「SAPは、会社そのもの、徹底したセキュリティが必要!」を過去に称したのは、韓国・ソウル市内に本社を置き、グローバル規模でデータベース暗号化とWebセキュリティの総合コンサルティングを展開しているペンタセキュリティです。
SAPのようなERPパッケージソフトウェア製品(以下ERPシステム)を導入している現代企業の多くは、その情報セキュリティ対策が不十分だと指摘されています。米国土安全保証省の国家サイバーセキュリティ通信統合センター(NCCIC)やUS-CERTでは、攻撃者が高度な手法を用いなくてもERPシステムへの侵入が可能になり、ビジネスおける機密情報を搾取されたり、プロセスが制御されるといった被害に遭ったり、取引先のシステム環境へアクセスするための踏み台として悪用される恐れがある、注意を呼び掛けているのです。
確かに、企業が必要とする基幹系システムが集約され、組織全体の情報が一元的に管理されているERPシステムは会社そのものだと言えますし、会社そのものの情報セキュリティ対策が不十分ならば、いとも簡単に不正侵入等を許してしまうでしょう。
それに加えて、EU域内でのGDPR(General Data Protection Regulation:一般データ保護規則)施行など、企業に対するセキュリティ対策要件は年々厳しくなっています。そうした状況の中で、ERPシステム導入企業が取るべき情報セキュリティ対策のポイントとは何でしょうか?
ERPシステムを狙う、情報セキュリティの脅威とは?
「うちはクライアント端末の1台1台にウイルス対策ソフトをインストールしているし、ファイアウォールでネットワークセキュリティも完璧だよ。サイバー攻撃されるなんて、あり得ないね。」最近では、企業経営者や情報セキュリティ担当者からこうした文言を聞くことも、めっきり少なくなっています。
その理由は、大手グループ企業による情報漏えい事件が度々報道され、「サイバー攻撃による情報セキュリティの脅威は、対岸の火事ではない」と実感している人が、ここ数年で圧倒的に増加したためです。
時代ごとに情報セキュリティの脅威トレンドは変化しますし、2017年にはランサム(身代金要求)型のコンピューターウイルスである「WannaCry」が大流行し、世界で40億ドル(約4,500億円)もの被害をもたらしています。
こうした情報セキュリティの脅威に対して、従来の情報セキュリティ対策だけでは圧倒的に不十分だと考えられています。最近では「標的型サイバー攻撃」によるセキュリティ事件を恐れている企業が多いでしょう。
標的型サイバー攻撃とは、攻撃者が特定のターゲットを決めて端末のウイルス感染等を狙うという攻撃手法です。時にはターゲットの身辺調査を入念に行い、ターゲットが興味を持ちそうな内容でメールを送ったり、クライアントを装ってメールを送ったりします。メールに添付されているファイルを実行してしまうと、端末がウイルスに感染するというわけです。
このサイバー攻撃が厄介なのは、堅牢な情報セキュリティ対策を実施しても、ユーザーのセキュリティ意識に大きく左右されやすいという点です。エンドポイントセキュリティ(ウイルス対策ソフト等のクライアント端末向けセキュリティ)を徹底しても、ユーザーがそれと気づかずファイルを実行すれば、いとも簡単にウイルスに感染してしまいます。
ERPシステムにおける情報セキュリティ対策のポイント
ERPシステムを狙ったサイバー攻撃の中には、企業に壊滅的なダメージを与える可能性もあります。従って、ERPシステム導入企業のすべては、情報セキュリティ対策を強化し、数多のサイバー攻撃から機密情報や、ERPシステムそのものを護ることが大切です。そのポイントとは何でしょうか?
まずは組織全体に注意喚起!情報セキュリティ意識の向上を
ERPシステム導入企業が真っ先に取り組むべきポイントは、組織全体の情報セキュリティ意識を向上するための教育を実施することです。サイバー攻撃の多くは、組織全体が情報セキュリティ意識を向上することで防ぐことができる、と言われています。
特に標的型サイバー攻撃に関しては、完成度の高いものでもメール文面や添付ファイルのちょっとした違和感を感じとるだけでほとんどの攻撃を防ぐことができるでしょう。それに加えて、安全性の低いWebサイトやアプリケーションの利用を控えたり、勝手なソフトウェアダウンロード禁止を徹底したり、情報セキュリティシステムを構築しなくとも、今すぐにできる対策は数え切れません。
そのためには、情報セキュリティ対策推進委員会等を発足し、組織全体に情報セキュリティ意識を植え付けるための計画を立て、意識改革から情報セキュリティ対策を始めていきましょう。この時、議論ばかり重視されて実際のアクションが無い、という状況は回避しましょう。
エンドポイントセキュリティを徹底し末端から侵入を防ぐ
近年の情報セキュリティ事件の多くは、クライアント端末やWebサイトなどのエンドポイントを起点として発生しています。そのため、単純なウイルス対策ソフトだけでなく、高度なエンドポイントセキュリティが強く求められています。
たとえばサンドボックスという情報セキュリティ対策は、メールに添付されているファイルを一度安全な仮想空間で実行し、ウイルスが含まれていないかどうかをチェックしてくれます。そのため、ユーザーが誤ってウイルス感染ファイルを実行してしまっても、端末は感染されません。
他にもエンドポイントセキュリティはたくさんの種類があるので、環境によって最適なものを選びましょう。
[SMART_CONTENT]
予防対策だけでなく、予後対策まで考慮した情報セキュリティ対策を設計する
情報セキュリティ業界ではよく「情報セキュリティ対策に100%は無い」と言われます。残念ながらこれは事実であり、どんなに堅牢な情報セキュリティ対策を実施している企業でも、サイバー攻撃によって情報セキュリティ事件を起こしています。
従って、情報セキュリティ対策では予防対策として情報セキュリティシステムを構築するだけでなく、予後対策として実際にウイルス感染や不正侵入に逢った場合の対策を計画することが大切です。
以上のポイントを押さえて、近年多発しているERPシステムを狙った情報セキュリティ脅威から、機密情報やERPシステムそのものを保護していきましょう。
参考資料
この記事に関するサービスのご紹介
導入/移行(プロフェッショナル)サービス
プロフェッショナルサービスでは主にSAPシステムの導入や移行、それに伴うテクニカルな支援を行います。ERPやS/4 HANA、SolManといった様々なSAP製品の新規導入、クラウドを含む様々なプラットフォームへのSAPシステムの最適な移行、保守切れに伴うバージョンアップ・パッチ適用等の作業だけでなく、パラメータ設計、パフォーマンスチューニング、導入・移行計画支援等についても対応いたします。
詳細はこちら
