基幹システムの移行は数年に及ぶ大規模プロジェクトであり、その間のシステム構成は複雑化する。オンプレミスシステムとクラウドサービスが混在する移行期のシステムにおいて、企業が直面する4つの課題とは。
2027年末にERP(統合基幹業務システム)「SAP ERP Central Component 6.0」(SAP ECC 6.0)の標準サポート終了が迫り、企業はクラウド型ERP「SAP S/4HANA」への移行を本格化させている。しかし、この移行は数年に及ぶ大規模プロジェクトであり、その間企業はオンプレミスシステムとクラウドサービスが併存する複雑なハイブリッドインフラを運用することになる。データや業務プロセスは両システムを行き来し、Webサイト、SaaS(Software as a Service)、外部パートナー、製造現場のIoT(モノのインターネット)機器など外部との接続要件も増加する。
この相互接続性の高まりは、攻撃対象領域を拡大させる。従来の境界防御型のアーキテクチャでは、オンプレミスシステムとクラウドサービスをまたぐシステム構成を保護し切れず、ポリシーの乱立や制御の不整合を招く。企業はシステムの近代化に注力するあまり、セキュリティインフラの刷新を見落としており、深刻なリスクを抱え込んだまま移行を進めているのが実態だ。
SAP S/4HANAへの移行において、企業はどのようなセキュリティ上の死角に注意すべきなのか。直面する4つの具体的な課題と、それらを克服するためのアプローチを深掘りする。
SAP S/4HANAへの移行プロジェクトにおいて、企業は主に4つの重大なセキュリティ課題に直面する。それぞれの課題と、ネットワークの境界に依存しないゼロトラストアーキテクチャに基づく解決策は以下の通りだ。
サプライチェーンの可視化やトランザクション処理の迅速化のため、サプライヤーや顧客などの外部パートナーにSAP S/4HANAへのアクセスを提供することは不可欠だ。従来は、専用のプライベートネットワークとファイアウォールを用いて接続を管理していた。しかし、この手法では、パートナー側のネットワークやファイアウォールが侵害された場合、SAP S/4HANAのシステム自体が露出するリスクが生じる。
解決策として、対象システムをパブリックなIPアドレスの背後に配置したり、フラットな信頼ゾーンに接続したりすることを避ける必要がある。アクセス元のアイデンティティーを厳格に検証し、許可されたシステムにのみ接続を許す「最小特権アクセス」を適用すべきだ。この手法であれば、ファイアウォールの例外設定をむやみに増やすことなく、パートナーと安全に接続できる。
数年にわたる移行期間中、財務や人事、顧客データといった大量の機密情報がオンプレミスシステムとクラウドサービスの間を行き来する。それぞれの領域でセキュリティ対策のレベルが異なり、通信の暗号化によってトラフィックの可視性が低下している場合、データ漏えいのリスクは急増する。アカウントの侵害や不正な管理ツール、管理されていないエンドポイントを悪用したデータ持ち出しを検出することは困難だ。
この課題に対処するには、オンプレミスシステムとクラウドサービスをまたぐ全ての移行フローに対し、通信経路でデータをリアルタイムに検査、遮断する一貫したセキュリティ制御を適用し、大規模運用を想定した検査体制を整える必要がある。
製造業では、クラウドサービスの利点を生かしながらリアルタイムの生産データに対する管理を維持するため、SAP S/4HANAと工場などの製造現場を接続する。この際、従来の拠点間VPNやファイアウォールに依存すると、工場内のネットワークにつながったデバイスが侵害された場合、VPNの広範なアクセス権限を悪用され、基幹システムへと水平移動(ラテラルムーブメント)される危険性がある。
例としては、パッチが適用されていない脆弱(ぜいじゃく)なネットワークプリンタが侵入口になり、そこからSAP S/4HANAへと脅威が波及するケースだ。もはや制限なくどの端末にも接続できる方式は安全ではない。生産を妨げることなく、エッジ(データ発生源の近く)での侵害が中核システムに影響を与えない仕組みが不可欠だ。
SAP S/4HANAは単独で動作するのではなく、パッチ(修正プログラム)のダウンロードやSaaSとの連携のために、インターネットに接続する。ここで懸念されるのが、ファイルのアップロードやAPI通信、エンドユーザーによるデータのエクスポートなどを悪用した、アウトバウンド(外部への)接続時のデータ漏えいだ。
暗号化されたアウトバウンドトラフィックが定期的な検査を回避してしまうと、セキュリティ上の大きな死角になる。一方で、全てのトラフィックをデータセンター経由で処理する「バックホール方式」は、遅延や構成の複雑さを招く。インターネットへの露出を増やすことなく、SaaS向けの安全で拡張性のあるデータ制御機能が必要だ。
これら4つの課題に共通するのは、ネットワーク中心のアクセス制御モデルが限界を迎えているという事実だ。SAP S/4HANAへの移行を安全に成し遂げるためには、システムを外部から見えない状態にし、アイデンティティーとポリシーに基づいた最小特権アクセス経由でのみSAP S/4HANAを利用可能にするアプローチへの転換が不可欠だ。
基幹システムの移行は、単なる業務プロセスの刷新にとどまらず、ビジネスパートナーとの安全な連携や、製造現場からクラウドサービスまでの包括的なセキュリティインフラを再構築する絶好の機会だと捉えるべきだ。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
