検索
ニュース

SAPクラウド移行で直面する「ブラックボックス化」 Siemens子会社に学ぶ回避策マネージドSAPの制約から抜け出す

ERPのクラウド移行は運用負荷を軽減する一方、「ブラックボックス化」によるガバナンス喪失のリスクをはらんでいる。Siemens Healthineersは、現場や取引先に負担をかけずこの制約をどう突破したのか。

[TechTargetジャパン] PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

SAP | Microsoft Azure | クラウドERP | ERP | VPN


 企業アプリケーションの近代化はそれ自体が巨大なプロジェクトだが、企業分割の最中に実施するとなれば、その困難さは飛躍的に増大する。

 医療機器の製造を手掛けるSiemens Healthineersは、親会社であるSiemensからの事業分離に伴い、完全に独立したITインフラを確立する必要に迫られていた。そのインフラ構築の第一歩として、SAPのクラウド移行支援サービス「RISE with SAP」を利用し、基幹システムを「Microsoft Azure」内のクラウドERP(統合基幹業務システム)「SAP S/4HANA」に移行するプロジェクトを開始した。

 フルマネージド型のシステム構成は運用管理を容易にする一方で、「ブラックボックス」化による制約を生む。Siemens Healthineersが求めるきめ細かな制御や自由度の高いアクセス付与は、従来のセキュリティモデルでは実現困難だった。クラウド移行に立ちはだかる課題に対し、Siemens Healthineersは既存ネットワークの複雑化を招くことなく、独自のアプローチでゼロトラストセキュリティを構築して解決を図った。どのような解決策を編み出したのか。

SAP移行を阻む「3つの死角」と3つの解決策

 Siemens Healthineersが直面した課題は、直接インターネットへ抜ける通信に対する社内ポリシーの適用、世界中の拠点にある物理プリンタへの安全な出力、外部のビジネスパートナーに対する最小特権でのアクセス付与という3つだ。

 要件を満たすため、Siemens HealthineersはSAPが推奨するアプローチに従い、クラウドセキュリティベンダーZscalerが提供するサービスを活用し、ゼロトラストセキュリティを前提としたシステムを設計した。中核となるのは、Microsoft Azureに独自構築したセキュアな「ランディングゾーン」だ。SAP S/4HANAからのトラフィックをインターネットに直結させず、独立したネットワーク同士を安全に接続する仕組み「仮想ネットワークピアリング」を通じてランディングゾーンに迂回(うかい)させることで、全通信を制御、検査する仕組みを作り上げた。

 この設計を土台とし、Siemens Healthineersは前述の課題を以下の3つの手法で解決した。

1.インターネット向け通信の保護

 独自のランディングゾーンに、クラウドサービスからの通信を保護する「Zscaler Zero Trust Cloud Connector」を配置し、RISE with SAPからの外部通信を全て捕捉する仕組みを整えた。通信はZscalerのシステムを経由してコンテンツ検査とポリシー適用が実施されるため、社内基準に準拠したセキュアな状態を確実に維持できる。

2.パートナー企業の接続維持とセキュリティ確保

 外部パートナーとの連携は不可欠だが、彼らに新しい接続モデルへの移行を強いることは現実的ではなかった。そこでSiemens Healthineersはハイブリッドな解決策を採用した。Microsoft Azureに専用のアクセス領域と新たなVPNコンセントレーターを構築し、パートナーは既存のIPsec VPN接続の接続先を切り替えるだけで済むようにしたのだ。到達したトラフィックは、特定のアプリケーションへの安全なアクセスを提供する「Zscaler Private Access」(ZPA)に引き継がれ、ネットワーク全体ではなく特定のSAPアプリケーションに対してのみ接続が許可される。これによって、業務を止めることなくトラフィックの完全な分離と最小特権アクセスを実現した。

3.物理デバイスへの出力課題の解消

 クラウドサービスから世界各地にある物理プリンタに安全に出力するため、各拠点に、拠点間通信を安全に接続する「Zscaler Branch Connector」を配置した。クラウドサービスにあるシステムから印刷指示を出すと、ZPAがネットワークを経由して拠点のコネクターに要求をルーティングし、プリンタへと安全にデータが送られる。複雑なファイアウォール設定を必要とせず、クラウドサービスと物理拠点の溝を埋めることに成功した。

 Siemens Healthineersはクラウド移行と事業分離という難題を契機に、最新のセキュリティモデルを体現する仕組みを作り上げた。ミッションクリティカルなシステムを保護するだけではなく、自由度と拡張性を持ち、将来の変化にも適応できる独立したITインフラを手にしたことで、より機敏で効率的な組織としての成長を見据えている。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

ページトップに戻る