制ルールの適用によってITガバナンスの維持強化を実現しており、低コストかつ高品質なSalesforce案件の導入が可能になったとした。

　SCSKでは今後、同様の課題に直面している企業などに向け、IT統制活動の支援サービスを提供していく考え。なお同サービスは、新規にSalesforce導入を検討中の企業だけでなく、すでにSalesforceを導入している企業にも適応できるとのことだ。