【Cyber Security対策のお勧め】　第3回：SAPオンプレミスシステム考慮点

ここでは、SAPのオンプレミスシステム（特にSAP ERP、SAP S/4HANA）へ有効なCyber Security対策について紹介します。また、SAPのクラウドの中でもお客様がアプリケーション層は責任を持たないといけない、RISE with SAP S/4HANA Cloud, private editionの運用でも下記は参考にしていただけると思います。

SAP EarlyWatch® Alert活用の勧め

SAP Solution Managerで毎週自動出力されているSAP EarlyWatch Alertは、SAPシステムのセキュリティ診断の基本です。ユーザー権限管理上の甘い権限、甘いパスワード運用、ゲートウエイサーバーの設定上の問題点など基本的な診断をレポートしています。

この程度だったらすぐにでも取り掛かれそうな対策と思っていただいたでしょうか？ユーザー権限、パスワード、ゲートウエイはセキュリティ対策の基本中の基本ですので、是非今日・明日から参考にしてください。

SAP EarlyWatch Alertはパフォーマンスやシステム安定性の指標など、専門的な内容が多く、運用をベンダーにお任せしているお客様も多いかも知れません。ただ、このセキュリティの章はお客様の方針・考えに依存する内容で、ベンダーの立場から口出ししにくいものです。是非自社でご確認・対策をお勧めします。

SAPシステムのセキュリティパッチ

SAPは専門家やユーザーが発見した脆弱性に対し、アプリケーション層からDB層までSecurityパッチを毎月のように発表しています。毎月第2火曜のセキュリティパッチデーにリリースされるのが一般です。ただし、2021年12月に発覚した緊急度の高いApacheのLog4jの脆弱性に対しては3日目よりパッチのリリースを開始しました。最近では月に10件程度のセキュリティパッチをリリースしています。セキュリティパッチの中味はSAP ONE Support Launchpadの「SAPセキュリティノート」から見ることができます。ダイレクトリンクはこちらです。アクセスにはSユーザーIDが必要です。　→　　https://launchpad.support.sap.com/#/securitynotes

SAPでも、影響度の指標として、Global標準の脆弱性評価基準CVSSスコアを各セキュリティノートに示していますので参考にしてください。（日本の情報処理推進機構でも紹介されているCVSSスコア→https://www.ipa.go.jp/security/vuln/CVSS.html）

問題は、最初のうちはこれらセキュリティパッチの適用ができていても、塩漬け期間が長いと段々セキュリティパッチ適用が困難を極め、どんどん脆弱性を増すことです。次に、どのように塩漬けを回避するか、お客様の実践例を紹介したいと思います。

どうやってセキュリティパッチを活用するか？どうやってSAPシステム塩漬けを回避するか？

いくらセキュリティパッチやサポートパッケージを当ててシステムは最新に保ちましょう、と言われてもiOS等スマホソフト・パソコンソフトと違い簡単に行かないのが大規模なSAPシステムのつらいところです。下記のスライドは、セキュリティパッチ対策だけでなく、SAP環境をビジネス側のニーズとダイナミックに連動させるため、変化対応型のSAPシステムを実践しているお客様の声です。参考になれば幸いです。

方法論としていつでも動作確認に使えるテストシナリオを持っておくこと、テスト用自動化ツールを用意しておくことは共通項で見られました。また、導入がゴールでは無く、能動的・継続的に、分散したランドスケープの統合化や、さらなる全体最適化を目指されている点も共通項に思います。

変革のリーダーシップの方が、経営者の意図と上手く連動させChange Managementにかなりの時間を投資して取り組まれている事例、聞かせていただきいつも多くの感銘を受けます。SAPとしての傍観的な見方で恐縮ですが、多くのお客様でERP導入1回目では色々な面で不完全に終わってしまい、2度目以降で最適な使い方を実現されているお客様が多いと思います。（上記スライドの3，4，5，7のお客様も）

日本でERPへの取り組みが開始された当時は、ERPはある一定の標準化のツール、脱ホストのツール、会計システム、ある事業だけというケースが多く、ホストの焼き直しや、限定的導入に終わったケースが多かったと思います。今SAP S/4HANAを機に2巡目でもっと最適な活かし方をしたいと奮闘されているお客様が日本で多くいます。先行している欧米の例でも、2巡目以降に成功されているケース多いと実感しています。

SAPサポートよりの無償サービス、SAPサービスよりの有償サービスお品書き

こちらのセミナー録画、セミナー資料で、網羅的に、有償・無償サービスやサポート内容を解説しています。受注・出荷・納期回答・決算・カスタマーサービスなど、絶対止められない重要なSAPのオンプレミスシステムを運用されているお客様は是非参考にしていただきたいと思います。

例を上げると、SAP HANAに対するセキュリティチェックリスト、システム設定の一貫性をチェックするためのレポート(Configuration Validation)、SAPのサービスが提供しているベストプラクティスを元にしたサービスが網羅的に解説されています。

https://webinars.sap.com/jp/sap-japan-services-maruwakari/ja/iep071605security

セキュリティ対策を後押しするSAPソリューション

ユーザー権限の整合性、問題などをシステムが支援して抽出するSAP Access Controlは最も広くSAPユーザーに使われているソリューションの1つです。

https://blogs.sap.com/2019/12/06/sap-access-control-%E3%81%AE%E6%A6%82%E8%A6%81/

また、複数システム間のユーザー権限やユーザー管理のためのSAP Identity ManagementやSAP Single Sign-Onも、より一歩進んだ対策に有効です。

初心者のためのSAP Identity Management

初心者のためのSAP Single Sign-On

これらのソリューションのライセンスは有償ですのでご注意ください。

最後に

第1回、第2回リリースの後に、思いがけず数多くのSAPシステム関係者の方からフィードバックをいただきました。私自身、ブログでこれ程多くのコメントをいただいたのは初めてで、この場を借りて建設的なFeedbackの数々に御礼申し上げます。SAPとしてもより発展させ実践的なコンテンツの提供の必要性を感じております。