SAPではSAPセキュリティを考えるためのリファレンスモデルとしてSecure Operations Mapを公開しています。
Secure Operation MapはSAPのセキュリティについて考え、セキュリティシステムを構築するためベースとなるリファレンスモデルであり、5つのレイヤ、16のトラックで構成されています。
主にセキュリティの運用面(つまり、システムランドスケープを安全に維持および、運用するために顧客またはサービスプロバイダーが考慮しなければならないタスクと考慮事項)に焦点を当てたものとなっています。
上からOrganization、Process、Application、System、Environmentというレイヤで構成されています。Organization、Processは社内のセキュリティ方針や法的な規制に関する部分、Environmentはネットワークやフロンドエンドなどの所謂インフラと呼ばれている領域の一般的なセキュリティ対策について検討する部分になります。Application、SystemレイヤがSAPシステムの機能・運用に主に関わる部分となります。
Secure Operation Map
以下、それぞれのレイヤ/トラックについて説明をしていきます。
Organizationレイヤ
OrganizationレイヤはでAwareness、Security Governance、Risk Managementの3つの観点で、SAPシステムやクラウドソリューションの導入や運用に影響を与えうる、セキュリティ上のニーズと要件を確認します。
Awareness:
セキュリティ向上のために制定した規程や手順、仕組みなどの無視や意図的な迂回などが実施された場合、企業のセキュリティ全体を危険にさらすことになり得ます。このためトレーニングなどを通じて従業員のセキュリティに対する意識や理解を高める活動はセキュリティ対策の基本として非常に大切です。一般的にセキュリティ機能の実装とユーザビリティは相反する関係にあり、セキュリティを強化するとユーザビリティは下がります。従業員のセキュリティ意識のレベルが実装するセキュリティ機能のレベルやユーザビリティに影響を与えます。
Security Governance:
セキュリティに関するガバナンス体制、規程や手順に関する全般事項と、それらのSAPソリューションの導入、設定、運用に与える影響の検討を行います。
Risk Management:
リスクの特定、処理、緩和、解決に関する全般事項と、それに対するSAPソリューションやサービスの適用の検討を行います。
Processレイヤ
2番目のレイヤはProcessレイヤで、Organizationレイヤで明らかになったセキュリティ方針をコンプライアンスの観点まで拡張して対応を検討します。
Regulatory Process Compliance:
HIPAA、Basel II、SoXといった法的規制を遵守するためのSAPアプリケーションの利用方法を検討します。
Data Privacy & Protection:
GDPRに代表されるDPP(Data Protection & Privacy)関連規制に準拠するためのSAPソリューションの利用について検討します。例えばブロックと削除、同意管理、アクセスと検証の権利などの機能の実装について検討します。
Audit & Fraud Management:
法的な規制を遵守するため、不正の検知や不正を防止するためのコントロールが適切に動作していることを担保するための追加機能が必要となる場合があります。監査および不正検出を円滑に実施し、対象のアプリケーションに関する正しいデータを提供するためのソリューションについて検討します。
Applicationレイヤ
3番目のApplicationレイヤは利用可能なセキュリティ機能やセキュリティソリューションをどう適用していくのかを検討するレイヤです。
User & Identity Management:
システムランドスケープのユーザーアカウントのライフサイクル管理(プロビジョニング、メンテナンス、削除やこれらの承認)や特定のユーザー権限の割り当てと取り消しなどのメンテナンスについて検討します。また、テクニカルユーザーや緊急ユーザーなどについても検討を行います。
ここに該当するソリューション、サービスとしては SAP Access Control、SAP Identity Management、SAP Cloud Identity Governance、Identity Provisioningなどが存在し、これらのソリューションやサービスの利用や、これらを連携させてアイデンティティ管理をどのように実現していくかを検討します。
Authentication and Single Sign On:
ここではユーザーの真正性を担保するための対策として、例えばパスワード認証やSingle Sign-Onの利用などについて検討を行います。また、HTTP ベース接続用の TLS や RFC 接続用の SNC などの通信セキュリティメカニズムでは、システム間、およびクライアントとの本格的な通信がサポートされるため、これらのメカニズムもここに含まれます。
Roles & Authorizations:
ここでは、権限およびロールについての全般について検討を行います。代表的なものとして、権限の定義、配布、保守やハイブリッドランドスケープ内のシステム全体での権限方針、職務分掌などがあります。また、コンバージョンやアップグレードの際の権限の調整の検討についても検討すべきトピックとなります。
Custom Code Security:
お客様が作成したカスタムコードのセキュリティについて検討を行います。
カスタムコードはSAPによるセキュリティ品質管理の対象外となるため、お客様自身によるセキュリティ対策が必要となります。これはオンプレミス、クラウドを問わず、カスタムコードを利用している場合には必ずついて回るリスクです。
Custom Code Securityには大きく2つの観点があります。
一つ目は適切なカスタムコード管理の実施です。
業務要件を満たすため多数のカスタムコードを作成されているケースが多く見られますが、これらのコードの中には既に使われなくなり、そのためにメンテナンスも実施されていないものを多数存在します。また、メンテナンスもされていないカスタムコードには脆弱性をはらんだものが存在する可能性も否定できません。
このため利用されていないカスタムコード、不要なカスタムコードを削除し、必要なカスタムコードを適切なカスタムコードライフサイクル管理で維持することが、セキュリティの観点からも重要なポイントとなります。SAP Solution Managerのカスタムコード管理機能をご利用頂く事でカスタムコードの利用状況などを把握する事が可能です。
カスタムコードを必要なもののみに絞り込んだら、次のステップとしてカスタムコードの脆弱性確認を行います。
ABAPでは Code Vulnerability Analyzer (CVA)、Non-ABAPについてはSAP Fortify by Micro Focus がカスタムコードの脆弱性を発見するためのツールとしてご利用頂けます。
CVAはABAPワークベンチの機能の一部で、あらかじめ定義されているセキュリティ上脆弱性のあるコードパターンとカスタムコードとの突合を行うことによって、アドオン内の脆弱なコーディングをチェックする機能です。
こちらも定義済みのコードパターンとの突合により脆弱性のあるコードの特定を行うことが可能です。
こういった取り組みをして頂く事でカスタムコードのセキュリティを強固なものとしていくことができます。
Systemレイヤ
4つ目のレイヤはSystemレイヤと呼ばれ、3つのトラックで構成されています。システムレイヤはSAPソリューションが稼働するための前提となるSAPプラットフォームのセキュリティに関する部分です。
Security Hardening:
このセキュリティハードニングトラックでは、SAPシステムのセキュリティを確保するため、セキュリティ関連パラメータおよびセキュリティ関連のコンフィグの適切な設定を第一に扱います。 更に、不要なサービスの無効化やSAPGUIなどのフロントエンドコンポーネント、SAProuter や SAP Cloud Connectorなどのコンポーネントのセキュリティ対策についても検討を行います。
セキュリティパラメータを適切に設定するためには、SAPの推奨値とお客様のセキュリティポリシーの両者を勘案したパラメータ設定を定義する事が大事です。この定義をお客様のセキュリティベースラインと言います。
セキュリティベースラインはお客様の各SAPで遵守しなくてはいけないSAPセキュリティ設定を定義したものであり、これがすべてのシステムで遵守されているかをモニタリングする事はセキュリティを確保する上で大変重要となります。
このセキュリティベースラインはSAP EarlyWath Alertでの指摘事項、SAPノートで提供されているセキュリティベースラインテンプレート、SAP Security Optimization Service の分析結果、System RecommendationsでのSAPセキュリティノート適用要否の分析結果に、お客様固有のセキュリティ要件を加味して作成します。
セキュリティベースラインの遵守状況確認にはSAP Solution Manager の Configuration Validation 機能をご利用頂くことで自動化されたベースライン遵守状況の確認を行う事が可能です。
Secure SAP Code:
SAPは、安全なコードを開発してお客様に提供するため、セキュリティ品質管理に多大な投資をしています。 それにもかかわらず、新たな脆弱性が確認されることがあり、これに対応するために定期的なセキュリティパッチのリリースを行っています。新規に確認された脆弱性に対応するため、お客様はセキュリティアップデートを定期的に実施頂くことを推奨しています。
セキュリティノートの選定には、SAP Solution Manager の System Recommendations機能をご利用頂く事で対象となるシステムのリリース、パッチレベルなどに応じたセキュリティノートを判別することができ、セキュリティパッチの判別負荷の省力化と短縮化ができ、迅速なセキュリティ対策が可能となります。
Security Monitoring & Forensics:
セキュリティパラメータの設定、セキュリティ機能の利用などのプロアクティブなセキュリティ対策(予防的コントロール)のみではなく、セキュリティの脆弱性や違反発生時にそれを特定し、適切に対処できるようにする事後対応型のセキュリティメカニズム(発見的コントロール)を利用する必要があります。
つまり、ログによる不正なシステム操作の確認やリアルタイムでのモニタリングが有効な手段となります。
ログのレビューと検証は、セキュリティインシデントの発見や発生した際の状況把握にとって有効な手段となります。そのためには、ログの取得レベルの決定、運用方法、ログの内容の確認方法などを事前に整備する必要があります。
また、脅威のリアルタイム検知やフォレンジック分析をするためのソリューションとして SAP Enterprise Threat Detection (ETD) が用意されており、このようなツールの利用も検討対象となります。
Environmentレイヤ
5番目はEnvironmentレイヤと呼ばれ、一般的な技術的な部分のセキュリティについて検討するレイヤとなります。SAP固有の考慮点はSecure Operation Mapの他のトラックで検討を行い、EnvironmentレイヤではSAPシステムに依存しない一般的なインフラストラクチャセキュリティについて検討します。
Network Security:
ネットワークインフラストラクチャのセキュリティについて検討するトラックです。例としてネットワークの保護や監視メカニズムの導入などが挙げられます。また、侵入検知および防止システムによる監視についても検討を行います。
Operating System & Database Security:
OS および DB のセキュリティ設定が不十分な場合、上位で実行されているアプリケーションにはセキュリティリスクが伴います。ファイルシステムレベルの権限、データベースユーザーのセキュリティ、テナント分離、保存データの暗号化方法などを含め、OSおよびDBのセキュリティについて検討を行います。
Client Security:
クライアントの設定、アップデート、コントロール、監視、ブラウザの実行ルールなどのクライアント側でのセキュリティコントロールについて検討します。
まとめ
このようにSAPセキュリティについて検討する際には様々な重要な観点が存在します。
詳細に検討をすべき領域が既に明らかになっている場合は個別の領域に対して詳細な検討を進めて頂いても問題ありませんが、SAPのセキュリティを全体的に検討・見直をおこなう場合には、Secure Operation Mapをご利用頂く事で、重要な領域に対する検討に抜け漏れがないようにすることができます。
Secure Operation Mapはリファレンスモデルであるため、技術的な詳細は提供されていませんが、Secure Operation Mapで提供されている観点をスタートラインとして、より技術的な詳細の検討に進んで頂く事で、包括的なSAPセキュリティの検討を進める一助となります。
関連情報
SAPよりご提供可能なセキュリティ関連サービスの全体像については
SAP Security Optimizationサービスポートフォーリオをご確認ください。
また、SAPセキュリティ対策を進めるための最初のステップとして以下をご確認頂く事をお勧めいたします。
Secure Operation Map
SAP EarlyWatch Alertの概要
SAP Security Optimization Self-Service サンプルレポート
SAP Security Baseline Template
System Recommendations:セキュリティノートを特定するためのSAP Solution Manager の機能
Configuration Validation:セキュリティベースラインを確認するためのSAP Solution Manager の機能