【Cyber Security対策のお勧め】第1回 :日本のSAPユーザーが置かれた現状

作成者:木下 史朗投稿日:2022年4月20日

  • このエントリーをはてなブックマークに追加

企業の基幹システムへのサイバー攻撃のニュース、それに伴う生産活動、決算、業績への悪影響、サプライチェーンに属する企業群全体への被害をよく目にするようになってきました。それに従ってSAPへの問合せも徐々に増えてきており、急ぎブログ化の必要性を感じシリーズでお届けします。

狙われるSAPシステム

まず、サイバー攻撃が何故起きるのか?ご存じでしょうか?それは、サイバー攻撃自体が大きなビジネスとして成り立っている事実があります。1つは盗んだ情報の転売、2つ目は攻撃による身代金というビジネスモデルだと言われています。

そう考えると、取引情報、個人情報など機密情報の宝の山であるSAPシステム、受注・出荷・決算業務など絶対止めてはいけない企業の基幹システムであるSAPシステムは恰好の攻撃ターゲットになりやすいのです。日本のお客様のSAP On Premiseシステムも、不正アクセスを受けただけでなく、攻撃によるシステムダウンも報告されるようになってきています。高度化する攻撃の手口ですが、最近ではABAPノウハウも悪用され、外部から不正なソースコードを埋め込まれる手口も報告されています。

 

日本固有の問題

コロナ禍で明るみになった日本のデジタル化の遅れですが、残念ながら、日本のSAPシステムも(英語圏と比べると特に)セキュリティ対策に置いて数段遅れていると言わざるを得ません。様々な理由が思い当たりますが、1つは10年前後手を入れてないような塩漬けのSAPシステムが非常に多い。よってセキュリティパッチを当てるにも腰がどうしても重くなる現状があると思います。セキュリティNoteを当てるために、前提Noteが多数存在し半年から2年かかってしまうという笑えない状態も起きています。

またGlobalの名だたる企業がGlobalインスタンス化、ERPの集約化を既に終えているにも関わらず、日本企業では、まだ複雑なERPのLandscapeに悩まされていて集約化・全体最適化もGlobalから数段立ち遅れている。そのためまだまだSAPシステムへの運用負荷が大きいのが日本の課題です。

よく日本は7割のIT技術者がベンダーに在籍していて、USと比べると真逆と言われています。これもセキュリティ対策の遅れにつながっているのではと個人的に思います。やはりベンダーの立場からは主導しにくい話題でもあり、やはりどこかお客様のセキュリティ対策にはベンダーは様子見・他人事になってしまうものです。(我々自身への反省でもありますが)

例として、パスワード管理、権限管理も、重要なセキュリティ対策の1つですが、スーパーユーザ権限を持っている人が1システムで600人もいたり、3桁のパスワードを運用してしまっていたりというSAPのお客様もいらっしゃいました。お客様のビジネスに直接は責任を持てないベンダーに完全にお任せだと、やはりこういう事態も起きてしまいかねないと思った方がいいでしょう。

 

外圧

欧米では、サプライチェーンに属する企業にかなり厳格なセキュリティ対策を求めていたり、そのためにシステムの塩漬けが許されなかったり、法律によってセキュリティパッチの運用がルール化されている例も段々増えてきています。日本も今海外の法律を参考にして色々な案が練られていますが、近い将来外的な要因にてセキュリティ対策の必然性に迫られる可能性は高くなってきています。

下記に海外諸国のセキュリティ対策関連法の例を示します。

第2回以降では、どうやったらこれらの課題を克服できるか話を進めていきます。

免責事項:上記は、情報提供のみを目的としています。内容は予告なしに変更される場合があり、SAP は内容に誤りがないことを保証するものではありません。SAPは、法的または規制上のアドバイスを提供する立場ではございませんので、助言等は各企業で対応をお願いします。

  • このエントリーをはてなブックマークに追加

連記事

SAPからのご案内

SAPジャパンブログ通信

ブログ記事の最新情報をメール配信しています。

以下のフォームより情報を入力し登録すると、メール配信が開始されます。

登録はこちら