無思慮なS/4HANA移行で発生するセキュリティリスク：職務分掌の設計が重要

SAP ERPの導入時にありがちなのが「誰が何をできるのか」を十分に考慮して実装しないことだという。S/4HANA移行が本格化しつつある今、再び同じミスを繰り返してはならない。

≫ 2020年07月22日 08時00分公開

[Brian McKenna，Computer Weekly]

　「SAP ECC」（ERP Central Component）から「S/4HANA」への移行を考えているSAPユーザーは、「セキュリティを最初に確保しておかない」という過去の過ちを繰り返さないよう注意が必要だ。これはTurnkey Consultingが発行した「SAP Security Research Report」の要点だ。この論旨にそれほどの驚きはない。

　同社の創設者兼マネージングディレクターを務めるリチャード・ハント氏は、この報告書を踏まえてSAPのユーザー組織に専門家として助言している。

　同氏によると、システムインテグレーター（SI）はSAP ERPの実装時にセキュリティを確保しないことが多いという。それが結局は、監査や最悪の場合はハッキングによって明らかになるセキュリティの欠陥（訳注：SAP ERPの欠陥ではないことに注意）を修正するという費用のかかるプロジェクトの実施を余儀なくさせる。

　「SIが重視するのは正しく機能させることだ」と同氏は話す。つまりシステムの実装を優先する。どのシステムに誰がアクセスするかという問題を考えるのは先延ばしにされる。

　「セキュリティに明確なROI（投資利益率）はない。セキュリティが侵害されるまでは目に見えることはない」

アクセスリスクの管理

　ERPを実装するに当たっての基本的な原則の一つは、職務分掌（SoD：Segregation of Duties）の確保だ。つまり、タスクを少なくとも2人の担当者が分担する。Turnkey Consultingが欧州、アジア、米国の100人（管理職以上）のSAPユーザーを対象に調査した前述の報告書には次のように記述されている。「多くの企業には、SoDマトリックスを利用して分析できる適切なツールが整っていない。こうしたツールがあれば根本的なアクセスリスクを明らかにすることができる。SAP ERPのきめ細かく複雑な承認の概念を考えると、こうしたツールなしに問題点を見極めるのは不可能に近い」

　これを正しく行わなければ悲惨な結果を招く恐れがあるとハント氏は話す。

　「給与計算の担当者が、従業員の銀行口座情報を変更できるようにしてはいけない。不正行為を働く機会をなくすためにも、この2つの職務を分離する必要がある。こうしたことは想像以上に起きている。ギャンブルの借金がかさんだ担当者が不正行為を働く誘惑に負けるかもしれない」（ハント氏）

　前述の報告書によると、SAPユーザーの3分の2以上（68.8％）が以前のSAP ERP実装中にセキュリティに十分配慮しなかったと考えている。監査プロセスでセキュリティの欠陥が明らかになるのは「非常に一般的」と回答したユーザーは53.4％に上るという。

　回答者の大半は、リスクを管理するための能力を十分に備えていなかったことも明らかになっている。5分の1（20.8％）はSAPアプリケーションと環境のセキュリティを効果的に確保するスキルやツールがなかったと感じている。64.3％はそうしたスキルやツールがあったとしてもごくわずかだったと答えている。

　SAPの監査でアクセス管理の問題点を指摘される可能性が高いと考えていたユーザーは9割（93.2％）に上る。特権付きアクセスや緊急アクセスも大きな懸念になっており、監査結果がこうしたアクセスに具体的に関係しているのは「一般的」または「非常に一般的」と考えているユーザーは86.4％だった。

　「この調査結果は当社の日常的な体験を反映している。つまり、SAP ERPのセキュリティ確保は実装後に考えられることが多い。その結果、プロジェクトの全体を通して行う必要のあるセキュリティ確保に不可欠な活動に十分なリソースと時間が割り当てられていない」とハント氏は話す。

　「コンプライアンス、データ保護、サイバーセキュリティが重視される場面が増えるにつれ、経営陣の認知度が高まっているのを見ることは心強い。このような理解が深まることで、セキュリティを設計するという重要な手順が実装の初日から取り入れられるようになる」

今後の大きな変化

　Turnkey Consultingは報告書の公開に添えて次のような見解を示している。「S/4HANAへの移行や導入の時期を迎え、組織の準備状況を判断するためにこの調査を行った。SAP ERPは相互接続性やモビリティーの向上についてユーザーに多くのメリットをもたらすが、SAPのアプリケーションやインフラは侵害を受けるリスクが残っている」

　ハント氏によると、同氏やTurnkey Consultingの経験では企業の情報セキュリティチームはSAPプロジェクトに十分に関与しない傾向がある。プロジェクトのセキュリティ担当者も、基本的には誰が何にアクセスできるかを決定することだけに担当範囲が限定される傾向があるという。

　「事態は放置されている。CISO（最高情報セキュリティ担当者）は説明責任を果たすためにステップアップしているのに、SAPチームはアプリケーション全体のセキュリティを確保する責任を担っていない。セキュリティチームが絶えずSAPプロジェクトに関わっているわけでもない」と話すハント氏は、状況が変わっているのにガバナンスに構造的欠陥があると指摘する。

　「SAPアプリケーションはそのままでは安全とは言えない。だが、そのセキュリティを確保するために必要なものは全て手元にある。不正行為のような具体的な事態に備えて追加できる機能も多い。問題は、セキュリティを適切に確保するには思考、努力、リソースの全てが必要になることだ。『Patch Tuesday』（訳注）と同じ役割をする機能があっても、多くの企業がそれを管理するための堅牢（けんろう）な戦略を用意していない」

訳注：第2火曜日（米国時間）にリリースされる、Microsoft製品の月例セキュリティ更新プログラム。

　「重要なのは、しばらくの間なかったSAP ERPの切り替えが行われることだ。『HANA』は速度を向上させるが、新しいデータベースであることに変わりはない。クラウドベースの要素を使う機能が盛り込まれ、『SAP Fiori』というWebベースのインタフェースも利用できる。大きな変化だ」（ハント氏）

S/4HANAへの大量移行

　「ECC 6」の顧客はS/4HANAに移行するだろうか。ハント氏は、大量の移行が行われると感じている。「ここ2～3年増加していると見ている。感覚的には、移行プロジェクト数は前年比で約5倍に増えている。全ての顧客が何らかの種類のS/4HANAへの移行計画を持っている。問題は、こうした顧客がサードパーティーリソースに同時に重複してアクセスすることだろう」と同氏は話す。

　新型コロナウイルス感染症による公衆衛生の危機に関して同氏は次のように語る。「この危機が起こる前に立ち上げ、実行していた全てのことが今も続けられている。保留中のプロジェクトを2020年末まで先延ばしにしている顧客もあれば、プロジェクトを広げている顧客もある。プロジェクトの取り消しはまだ確認していないが、その可能性も除外できないだろう」

　同社の報告書では次のように述べられている。「S/4HANA移行におけるセキュリティ要素の重要な最終ステップは、Fioriの影響を考慮することだ。バックエンドの役割を設計する際にこのユーザーインタフェースのセキュリティを考慮しなければならない。SIの多くはこの課題に効果的には取り組んでおらず、SAP ERPの標準の役割をそのまま推奨している。こうした役割で十分なことはめったにない」

　次のような記載もある。「S/4HANAでは標準の役割が170しかない。一方、ECC 6では役割が約4000あった。リスクを最小限に抑えるには、S/4HANAの標準の役割が十分分離されているとは言えない」

　こうしたポイントを広げ、Fioriをきちんと理解すべき新たな概念だとハント氏は説明する。「多くの顧客が標準の役割を利用するという落とし穴に陥っている。それでは必ずしも適切なレベルの職掌分離は行われない。これらの役割を各業務に合わせて調整する必要がある」と同氏は話す。

TechTargetジャパントップ