SAPユーザーが考慮すべきサイバー攻撃やセキュリティ対策は?

 2022.07.08  リアルテックジャパン株式会社

企業の重要データを一元管理する基幹システムは、サイバー攻撃を受けると大きな被害になる可能性があります。近年はサイバー攻撃も巧妙になっているため、どのような堅牢なシステムでもセキュリティを常に考えなくてはいけません。本記事では、SAPユーザーが考慮したいセキュリティ対策について解説します。

SAPアプリケーションを狙ったサイバー攻撃が展開されている

2021年4月、SAP社とサイバーセキュリティ企業のOnapsis社が、共同でサイバー攻撃に関する注意喚起を行いました。これはSAP社が提供するSAP Solution Managerに脆弱性が発見された問題と、さらにその脆弱性を狙ったサイバー攻撃が確認されたためです。

上記ソフトウェアの脆弱性はバージョン7.2に存在するもので、End User Experience Monitoringの認証機能で確認されています。「SAP」アプリケーションはERPやCRMなど、企業における重要なプロセスに用いられており、この問題をそのままにしておけば、システムが乗っ取られてしまう可能性があるため注意が必要です。

現在、この脆弱性はセキュリティパッチを適用すれば解消できます。しかし、現在でも、パッチを適用していない企業が複数確認されており、問題視されています。

この脆弱性に対するサイバー攻撃は、自動で脆弱性部分を探知するシステムとなっており、脆弱性を突くためのプログラムもネット上で公開されています。そのため、誰でも簡単にシステムを悪用できる状態にあるのです。

SAPデータコピーツール Data Sync Manager
SAPユーザー必見!テスト・トレーニング・データ移行時に機密データを守る方法は?

サイバー攻撃の目的

近年、多くのサイバー攻撃が観測されています。その目的も金銭やシステム破壊、信用失墜など、攻撃者によってさまざまです。攻撃者の目的が何にせよ、サイバー攻撃の被害者になった企業にとってみるとそれ以上に大きな被害となることがあります。

たとえば、2019年に大きな問題となったセブンペイの不正アクセスは、金銭奪取が主な目的ですが、企業側はサービスの停止と信用の失墜という2つのダメージを負ってしまいました。このようにサイバー攻撃では、複数の問題に波及することも多々あるのです。

サイバー攻撃を仕掛ける攻撃者としては、犯罪グループや産業スパイ、退職者を含む悪意ある組織の職員などが考えられます。組織化されたクラッカー集団や諜報員が関わっていることもあり、高度な技術を有している場合もあります。これに対処するには、システムを適切に管理することが重要です。

SAPユーザーが考慮すべきサイバー攻撃

SAPユーザーにとって問題となるサイバー攻撃について解説します。代表的なものとしては「ランサムウェア」や「DDoS攻撃」などが挙げられます。

ランサムウェア

ランサムウェアは、身代金要求型のマルウェアです。その手口は、企業のシステムに侵入してデータを使用できないようにし、元に戻すことと引き換えに金銭を要求するというものです。データが暗号化されることがあるほか、PC操作ができなくなる場合もあり、業務の一時停止に追い込まれた事例もあります。そして、金銭の要求もされるため、企業にとっては二重の被害となるのです。

警察庁が発表したサイバー攻撃の資料では、2021年のランサムウェアの被害件数は146件となっています。そして、被害調査や復旧にかかった金額は、1,000万円〜5,000万円が最多となっており、莫大な被害が発生していることがわかります。

ランサムウェアの侵入経路は、VPNからの不正侵入が最多の41件で、次いでリモートデスクトップからの侵入が15件です。メールの添付ファイルによる感染は5件となっており、ほとんどが不正な侵入であることがわかります。

不正アクセス

システムを利用する権限のない人間が不正にアクセスして、何らかの悪さを行うのが不正アクセスです。たとえば、ログイン機能のあるサービスで他人のIDやパスワードを使用して侵入したり、企業のシステムに外部の人間や権限のない人間がアクセスしたりする事例が考えられます。

最初の項で紹介したSAPの脆弱性の問題も、認証部分に不備があって起こっています。また、ランサムウェアの問題にもあるように、VPNやリモートデスクトップから不正侵入することでシステムの改ざんを行なっている例もあります。

被害としては、データ漏洩やシステム改ざん、システム破壊、金銭奪取などが挙げられます。これらは、企業の信用低下にも繋がるため絶対に避けたい問題です。

DDoS攻撃

DDoS攻撃は、企業のシステムに高負荷をかけてシステムをダウンさせるというサイバー攻撃です。元々この手法の攻撃は、DoS攻撃と呼ばれていました。キーボードのF5を使用したF5アタックが有名で、Webサイト上でF5を連打してページを何度も読み込ませて高負荷をかけるという手法です。この手法では、攻撃者が特定できるため、IPアドレスを元にアクセスを遮断すれば簡単に対策が可能です。

そこで新しい攻撃手段として、複数の端末から一気に負荷をかけるDDoS攻撃が誕生しました。この攻撃では、不正に乗っ取った端末(IoTなど)からシステムに一斉にアクセスするため、IPアドレスによる制限ができません。

DDoS攻撃は対策が難しいサイバー攻撃ですが、SAPジャパン株式会社は対策システムを開発しています。このシステムでは、DDoS攻撃を可視化することで被害を防ぐことが可能です。

SAPユーザーが取るべきセキュリティ対策

では、実際サイバー攻撃を防ぐために、どのような対策をとればよいのでしょうか。ここからは、SAPを使用しているユーザーが行いたいセキュリティ対策をご紹介します。

フォレンジック調査

フォレンジック調査は、簡潔に説明するとサイバー攻撃の証拠を探す調査です。元々は、事件があった際に、法的証拠となるものを探す鑑識調査などのことを指しましたが、いまではサイバー犯罪にも適用され、「コンピューターフォレンジック」や「デジタルフェレンジック」と呼ばれます。

フォレンジックは、PC・モバイル端末、ネットワークに分けて調査を行います。PCやモバイル端末のデータ、ログ、通話・アプリの履歴、ネットワークのパケットなど、さまざまな箇所からサイバー攻撃の痕跡を探していくわけです。フォレンジック調査が必要となるケースとしては、個人情報などの不正な持ち出しや、コンピュータウイルス感染などが挙げられます。

サイバー攻撃は被害に遭えば、すぐにわかるというイメージがありますが、実際には気づかないことも多くあります。株式会社サイバーセキュリティクラウドによる2020年9月1日〜2021年8月31日の調査では、サイバー攻撃の被害にあった企業が攻撃発生から攻撃を認知するまでに、平均で349日かかっているようです。このように1年近く気づかないこともあるため、フォレンジック調査は必要不可欠となります。

セキュリティパッチの適用

ITシステムのサービスを提供する企業では、必ずシステムのアップデートやセキュリティに関するパッチを定期的にリリースしています。これはシステムの脆弱性や新しい脅威に対応するためです。

SAPも同様で、アップデートやセキュリティパッチをリリースしています。これを適用することは、同社サービスを利用する上で簡単に行える最大限のセキュリティ対策です。また、毎月第2火曜日には、セキュリティノートをリリースしているので、必ず確認するようにしましょう。

リアルテックのSAP運用サービス

システム運用担当者にとって、セキュリティ対策は重要です。しかしながら、運用監視やトラブル対応などその他の業務でも手が足らない状況はどの企業でも悩みの一つです。システム運用を円滑にすすめる上で知見にとんだビジネスパートナーがいるだけで、安心して業務に専念できるのではないでしょうか。

リアルテックでは、SAPの運用サービスを行なっています。「SAP Solution Manager System Monitoring」、「SAP Business Process Automation by Redwood」、リアルテックの「the Guard! SmartChange」の「Transport Management」など、さまざまなシステムを使用することで効率的かつ高品質な運用と管理が可能です。

さらに障害などの問題があったときには、専門のコンサルタントが担当することで、システムと人の両面からSAPシステムの運用サポートを行います。これによりユーザー・移送・キャパシティの管理、ビジネスプロセス・システムの監視など、運用に関わる企業の負担を解放します。

アプリケーション障害やパフォーマンス低下の調査、運用手順策定、コンプライアンスに関わる権限の見直し、移送運用効率化など、運用に関わる問題を抱えている場合はいつでもご相談ください。

まとめ

SAP Solution Managerのバージョン7.2では、システムの脆弱性があります。そして、その脆弱性を探索する自動化システムや、攻撃のためのプログラムがネット上で配布されていることも発見されています。これに対応するためには、SAPが提供するセキュリティパッチを必ず導入しましょう。

また、サイバー攻撃の被害にあっても気づかない可能性があります。そのためフォレンジック調査を行なって、痕跡がないか探すことも重要です。対策をとっておけば、リアルタイムでサイバー攻撃を防ぐことも可能です。

Data Sync Manager ホワイトペーパー

RECENT POST「SAP情報」の最新記事


SAP情報

SAP BTP(Business Technology Platform)とは?概要・機能・実際の活用例について紹介

SAP情報

SAPのID&アクセス管理について(SAP IdM & SAP GRC-AC)

SAP情報

SAP BPCの紹介! 特徴、狙いの解説、SAP BWとの違いも解説

SAP情報

SAP移送のよくある課題と解決策のご紹介

SAPユーザーが考慮すべきサイバー攻撃やセキュリティ対策は?
New Call-to-action

RECENT POST 最新記事

RANKING人気記事ランキング

ブログ購読のお申込み