意外と知らないSAP ERPのセキュリティ対策

はじめに

SAP ERPやS/4 HANAの運用では、セキュリティ対策が必須です。

特に「SAP S/4HANA Cloud, private edition」といった、アプリケーション層に対する責任を自前で持つ必要がある製品については、セキュリティの知識が欠かせません。

この点について、SAP社ではいくつかのセキュリティソリューションを提供しています。

今回は、意外と知られていないSAP ERPのセキュリティ対策を紹介します。

 

 

 

1.SAPセキュリティノート（セキュリティパッチ）

SAPのセキュリティといえば、SAPセキュリティノート（セキュリティパッチ）が代表格です。

 

SAPは、世界中のユーザーや専門家から集められたセキュリティの脆弱性に対し、セキュリティ更新を発行しています。

このセキュリティ更新は、アプリケーション層からデータベース層に至るまで毎月定期的に公開されており、「セキュリティパッチ」としてSAP ERPに適用されます。

 

一般的にセキュリティパッチは毎月第二火曜日にリリースされますね。

ちなみにセキュリティパッチの詳細については、SAP ONE Support Launchpadの「SAPセキュリティノート」で確認することが可能です。

ただし、閲覧にはSユーザーID（SAPの認定ライセンス取得者などに発行されるSから始まる一意のユーザーID）が必要です。

もし気になる方は閲覧してみてください。

 

 

1-1.SAPセキュリティパッチの適用方法

セキュリティパッチの適用作業自体はそれほど多くの工数を要しません。

しかし、実際には適用後のテストに関して、膨大なテストが必要になることもあります。

あるケースでは、テストシナリオを用意していなかったために、セキュリティパッチの適用に数か月物時間を要した、という報告もあるほどです。

その間、一部の機能は「塩漬け」になってしまうこともあり、セキュリティパッチの適用を嫌う企業もあります。

 

しかし、脆弱性に対する補強ですから、可能な限り適用すべきです。

以下は、セキュリティパッチ適用後のテストをスムーズに進めるためのポイントです。

 

・汎用的なテストシナリオを用意しておき、運用員にテストの経験を積ませる

・定期的にセキュリティパッチ適用→テストというイベントを作り、要員のスキルを育てる

・Tricentis test Automation for SAPでテストの自動化を行う

 

1番目と2番目については、ベーシスチームなどで対応できるかもしれません。

しかし、3番目の「Tricentis test Automation for SAP」について意外と知られていないのが実情です。

 

Tricentis test Automation for SAPは、画面系からAPIまで幅広く適用可能なテスト自動化ツールです。

実際にこのツールを開発しているのは米トライセンティス（Tricentis）ですが、SAPからOEMとして提供されており、SAPシステムとの親和性が高いことで知られています。

このツールにはさまざまなバージョンがあり、性能評価やアップグレード後の動作検証など、複数の用途に対応可能なのだとか。

日本ではあまり事例を見かけませんが、比較的新しいツールなのでセキュリティパッチ適用後の動作確認などに使用してみると良いかもしれません。

 

 

 

2.SAP EarlyWatch Alert

2つ目のセキュリティ対策としては、毎週自動出力されているセキュリティ診断ツール「SAP EarlyWatch Alert」が挙げられます。

 

SAP EarlyWatch Alertは、SAP Solution Managerで毎週自動出力されており、その内容はかなり専門的です。

主な内容は以下のとおりです。

 

・システムパフォーマンス

システムの応答時間やトランザクションの処理速度など、パフォーマンスに関する詳細なデータを提供します。

・リソース使用率

CPU、メモリ、ディスク領域などのリソース使用状況を分析し、システムの負荷状態を評価します。

・システム安定性

システムのダウンタイム、エラー発生率、予期せぬシステム停止などの安定性に関する情報を提供します。

・セキュリティ問題

システムのセキュリティに関連する脆弱性やリスクについて警告し、適切なセキュリティ対策を促します。

・設定と最適化の提案

システムの設定に関するアドバイスや改善の提案を行い、効率的なシステム運用を支援します。

・トレンド分析と将来的な問題予測

過去のデータに基づいてシステムのパフォーマンストレンドを分析し、将来的な問題や必要なリソースの増加を予測します。

 

Windows OSのレポートに似ているのですが、企業向けシステムだけに内容が専門的です。

保守ベンダーに丸投げしている情報システム担当者も少なくないので、内容把握ができるだけで頼りにされるかもしれません。

 

 

 

まとめ

今回はSAPシステムのセキュリティ対策としてメジャーなものを2つ紹介しました。

SAP ERPは、クローズドなネットワークに置かれることが多いシステムでした。

しかしcloud版の人気が高まっている現状を見ると、以前とは異なるセキュリティリスクが顕在化するかもしれません。

セキュリティ対策はテストや動作確認が非常に大切ですから、テスト自動化などを含めて積極的に対策していきたいところです。

また、SAP人材もテスト自動化やセキュリティログの読み方などについて、スキルを高めていきましょう。