以前、SAPのセキュリティを考える際のリファレンスモデルであるSecure Operation Mapについてご紹介いたしました(
Secure Operation Mapのご紹介)が、本記事ではSecure Operation Mapのセキュリティハードニングに関する内容として、お客様システムのセキュリティ設定状況の確認とセキュリティベースラインの定義のために有用なSAP EarlyWatch Alertのセキュリティパート とSecurity Optimizationサービスについてご紹介致します。
セキュリティベースライン
セキュリティベースラインとは全てのSAPシステムに対して、最低限設定すべきセキュリティ設定を定義したものになります。つまり、システムごとに個別のリスクアセスメントなどを実施せずとも、システム共通で絶対に適用が必要な基本的なセキュリティ設定を定義したものです。このセキュリティベースラインはセキュリティベースラインテンプレート、今回ご紹介するSAP EarlyWatch AlertやSecurity Optimizationサービス、お客様のセキュリティ方針などを勘案し、お客様の状況にあわせて定義して頂きます。
このセキュリティベースラインを全てのSAPシステムに適用し、適用状況をモニタリングする事でSAPシステムのセキュリティレベルを一定以上に保つことが可能です。また、このベースラインではセキュリティ設定が不足するシステムについては個別システムに対する追加のセキュリティ設定を定義していきます。
SAP EarlyWatch Alertのセキュリティパート
SAP EarlyWatch Alert は SAP システムの重要な管理領域を分析する自動サービスです。多くのお客様でSAP EarlyWatch Alertをご利用頂いているため、既にご存じかと思いますが、SAP EarlyWatch Alertにはセキュリティーパートが存在し、お客様SAPシステムのセキュリティ上基本的かつ重要なポイントをチェックした結果が表示されています。
以下、SAP EarlyWatch Alertでのセキュリティチェックの例をいくつかご紹介します
ABAPパスワードポリシー
SAPシステムにはパスワードルールを制御するためのパラメータが多数存在します。
この例ではlogin/password_max_idle_initialというパラメータに関するチェックを実施しています。
login/password_max_idle_initialはパスワード初期化後、ユーザログインが行われるまでの期間を指定するパラメータです。パスワード初期化後、このパラメータで設定された期間内にログインが行われない場合は初期化したパスワードは無効となります。
このパラメータを設定する事で、初期パスワードを長期間変更せずに放置されていることによる不正アクセスのリスクを低減することが可能です。
SAP EarlyWatch Alertでは14日を超える値が設定されている場合にレポートで指摘を行います。
スーパーユーザアカウント
他にもSAP EarlyWatch Alertではベーシス領域の重要な権限に関するチェックが行われます。これらのチェックはベーシス領域の権限に限定され、業務的な観点でのチェック(職務分掌チェックなど)ではない事にご注意ください。
以下にスーパーユーザアカウントチェックの例を記載します。このチェックではクライアントごとにSAP_ALLを保有するユーザアカウント数の確認を行います。
この結果から、把握しているスーパーユーザ数よりも多くのスーパーユーザがシステム内に存在していない事をご確認頂く事ができます。
スーパーユーザは強力な権限を保有するため、把握しているよりも多くのスーパーユーザが存在する事が確認された場合は、すみやかに不明なスーパーユーザの特定を行っていただき、必要に応じて権限のはく奪、ユーザIDのロックなどの措置をとることで、システム上での不正な操作のリスクを軽減する事ができます。
また、総ユーザ数に対してスーパーユーザ数の割合が多い場合、これらのユーザIDが、スーパーユーザ権限を持つことが本当に妥当なのかを評価頂き、権限の制限などの対策を講じて頂く事もセキュリティ上重要となります。
デバッグ/置換権限
以下はSAP EarlyWatch Alertでチェックされる重要なベーシス権限の一つ、デバッグおよび置換の権限チェックの例を示しています。
本番機では同一のユーザがデバッグと値の置換の権限を保有している場合、デバッグモードで業務処理を実行し、特定の項目の値を置換することで不正を行う事が可能です。
この権限(デバッグおよび値の置換)を保有しているユーザが存在する場合、データの真正性が損なわれるリスクがあります。
通常の業務ユーザIDにはこれらの権限は不要となるため、SAP EarlyWatch Alertでこの指摘が表示されている場合は、該当する権限を権限ロールやユーザIDから削除する事をお勧め致します。
障害分析時にはデバッグをせざるを得ないためデバッグ権限を完全に排除する事は困難ですが、デバッグ権限と同時に値の置換権限を付与しない事、デバッグ権限を持つユーザIDは通常ロックしておき必要となった際に払い出す、デバッグが必要となった場合のみ、デバッグ権限を付与するなどの対応を行う事で、リスクを低減する事が可能です。
この権限は監査でも指摘されることが多ため、この指摘が表示されている場合には早急にご対応頂く事をお勧めいたします。
このように、SAP EarlyWatch Alertでは重要なセキュリティ設定に関するチェックを実施し、問題の確認された箇所の指摘を行います。現在のシステムのセキュリティ設定状況を確認するため、SAP EarlyWatch Alertのセキュリティパートをご活用頂く事をお勧めいたします。
SAP Security Optimizationサービス
本サービスはSAPのエンジニアが提供するリモートサービスとなっており、SAPシステムのセキュリティ設定およびクリティカルなベーシス権限に対してSAP EarlyWatch Alertよりも広範なチェックを実施する事ができます。(チェック内容の詳細は
SAP Security Optimizationサンプルレポートよりご確認頂けます)
また、Enterprise SupportやPremium Engagementのお客様は、お客様のSAP Solution Managerを使用して、セルフサービスとしてSecurity Optimizationを実施頂く事が可能です。定期的にSAPシステムのセキュリティチェックを実施される場合には、セルフサービスとしてお客様ご自身でチェックを実施されることをお勧めいたします。
まとめ
このように、SAP EarlyWatch Alertのセキュリティパートと、SAP Security OptimizationではSAPシステムの重要なセキュリティ設定に関するチェックを実施します。
SAPシステムのセキュリティ強化のため、まずこれらのサービスでチェックを行う重要なセキュリティ設定の確認と対応を行っていただく事をお勧めいたします。
更に、これらのサービス結果をベースにどのSAPシステムでも共通で適用すべきセキュリティ設定(セキュリティベースライン)を定義し、セキュリティベースラインの適用・モニタリングをしていくことでセキュアなSAPシステムの運用を行う事ができます。
SAP EarlyWatch AlertやSAP Security Optimizationサービスの推奨事項は必ずしも全て適用する必要はなく、お客様のセキュリティ方針に応じて適用するセキュリティパラメータの設定値の調整やSAP推奨事項の非採用などの決定をして頂いて構いませんが、特にSAPの推奨事項と異なる値を適用する場合や、推奨を採用しない場合などは、そこに存在する潜在的なリスクを把握頂き、リスクをコントロールするための適切な代替的コントロールなどの対策を講じて頂く事が重要です。
参考情報
2253549 - The SAP Security Baseline Template
863362 - Security checks in SAP EarlyWatch Alert, EarlyWatch and GoingLive sessions
SAP Security Optimizationサンプルレポート
SAP Security Optimization Self-serviceサンプルレポート
Secure Operation Mapのご紹介(Community Blog記事)