SAP環境におけるセキュリティ強化策と最新の脅威対策

—————————————-

【コラム監修者　プロフィール】

クラウドコンサルティング代表取締役　岸仲篤史

 

新卒でSAPジャパン株式会社に入社。

SAPジャパン在籍中にCOコンサルとして従事したことで、会計コンサルの面白さに目覚め、

大和証券SMBC株式会社 投資銀行部門、新日本有限責任監査法人、アビームコンサルティングにて、

一貫して約10年間、会計金融畑のプロフェッショナルファームにてキャリアを積む。

その後、2017年クラウドコンサルティング株式会社を設立し、SAPフリーランス向けSAP free lanceJobsを運営し、コラムの監修を手掛ける。

 

Facebook

https://www.facebook.com/atsushi.kishinaka#

 

X

https://x.com/free_sap_consul

 

—————————————-

 

 

 

はじめに

SAP ERPは企業のコアな部分を担うだけに、センシティブなデータを数多く含みます。

このことから、セキュリティ対策にはリソースを割くべきです。

近年はランサムウェアやゼロデイ攻撃などの高度なサイバー攻撃が急増しており、SAP環境を標的とした攻撃も報告されています。

本記事では、SAP ERPにおけるセキュリティ対策として必要な情報をまとめています。

 

 

 

1.SAPのセキュリティアーキテクチャと多層防御戦略

SAPのセキュリティは、OSレイヤー、データベースレイヤー、アプリケーションレイヤー、ネットワークレイヤーの4つの主要な階層に分かれています。

各レイヤーに適切なセキュリティ対策を施すことで、多層防御（Defense in Depth）を実現し、システム全体の堅牢性を向上させます。

 

 

1-1.OSレイヤーのセキュリティ

SAPシステムが稼働するOS（Windows, Linux, AIX など）のセキュリティを強化することは、全体のセキュリティ対策の基盤となります。

最もシンプルな対策は、不要なサービスの無効化です。

例えば、Linux環境では systemctl を使用して、SSHやFTPなどの不要なサービスを停止し、iptables や firewalld を用いて適切なポートのみを開放します。

 

また、最小特権の原則（PoLP: Principle of Least Privilege） に従い、SAPユーザーアカウントに管理者権限を持たせず、sudo 設定を最小限に抑えることも重要です。

特に、SAPのバックエンドで使用される adm ユーザー（例: sapadm, sidadm）の権限設定は厳格に管理し、不必要なコマンドの実行を防ぐ必要があるでしょう。

 

 

1-2.データベースレイヤーのセキュリティ

SAP HANAやOracle、SQL Serverなどのデータベースを使用するSAP環境では、データ暗号化とアクセス制御が重要です。

SAP HANAでは、ネイティブの暗号化機能（Persistent Data Encryption） を活用し、保存データの暗号化を有効にすることで、データ漏洩のリスクを低減できます。

 

また、データベースの管理ユーザー（SYSTEM ユーザーなど）は、業務上必要なユーザーのみがアクセスできるようにし、特権アカウントの使用状況を監視しましょう。

SAP HANAでは、AUDIT POLICY を利用して、データベース管理者の操作ログを取得し、異常なアクティビティが検出された場合に即座にアラートを出す仕組みを導入できます。

 

 

1-3.アプリケーションレイヤーのセキュリティ

SAPのアプリケーション層では、SAP NetWeaverのセキュリティ設定を適切に行うことが不可欠です。

特に、SAP GUIやSAP Fioriといったフロントエンドのセキュリティを強化することで、ユーザー認証の強度を高め、攻撃のリスクを軽減できます。

 

具体的には、SNC（Secure Network Communications） を有効にすることで、SAP GUIクライアントとSAPアプリケーションサーバー間の通信を暗号化できます。

また、SAP Fioriの場合、SAP Web DispatcherとTLS 1.2/1.3の設定 を適用し、安全なWebアクセス環境を構築することが推奨されます。

 

 

1-4.ネットワークレイヤーのセキュリティ

ネットワークレイヤーでは、ファイアウォールとSAP Routerを組み合わせて、外部からの不正アクセスを防止します。

SAP Routerは、内部システムと外部の通信を制御するプロキシの役割を果たし、許可されたIPアドレスのみがSAPシステムにアクセスできるよう設定できます。

 

また、IDS/IPS（侵入検知・防御システム） を導入し、異常な通信をリアルタイムで検出・遮断することも有効です。

SAP向けのSIEM（Security Information and Event Management）ツールを併用し、ログ分析を強化することで、内部からの不正アクセスや攻撃の兆候を早期に発見できます。

 

 

 

2.最新の脅威動向とその対策

サイバー脅威は年々高度化しています。

特にランサムウェア攻撃、ゼロデイ脆弱性の悪用、SAP GUIやFioriを狙ったフィッシング攻撃、内部脅威の増加などが挙げられます。

こうした攻撃に対処するためには、単なるシステム設定の見直しだけでなく、組織全体でのセキュリティ意識向上、リアルタイム監視、脆弱性管理などを徹底したいところです。

 

 

2-1.ランサムウェア攻撃とその対策

ランサムウェア攻撃は、SAPシステムのデータを暗号化し、復号のために身代金を要求する手口です。

特に、SAP HANAやSAP NetWeaverのバックアップファイルを標的とする攻撃が報告されています。

攻撃者はリモートデスクトップ（RDP）やVPNの脆弱性を突いてネットワークに侵入し、権限を昇格した後、バックアップデータを削除または暗号化します。

 

【具体的な対策】

●バックアップの保護と分離

・SAP HANAバックアップのデータストアをネットワークから分離し、オフライン環境に定期的に保存する。

 

・SAPバックアップデータを暗号化（HANA Secure Store & Forward を利用）し、不正な削除や改ざんを防ぐ。

 

・重要なバックアップにはWORM（Write Once, Read Many）ストレージを利用し、攻撃者による変更を防ぐ。

 

●アクセス制御の強化

・ランサムウェア は主に特権アカウントを悪用するため、SAP管理者アカウント（sidadm, sapadm）のアクセス権を制限し、MFA（多要素認証）を有効にする。

 

・rsync や scp などのリモート転送プロトコルの使用を最小限に抑え、バックアップデータへのアクセスを監視する。

 

●侵入検知とログ分析の強化

・SIEMツール（Splunk, SAP Enterprise Threat Detectionなど）を導入し、異常なバックアップ操作やシステム変更をリアルタイム監視する。

 

・SAP HANAの監査ポリシー (AUDIT POLICY) を設定し、管理者権限でのバックアップ削除や暗号化操作を監視する。

 

 

2-2.ゼロデイ攻撃とその対策

ゼロデイ攻撃とは、発覚したばかりのセキュリティホールに対して、パッチが適用される前に攻撃する手口です。

SAP NetWeaverの古いバージョン（7.5以前）やSAP Gateway（sapgwXX ポート）が狙われることが多く、リモートコード実行（RCE）や認証回避の手口が利用されます。

 

【具体的な対策】

●SAP EarlyWatch Alertを活用

・SAP EarlyWatch Alertを定期的に確認し、SAPが推奨する修正策を迅速に適用する。

・SAP Patch Day（毎月第2火曜日）の直後に、適用可能なSecurity Notesをチェックし、テスト環境で検証後に本番環境へ展開する。

 

●SAP NetWeaverのセキュリティ設定を強化

・SAP Gateway（sapgwXX）のセキュリティを強化し、未認証の外部接続をブロックする。

・SAP GUIのSecInfoファイルを適切に設定し、許可されたアプリケーションのみがリモート実行できるように制限する。

・未使用のICMサービス（Internet Communication Manager）を無効化し、不必要なポートを閉じる。

 

●仮想パッチと侵入検知の導入

・SAP向けのWAF（Web Application Firewall）を導入し、既知の攻撃パターンを防御する。

・SAP ETD（Enterprise Threat Detection）を活用し、ゼロデイ攻撃の兆候をリアルタイムで監視する。

 

 

2-3.SAP GUIやFioriを狙ったフィッシング攻撃とその対策

攻撃者は、SAP GUIやFioriのログインページを模倣したフィッシングサイトを作成し、ユーザーの認証情報を盗み取ります。

特に、SAP Fioriはブラウザベースであるため、URLを巧妙に偽装した攻撃が発生しやすくなっています。

 

【具体的な対策】

●MFAの導入

・SAP Single Sign-On（SSO）とMFA（多要素認証）を組み合わせ、パスワード情報だけではログインできないようにする。

・SAP Identity Management（IdM）を活用し、ユーザーの認証プロセスを統合管理する。

 

●Fiori Launchpadのセキュリティ強化

・SAP Web Dispatcherを設定し、許可されたドメインのみがFiori Launchpadにアクセス可能にする。

・TLS 1.2/1.3を強制し、未認証のHTTPリクエストを拒否する。

 

●ユーザー教育とフィッシング対策

・定期的なフィッシング攻撃シミュレーションを実施し、ユーザーのセキュリティ意識を向上させる。

・SAP GUIのログイン画面にカスタムバナーを追加し、ユーザーが正規の画面であることを確認できるようにする。

 

 

2-4.内部脅威（インサイダー攻撃）の増加とその対策

社内の従業員や委託業者による情報漏洩や不正アクセスは、実は対処が非常に難しい問題です。

SAPでは、SAP Basis管理者やABAP開発者が特権アカウントを悪用するケースに注意しましょう。

 

【具体的な対策】

●特権アカウントの監視とロギング

・SAP GRC（Governance, Risk, and Compliance）を活用し、特権アカウントの使用状況を監視する。

・STAD（ユーザートランザクション監査）を定期的に分析し、不審な操作を検出する。

 

●ABAPコードのセキュリティレビュー

・カスタム開発したABAPプログラムにバックドア（CALL FUNCTION や SUBMIT）が含まれていないかをチェックする。

・ATC（ABAP Test Cockpit） を利用して、コードの脆弱性診断を実施する。

 

 

 

3.まとめ

SAP環境のセキュリティは、技術的な防御策だけでなく、組織全体のセキュリティ意識の向上とプロアクティブな脆弱性管理が求められます。

今すぐ実施できる対策として、SAP Security Notesの定期確認、MFAの導入、バックアップの暗号化、特権アカウントの監視がありますね。

SAP ERP業界で働く人間も、こうしたセキュリティ対策の意味をよく知っておくべきです。