SAPシステムは、多くの企業にとって業務運営の中核を担う重要なプラットフォームですが、その重要性ゆえにセキュリティの確保が不可欠です。
SAPのセキュリティ監査ログとは?
SAPのセキュリティ監査ログは、監査人のために設計されたツールです。このツールを使用することで、監査に関連するあらゆるアクティビティを詳細に記録することが可能です。
例えば、セキュリティ監査ログを活用することで、システム内での不正アクセスや異常な操作が発生した場合、インシデントを即座に検出し、詳細な調査を行うことができます。また、監査人が行った活動も含めた情報は、監査分析レポートという形で取得でき、これにより全体的なセキュリティ状況の把握や問題の特定が容易になります。
SAPのセキュリティについてさらに詳しく知りたい場合は、以下の関連記事をご参照ください。
関連記事はこちら
SAPのセキュリティ監査ログで記録できること
SAPのセキュリティ監査ログは、さまざまな重要なイベントやアクティビティを記録できます。
記録できる主なアクティビティ項目
- ダイアログログオンの成功および失敗
- RFC ログオンの成功および失敗
- 汎用モジュールのRFC呼出
- トランザクション実行の成功および失敗:
- レポート開始の成功および失敗
- ユーザマスタレコードの変更
- 監査設定の変更
上記の各記録を通じて、SAPシステムのセキュリティ状況を詳細に監視することで、異常な活動や潜在的な脅威を迅速に特定することが可能です。
SAPのセキュリティ監査ログとシステムログの違い
SAPシステムにおいて、セキュリティ監査ログとシステムログは両方とも重要な役割を果たしますが、それぞれの目的や使用者が異なります。セキュリティ監査ログはシステムログを補完するものであり、主に監査人が使用します。一方、システムログはシステム管理者が使用し、システムの正常な運用を監視するために利用されます。
記録の内容の違い
セキュリティ監査ログは、「②SAPのセキュリティ監査ログで記録できること」で記述した通り、主にセキュリティ関連のイベントを記録します。異常な活動や不正アクセスの検出が可能となり、セキュリティインシデントの調査に役立ちます。
一方、システムログはシステムの動作状況を監視するための情報を記録します。データベース読込エラーやロールバックなど、システムの障害やエラーに関する情報を記録します。リアルタイムで問題を把握し、迅速に対応することが可能となります。
監査ログの有効化/無効化の可否
セキュリティ監査ログは、必要に応じて有効化または無効化できます。監査が必要な期間だけ有効化し、それ以外の時期には無効化することで、システムの負荷を軽減することが可能です。
一方、システムログはシステム運用のために常に必要とされるため、無効化することはできません。システムの正常な運用を維持するために、継続的にデータを記録し続ける必要があります。
依存データの処理
セキュリティ監査ログには、監査に必要な個人情報も含まれることがあります。そのため、取り扱いには注意が必要であり、データ保護規制や企業のセキュリティポリシーに従って厳重に管理されるべきです。
一方、システムログには個人データがほとんど含まれないため、取り扱いに関してはセキュリティ監査ログほどの厳重な管理は必要ありません。しかし、システムログのデータも適切に保管・管理し、システムの安定運用をサポートするための情報として活用するべきです。
SAPのセキュリティ監査ログの設定方法
まず、SAPのメインメニューでトランザクションコード「SM19」を入力し、登録ボタンをクリックします。この操作により、監査ログの設定画面が表示されます。次に、プロファイル名やClient、ユーザーIDを指定し、詳細照会を選択します。このステップでは、監査ログの設定に必要な詳細情報を入力します。
続いて、監査するイベントやアクションを選択します。適切な項目を選択することで、必要な情報のみを効率的に記録できます。その後、続行ボタンを選択し、保存をクリックします。この操作により設定が保存され、監査ログの記録が開始されます。
最後に、プロファイルパラメータの「rsau/enable」を確認します。このパラメータは監査ログの有効化に関する設定であり、デフォルトの状態は0です。確認時0になっている場合は、1に変更して有効化します。
SAPのセキュリティ監査ログの照会方法
監査ログの照会は、システムのセキュリティ状態を確認し、必要な対策を講じるために重要です。監査分析レポートを作成することで、記録されたログを詳細に分析できます。
照会するには、まず管理メニューからシステム管理を選択し、モニタメニュー内のセキュリティ監査ログを選びます。次に分析を選択します。トランザクションコード「SM20」を実行すると、この操作を簡単に行うことができます。これらの操作をすることで、セキュリティ監査ログのローカル分析画面が表示されます。
この画面では、監査ログの細部まで照会が可能です。例えば、特定の期間や特定のユーザーに関するログをフィルタリングし、詳細な分析を行えます。リアルタイムでシステム内にて発生したセキュリティイベントを把握できるため、有事の際もすぐに必要な対応策を講じることが可能です。
SAPのセキュリティ監査ログの削除
次に、セキュリティ監査ログの削除方法について解説します。監査ログは毎日保持され、データが蓄積されていきます。特にシステムや指定したフォルダによっては、短期間でも膨大なデータ量になることがあります。そのため、定期的にログをアーカイブし、必要に応じてオリジナルのファイルを削除することが推奨されています。
ただし、3日以内にアーカイブされたファイルは削除できません。これは、不正操作などの証拠隠滅を防止するための措置です。削除する際には、システムの運用に支障をきたさないよう注意が必要です。
SAPのセキュリティの脆弱性を突いた事例
SAPシステムには、意図せず外部からアクセス可能となるセキュリティ上の脆弱性が存在しています。脆弱性が悪用されると、深刻な問題を引き起こす可能性があるため、企業側でもシステムを監視し、セキュリティ対策を講じることが重要です。
脆弱性をついた具体的な事例として、RECON(Remotely Exploitable Code On NetWeaver)を利用したものがあります。この脆弱性が発見された際には、数千件に及ぶSAPシステムが危険に晒されました。
RECONは、SAPのNetWeaverをターゲットとした悪意あるコードであり、この脆弱性を悪用すると、攻撃者が特権アクセスを獲得することが可能となります。これにより、企業が使用するすべてのSAP製品を制御できるようになり、企業の機密情報や運営システムが攻撃者の手に渡るリスクが生じました。
この脆弱性の深刻さは、共通脆弱性評価システム(CVSS)によっても裏付けられており、10点満点中10点という最悪の評価がなされています。このスコアは、最も深刻な脆弱性を示しており、企業が直ちに対策を講じなければならないことを意味します。
しかし、このような脆弱性も、セキュリティパッチを適用することで解消が可能です。SAP社は、脆弱性が発見された場合には迅速にパッチを提供しており、企業はこれを適時に適用することでシステムの安全性を確保できます。
SAPのセキュリティ脆弱性に対する具体的な対策
SAPシステムのセキュリティ脆弱性は、企業にとって重大なリスクをもたらします。しかし、予防策として適切な対策を講じれば、リスクを大幅に軽減することも可能です。
対策1. セキュリティパッチの適用
まず最も基本的で重要な対策は、セキュリティパッチの適用です。SAP社は定期的にアップデートパッチを提供しており、これを適宜に適用することで、既知の脆弱性を修正できます。特に、脆弱性が悪用される前にパッチを適用することが重要です。
SAPでは毎月第2火曜日を「SAPセキュリティ・パッチ・デー」と定めており、この日に提供される最新のパッチを迅速に適用することが推奨されます。SAPセキュリティ・パッチ・デーは、意図的にほかの主要ベンダーと日にちをあわせており、スケジュールが組みやすいのも特徴です。
対策2. SAP社のGRCソリューションで管理
GRCソリューションとは、企業が直面するさまざまなリスクを包括的に管理するためのツールです。これには、サイバー攻撃に対する防御策だけでなく、社内での不正行為や規制遵守の問題にも対応できる機能が含まれています。
GRCは「ガバナンス(Governance)」「リスク(Risk)」「コンプライアンス(Compliance)」の略であり、企業の管理体制を強化するために重視すべき要素です。このソリューションはオンプレミスでもクラウドでも導入可能であり、企業のニーズにあわせて柔軟に利用できます。
以下、SAP社のGRCソリューションについて、さらに詳しく解説します。
SAP Risk Management
「SAP Risk Management」を活用することで、リスクおよび事業機会の特定と評価、対応方針の決定、リスク管理や統制の文書化ならびに進捗の監視が可能になり、企業はより戦略的かつ包括的にリスクを管理できるようになります。
主要な機能としては、まずリスクの分析・監視・特定が挙げられます。企業は潜在的なリスクを早期に発見し、リアルタイムで監視することが可能です。
また、リスクの戦略および計画を策定するためのツールが提供されており、これによりリスクに対する適切な対応策を立案できます。リアルタイムデータの監視機能では、現在の状況に基づいて迅速に対応することも可能です。
SAP Process Control
「SAP Process Control」は、コンプライアンスおよびポリシー管理に特化した強力なソフトウェアソリューションです。企業はコンプライアンスにかかる費用を削減し、管理プロセスの透明性と信頼度を大幅に改善することが可能です。オンプレミスでもクラウドでも使用できるため、企業の体制やニーズに応じた運用方法を選択できます。
このソリューションの主要な機能には、コンプライアンス、統制、ポリシー情報の統一保管などが挙げられます。「SAP Process Control」を使用することで、企業では全社的に統一された情報管理が可能となり、誤解や誤操作を防止できます。また、埋込型統制によるリアルタイムの入出金の監視機能も備わっており、汚職や贈収賄の防止にも役立ちます。
さらに、リアルタイムの監視により、重要な取引や金銭の動きを即座に把握し、不正行為を未然に防ぐことが可能です。これにより、企業は透明性の高い運営を実現し、取引先や顧客からの信頼を確保できます。また、これらの機能を統合的に活用することで、コンプライアンス管理にかかるコストを削減し、効率的な業務運営をサポートします。企業は規制遵守を確実にしながら、業務効率を高められるため、持続的な成長と信頼性向上の実現を目指せます。
SAP Risk and Assurance Management
「SAP Risk and Assurance Management」は、企業が財務および非財務データ、ポリシー、プロセスを保護するために必要な内部統制を自動化するためのソフトウェアソリューションです。
このソリューションで得られる大きな利点は、データ不整合の監視および評価が可能な点です。具体的には、運用手順やポリシーの遵守状況を継続的に監視し、ビジネスプロセスにおける不整合を特定できます。そのため、企業は潜在的なリスクを早期に発見しやすくなり、迅速な対応が可能です。
「SAP Risk and Assurance Management」の主要な機能としては、統制の文書とリスク定義を一元管理できる点が挙げられます。うまく運用することで、内部統制の効率が向上し、管理の手間を大幅に削減することも可能です。
また、財務データだけでなく非財務データも包括的に管理するため、企業全体のリスク管理の強化にもつながります。これにより、企業は財務的な健全性を保つだけでなく、全体的な運営効率や信頼性を向上させることが可能です。
SAP Business Integrity Screening
「SAP Business Integrity Screening」は、企業がビジネス整合性を確保するための強力なソフトウェアソリューションです。大量のトランザクションデータをリアルタイムでスクリーニングし、異常・不正行為などを迅速に検出することが可能です。
このシステムが担うメインの機能は、例外検出とアラート通知です。企業は異常なトランザクションや不正行為の兆候を即座に把握できるため、迅速な対処につながります。また、高リスクな組織との取引を回避する機能も備えており、企業のリスク管理能力を大幅に強化できることも特徴です。
例外検出機能は、異常なパターンや規定外の活動をリアルタイムでモニタリングし、問題が発生した際は直ちにアラートを発報します。企業は問題の早期発見と迅速な対応が可能となり、ビジネスの整合性の維持を高めることができます。さらに、高リスクな組織との取引を回避する機能により、企業は不正リスクを未然に防ぎ、安全な取引環境を保てます。
まとめ
本記事では、SAPのセキュリティ監査ログの概要やシステムログとの違い、各種セキュリティソリューションについて詳しく解説しました。企業活動で想定できる様々なリスクへの対策は、包括的な戦略を考慮する必要がありますが、SAPのソリューションを組みあわせて使用することで、全方位的なセキュリティ対策を講じ、安心してビジネスを運営することが可能です。
さらに、セキュリティ対策を一層強化するためには、SAPデータマスキングサービスの利用もおすすめです。このサービスは、機密データを保護し、不正アクセスや情報漏洩防止につながります。詳細について知りたい方は、下記記事もご覧ください。
関連内容はこちら
