クラウドセキュリティへのアプローチ方法とSAP S/4HANA Cloudのセキュリティ実装


クラウドを利用して効果的なシステムを効率的に構築したいと考えているが、セキュリティの不安が払拭できず本格導入に至っていない企業やシステム担当者に対してセキュリティリスクの考え方を説明します。

1. クラウドセキュリティの現状と考え方

1-1. 現状

クラウドファーストと呼ばれる考え方が広まってきたことに象徴されるように、クラウドを適切に活用することは、効果的な企業システムを効率的に構築、運用する際のキーになることは明らかです。しかし、総務省が実施した調査結果(図表1)などを参照すると、情報漏洩などセキュリティが不安でクラウドを活用していない企業が高い割合で存在します。

Cloud_G
図表1 : クラウドを利用しない理由の推移[出所:通信利用動向調査報告書(総務省)]

1-2. 不安を払拭するには、適切なリスクの評価/理解が必要

セキュリティが不安でクラウドを活用できない大きな理由は、クラウドのセキュリティを適切に評価/理解(リスクを適切に評価/理解)する土台が整っていないことだと考えています。リスクは、分からない場合に最も恐怖を感じます。事前に存在するリスクを具体的に把握し、その対策方法が分かれば恐怖を低減できます。これは、私たちの実際の生活に置き換えると理解しやすくなります。例えば自動車を考えると、漠然と徒歩より速度が速いから不安な場合と、衝突するという危険(リスク)があるが、それをエアバッグ、自動ブレーキなどで対策している場合の比較です。

1-3. 適切な評価/理解を実施しないと新たなリスクが顕在化

ここで注意したいことが、新しい技術を適切に評価/理解せずに利用しなかった場合に新たなリスクが生じる場合があることです。例えば、仮に、ある航空会社が、漠然とした不安でジェット飛行機を採用しない場合、すなわち旅客時間の短縮を捨てる選択をした場合、この航空会社に、ジェット飛行機を利用した航空会社との競争に勝てなくなる新たなリスクが顕在化します。
この他のクラウドに関連する例として、企業買収によって新規事業分野への進出時間を短縮した場合、すなわち買収で時間を買った場合のIT基盤統合を考えます。クラウドを利用しない場合、システム統合に年単位の時間がかかることが常識でした。しかし、最近は、クラウドを活用し以前と比較して短期で完成する事例(2層ERPアーキテクチャの事例)もあります。クラウドのセキュリティを適切に評価/理解をせず従来の方法に固執した選択を実施すると、経営判断のスピードが遅くなる新たなリスクが顕在化します。

1-4. 重要なことは、適切にリスクの評価/理解を実施すること

もちろん、クラウドセキュリティを適切に評価/理解をした結果としてクラウドを利用しない企業判断となる場合もあると考えています。重要なのは適切に評価/理解をすることです。

1-5. 今回は、クラウド特有のリスクの評価/理解を中心に説明

今回は、SAP S/4HANA パブリッククラウドオプションを例にクラウドサービスのセキュリティリスクおよびそれらのリスク対して実装している対策を簡単に説明します。なお、SAPは、SAP S/4HANAの導入形式として、オンプレミス、SAP HANA Enterprise Cloud(HEC)、プライベートクラウドオプションおよびパブリッククラウドオプションの4つの形式を提供しており、各企業が適した導入形式を選択できる準備をしています。各導入形式の概要は、こちらのブログを参照してください。

2. リスクの評価/理解の考え方

2-1. クラウドサービスの特徴とリスク

クラウドサービスのセキュリティリスクを検討する上でクラウドサービスの特徴を理解することが重要です。経済産業省、総務省、アメリカ国立標準技術研究所(NIST)、欧州ネットワーク・情報セキュリティ機関(ENISA)などがクラウドサービスを定義しています。これらを参考にして、今回はクラウドサービスの特徴を以下の3つに整理します。また、その特徴を考慮しクラウドサービスのリスクを洗い出します。今回は、リスク評価/理解のプロセスを理解することに主眼に置いているため、5つのクラウドサービス特有のリスクに的を絞りそれに対するSAP S/4HANA パブリッククラウドオプション(以下、S/4HANA Cloud)で実装されている対策を簡単に解説します。

2-1-1. クラウドの特徴1 : 共有リソース(マルチテナント)

同じシステムリソースを複数のクラウドサービス利用者(以下、利用者)で共同利用します。これを考慮すると次のようなリスクを洗い出すことができます。

リスク1 : テナントの分離

前述の通りクラウドサービスは複数利用者で同一のシステムリソースを共有しています。これを考慮すると、システム内のデータアクセスを適切に制御しないと情報漏洩が発生します。例えば、A利用者のデータにB利用者はアクセスできない仕組みが必要です。テナント分離の方法は一般的に次の4つの方法があります。
1) 利用者ごとにデータベース(物理)を用意する方法
2) 利用者ごとにデータベース(仮想)を用意する方法
3) 共有のデータベースを用意し、利用者ごとのスキーマを利用する方法
4) 共有のデータベースを用意し、共有のスキーマを利用し利用者をIDで識別する方法
上述以外にもテナント分離の方法は、多数の方法が存在します。しかし、一般的に安全性と効率性はトレードオフの関係にあります(図表2)。利用者は、クラウドサービスプロバイダ(以下、CSP)のテナント分離の仕組みを理解し適切にリスクをコントロール/モニタリングする必要があります。また、上記の4)の方法を利用している場合は、利用者側で識別に利用するIDが漏洩しないように適切な管理を実施する必要がある場合があります。

MultiTenant
図表2 : テナント分離方法、安全性および効率性の関係

S/4HANA Cloudでの対策

セキュリティの関係上、S/4HANA Cloudでのテナント分離方法は一般に公開できませんが、上記の方法を複合的に組み合わせてテナント分離を実施しています。また、S/4HANA Cloudで利用されているデータベースHANAは、SAPが開発したデータベースであるためデータベースセキュリティのベストプラクティスを適用しています。

リスク2: 他利用者の影響

同じリソースを複数利用者で共有しているため、他利用者のリスクを共有する場合があります。具体的に考えられることは、他の利用者が外部からうけた不正アクセスの影響が、自社利用サービスにもおよびデータ、プログラムなどの被害を受けることや、悪意のある他利用者が自社利用サービスに影響をおよぼしシステムが利用できないなどの被害を受けることです。

S/4HANA Cloudでの対策

悪意ある第三者からの不正アクセスを防ぐためにネットワーク境界に複数のセキュリティデバイスを配置し、内部ネットワークをセグメント化しています。また、DDoS(分散型サービス妨害攻撃)等の攻撃に対しては適切なネットワークキャパシティを確保しサービスに影響がおよびにくい構成にしています。利用者間の影響については、テナント分離を適切に実施し、1利用者への影響が全体におよびにくい構成にしています。

リスク3: 監査実施上の問題

企業運営に必要な監査がCSPによって実施されない、または利用者が実施できないリスクです。

S/4HANA Cloudでの対策

S/4HANA Cloudは、第三者機関による監査を実施し以下のレポートおよび認証を受けています。
SOC 1 Type II
SOC 2 Type II
ISO27001
これらのレポートは、利用者がSAPに申し出ることによって参照可能です。また、ISO27001の認証の証跡は以下で確認可能です。ISO27001証跡
また、外部からの脆弱性診断も利用者の申請を検討し許可するプロセスを用意しています。

2-1-2. クラウドの特徴2 : 企業の管理範囲の減少

クラウドサービスに関連するシステムは、一般的にCSPが用意、管理します。従って、企業が管理可能な範囲が減少します。

リスク4 : ガバナンスの低下

CSPが用意、管理するシステムのガバナンスはCSPの責任範囲になります。従って、CSPのガバナンスが欠落していることによって利用者に悪影響をおよぼす可能性があります。例えば、利用者が要求している水準のガバナンスが提供できないなどです。

S/4HANA Cloudでの対策

SAPは、情報セキュリティ基本方針(SAP Global Security Policy)を頂点とした各種セキュリティ文書を整備し実行しています。また、これらの文書は各種業界標準に準拠する形で整備されています(図表4)。

SecurityPolicy
図表3 : SAPのセキュリティ文書体系

SecurityPolicy1
図表4 : SAPのセキュリティ文書と業界標準の関係

2-1-3. クラウドの特徴3 : 複数事業者が関連

CSPが他の事業者のシステムやサービスを利用してサービスを構築する場合がほとんどです。例えば、データセンタやネットワークの供給を他社からうけ、その上に業務システムを構築しサービスを提供する場合などです。

リスク5 : 事業者間の責任、役割分担

CSP間の責任役割、分担が不明確なために発生するリスクです。具体的には、アプリケーションをクラウドサービスとして利用する場合にアプリケーションは高いレベルの管理、コントロールが提供されていてもそれを支えるインフラの管理、コントロールが低いため全体としては低い管理、コントロールレベルになってしまうことや、CSPとセキュリティ要件等の契約を締結している場合も別の事業者からのサービス提供を受けている部分は対象外となっているなどです。

S/4HANA Cloudでの対策

責任範囲および要件を文書化し、他事業者に業務を委託する場合はこの要件を満たしていることを証明する証拠を確認しています。個人情報を扱う他事業者に対してはより厳密に情報取り扱い方法を評価するプロセスを設けています。

2-2. CSPが正しく情報を伝えることが重要

SAPはクラウドセキュリティを適切に評価/理解しシステムの適切な導入形式を選択して頂くために、CSPからクラウドサービスのリスクおよびそれに対してCSPが実装している対策を説明することが必要だと考えています。
SAPはその取組の一環として、クラウドセキュリティに関する情報(各サービスのステータス、セキュリティへの取組、データ保護とプライバシーへの取組、標準契約書など)を、Cloud Trust Centerで積極的に公開しています。

まとめ

効果的な企業システムを効率的に構築するために、漠然としたリスク認識でクラウドをシステム導入形式の選択肢から外すのではなく、適切なセキュリティリスクの評価/理解を実施することが必須です。そのセキュリティリスクの洗い出しの進め方の一部とSAPが取組んでいるクラウドセキュリティ対策の一部をS/4HANA Cloudを例に紹介しました。この考え方がシステム導入形式を選択する上で参考になればと考えています。

ご質問はチャットWebからも受け付けております。お気軽にお問い合わせください。

●お問い合わせ先
チャットで質問する
Web問い合わせフォーム
電話: 0120-554-881(受付時間:平日 9:00~18:00)