データ改ざんや個人情報の漏洩など、企業は内外に多くのリスクを抱えます。これら全てを対処するには、それなりの人員と労力が必要です。
SAPではこうした問題を解決するために、セキュリティの管理効率向上と内外の脅威から企業を守るシステムを提供しています。企業を安全に運営するためにも、担当者はシステムの導入を考えましょう。
SAPのセキュリティシステムとは?
SAPでは、コンプライアンス違反、サイバー攻撃、データ漏洩など、ITシステムのトラブルに対処するために、以下のようなセキュリティシステムを提供しています。
- SAP Cloud Identify Access Governance
アクセス権限の管理・監視を行うガバナンスソリューション - SAP Data Retention Manager
企業データの保存期間を管理し、不必要なアクセスからデータを守るソリューション - SAP Customer Data Cloud
B2B、B2Cに対応した顧客データ管理システム - SAP Data Privacy Integration
個人情報や取り扱いに関する規則に準拠したデータプライバシーソリューション - SAP HANA
膨大なデータを高速処理するインメモリデータベースプラットフォーム
上記製品を活用することで、自社のコーポレートガバナンスやコンプライアンスに準拠したシステムを構築できます。SAP HANAでは、データの高速処理だけでなく、ユーザーの認証・承認管理、暗号化、データ匿名化といったセキュリティシステムを統合的に扱えます。
【SAP】セキュリティの警告設定の構成について
ここからはSAPのセキュリティ製品を利用する際の設定方法や注意点について解説します。
製品を利用する前には、セキュリティの警告設定の構成を行う必要があります。この設定をしないと、セキュリティソリューションを利用するたびに「スクリプトによってSAP GUIにアクセスしようとしています」という警告が発生してしまいます。
まずWindowsのコントロールパネルから「SAP GUI Configration」を選択して、SAP GUI オプションのダイアログボックスを開いてください。その後、アクセシビリティ&スクリプト選択タブのスクリプトを選択して、「スクリプトがSAP GUIにアタッチする時に通知」をオフにすれば完了です。
【SAP】移送・文書セキュリティの設定方法
セキュリティ警告設定を解除したら、移送・文書セキュリティを設定します。セキュリティ設定方法にはいくつかの方法がありますが、ここではその中のひとつを解説します。
SAPの移送セキュリティの設定方法
開発から本番環境でのデータ転送において、SAP Web ASに対してSSLの利用が可能です。SSLの利用にあたっては、以下の手順で実施します。
- SAP Web ASに対してSSLを有効化する
- ABAPワークベンチのWebサービス定義で完全性を選択する
- WebサービスのICFノードで、セキュリティ要件の下のSSLを選択する
SSLの有効化の前提条件として、サーバーに公開鍵・秘密鍵のペアと公開鍵証明書が必要です。これらの用意に加え、SAP暗号ライブラリの受信権限がなければいけません。
SAP Web ASの設定手順について詳しくは以下をご確認ください。
SAPの文書セキュリティの設定方法
SAPシステムに保存された文書を保護するために、文書セキュリティを有効化します。有効化の手順は以下です。
- トランザクション WSSPROFILE(WSS_PROFILE_ADMIN)を呼びだす
- プロファイルの名称を入力して登録を選択
- ダイアログボックスの入力ヘルプで、セキュリティプロファイルのテンプレートを選択
※デジタル署名のプロファイルは、J2EE Engineをアプリケーションサーバーで開始している場合にのみ適用 - 必要なデータを入力してプロファイルを保存する
- セキュリティプロファイルをWebサービス操作に割り当てる
SAPのセキュリティの監査ログ
SAPシステムでは、セキュリティに関する監査ログが使用できます。ここでは監査ログで取得できる情報と設定方法をご紹介します。
セキュリティの監査ログとは?
SAPシステムでは、以下のようなセキュリティの監査ログを取得可能です。
- ユーザマスタレコードの変更などのセキュリティにまつわる変更
- ログインの成否といった透過性の高い情報
- トランザクション実行の成否
- RFCログオンの成否
- 汎用モジュールのRFC呼出
- レポート開始の成否
- 監査設定の変更
取得された監査ログはアプリケーションサーバーに保存されます。
これらの監査ログは、セキュリティインシデントの検出や調査、コンプライアンスの監視やレポーティングに活用できます。これにより内外にあるセキュリティの脅威を検出して、対策を講じることが可能です。
セキュリティの監査ログを設定する方法
セキュリティ監査ログの設定は、下記の手順で行います。
- トランザクションコードのSM19を入力して、登録ボタンをクリック
- プロファイル名やClient、ユーザーIDを指定して、詳細照会を選択する
- 記録したい項目をチェックする
- 続行ボタンを選択後、保存をクリックする
- プロファイルパラメータのrsau/enableを確認して、0になっている場合は1に変更して有効化する
SAPのセキュリティの脆弱性について
近年、SAPユーザーを狙ったサイバー攻撃が増えており、この攻撃により事業停止などのリスクがあります。攻撃者は対策をしていない企業を狙っているため、適切な対策を講じてサイバー攻撃から企業のデータを守りましょう。
現在サイバー攻撃によって狙われているのは、バージョン7.2のEnd User Experience Monitoringの認証機能です。この脆弱性に対してはパッチの配布で修正が行われています。SAP公式のアップデートパッチについては、このような問題の修正が含まれることがあるため、被害を受ける前にすぐに適用することが大切です。
また、サイバー攻撃の痕跡を探すために、フォレンジック調査の実施もおすすめします。システムデバイスとネットワークからデータ、ログなどの調査を行うことで、ウイルス感染やデータの持ち出しなどの不審な点を見つけ出します。
SAP社が提供するGRCソリューションでセキュリティリスク管理を
企業運営では、第三者からのサイバー攻撃だけでなく、社内にも大きなリスクがあります。社内で発生するリスクは、個人情報の漏洩、法令に違反した労働環境、従業員のモラルに欠けた行動・発言、粉飾決算・横領など、多岐にわたります。
こうした問題を起こさないために多くの企業では、コンプライアンスやコーポレートガバナンスを規定しています。しかし、従業員の理解不足や、適切な規定がされていないことによって、インシデントが起こる可能性は否定できません。
そこでSAPでは、この問題をICTシステムで管理・監視するGRCソリューションを提供しています。GRCでは、「財務、ベンダー、オペレーションにおけるリスク管理」「主要プロセスの統制」「財務統制のモニタリング」「不正行為の検出」が可能です。
さらに国際取引の管理やサイバー攻撃からのデータ保護にも対応しており、内外におけるインシデントの未然防止とグローバル対応ができます。GRCの効率的な管理を考えているなら、GRCソリューションでシステム化を実施しましょう。
関連記事はこちら
まとめ
現代における継続した事業活動と健全な企業運営においては、サイバー攻撃への対応や内部不正への対処が必要不可欠です。しかし、これらを統合的に管理して、未然に防ぐためには大きな労力がかかります。
そこでSAPでは、内外の問題に対して統合的に管理するためのソリューションを提供しています。ガバナンス・リスク・コンプライアンスの3点を統合的に運用することで、手間を軽減して効率よく管理することが可能です。
- カテゴリ: GRC
