SAP Security Optimization サービスポートフォリオ

SAP Security Optimization サービスポートフォリオでは、重大なセキュリティ問題に対して事前に対策を講じておくことにより、お客様の SAP ソリューションのスムーズなオペレーションを確保します。

ベストプラクティス

SAP ソリューションのセキュリティと可用性を高いレベルで維持することは、お客様のビジネスにとって大変重要です。分析によって次のことが可能になります。

  • システムへの侵入リスクの低減
  • ビジネスデータの機密性の確保
  • 確実なユーザー認証
  • 間違ったユーザーインタラクションに起因するダウンタイムがもたらす損失リスクを大幅に低減

SAP Security Optimization サービスポートフォリオのトピック:

SAP Security Optimization サービス全般の概要についてはこちらをご覧ください。

この領域は、「セキュリティパッチ管理」や「セキュリティ設定分析」などのトピック領域への入り口となります。

提供サービスの概要のほか、情報およびベストプラクティス、ツールおよびセルフサービス、リモートおよびオンサイトサービス、その他の体系的なエンゲージメントモデルなどの詳細情報へのリンクがあります。

アドバイザリー

SAP Security Notes Advisory (2018年 8月)

Security Notes Webinar  (2018年 9月)

セキュリティ概要

Please, select...

SAP ソリューションのセキュリティの概要

SAP ソリューションのセキュリティ状態に関する概要を把握するために推奨される最初のステップは次のとおりです。

SAP のツール、サービス、推奨事項の詳細については、SAP CoE Security Services のマスタースライドデッキをご覧ください。

 

セキュアオペレーションマップの概要

セキュアオペレーションマップでは、セキュアなオペレーションのトピック全体を 5 つの領域に分け、さらに 16 のトラックに分類しています。各トラックには、それぞれのトピックの概要と、セキュアオペレーションで重要となるアクティビティの概要が示されています。

セキュアオペレーションマップのトラックでは、次のトピックを扱っています。

セキュリティコンプライアンス

  • セキュリティガバナンス: SAP ランドスケープのセキュリティポリシーを採択、 SAP セキュリティベースラインを作成、導入
  • 監査:企業の IT インフラストラクチャとオペレーションの社内および社外のガイドラインに対するコンプライアンスを確認、検証
  • クラウドのセキュリティ:クラウドおよびアウトソーシングのシナリオにおけるセキュアなオペレーションを確保
  • 緊急事態コンセプト:緊急事態に対する準備と対応

セキュアオペレーション

  • ユーザーと権限:IT ユーザー(管理者などの特殊ユーザーを含む)と権限を管理
  • 認証とシングルサインオン:必要なときだけユーザーを適切に認証
  • サポートのセキュリティ:確実にソフトウェアインシデントを解決
  • セキュリティのレビューと監視:SAP システムのセキュリティを定期的にレビュー、監視

セキュアセットアップ

  • セキュアな構成:標準およびカスタムのビジネスアプリケーションをセキュアに構築し、保守
  • 通信のセキュリティ:SAP ソフトウェアで利用できる通信セキュリティ対策を活用
  • データのセキュリティ:認証による保護だけにとどまらず、重要なデータをセキュリティ保護

セキュアコード

  • SAP コードのセキュリティ維持:SAP 提供のコードのセキュリティを維持するための効果的なプロセスを確立
  • カスタムコードのセキュリティ:セキュアなカスタムコードを開発し、コードのセキュリティを維持

インフラストラクチャのセキュリティ

  • ネットワークのセキュリティ:SAP の要件に対応するセキュアなネットワーク環境を確保
  • オペレーティングシステムとデータベースのセキュリティ:OS および DB レベルでの SAP の要件に対応
  • フロントエンドのセキュリティ:ワークステーションやモバイルデバイスなどのフロントエンドで適切なセキュリティを確立

このセキュアオペレーションマップは SAP が提供する豊富なセキュリティ関連情報に取って代わるものではなく、SAP Help Portal、SAP Support Portal、SAP Community Network、SAP Notes などを通じて提供される詳細情報を可能な限り引用しながら、これらの情報の概要やガイドを提供することを目的としています。

セキュアオペレーションマップの目的は、SAP ソリューションのセキュアなオペレーションのために重要なアクティビティをお客様にご紹介することです。(テクノロジーではなく)アクティビティに焦点を合わせているため、「オペレーションを担当することになったが、セキュリティを管理するために何をすればよいのか」といった疑問に対して、実用的な答えが得られます。

SAP Enterprise Support Academy の SAP Security Engagement とセキュリティ

SAP Security Engagement では、SAP Active Global Supportとお客様が共同で数カ月にわたり、特定の状況で最も関連性の高いセキュリティに関するトピックエリアに焦点を合わせ、お客様の SAP ランドスケープにおけるセキュリティの改善と強化に取り組みます。このサービスをご利用いただけるのは、SAP MaxAttention、SAP Safeguarding および SAP ActiveEmbedded のお客様のみとなります。

通常、この SAP Security Engagementでは最初に、サービス提供期間中に取り組むべきテーマについて話し合うセキュリティワークショップを実施します。その後のサービス提供期間中、単にセキュリティワークショップで成果を得ていただくというだけにとどまらず、お客様の SAP ランドスケープのセキュリティにどれほどよい影響がもたらされたのかを実際に検証可能な形で確認いただけるようにもサポートします。最後に、セキュリティ検証ワークショップでサービス提供フェーズの結果のまとめを行い、セキュリティ強化の達成状況を検証して、SAP Security Engagementのサービス終了後に実施が推奨される次のステップの概要を示します。

SAP Enterprise Support のお客様は、エキスパートによる設定支援 (EGI) のセッションを始めとする豊富な情報とサービスを SAP Enterprise Support Academy とセキュリティの SAP Enterprise Support バリューマップでご利用いただけます。

セキュリティトピック領域

Please, select...

セキュリティメンテナンス/セキュリティパッチ管理

SAP ではセキュリティの高い製品を提供するために多大の投資を行っていますが(ホワイトペーパー「Secure Software Development at SAP」をご参照ください)、これまでにないタイプの攻撃パターンや潜在的な脆弱性が新たに発見されることがあります。これらに対処するために、リリース済みの製品に対してセキュリティパッチを提供する場合があります。継続的にお客様のシステムを保護するために、インストール済みの SAP ソフトウェアのセキュリティメンテナンスを行うことが重要になります。

お客様、パートナー様、および SAP ユーザーグループからのフィードバックを踏まえて、毎月第 2 火曜日を SAP セキュリティパッチデーと定めています。これは、ほかの主要ソフトウェアベンダーのセキュリティパッチデーと意図的に合わせています。SAP では、潜在的な脆弱性や攻撃から保護するために、セキュリティのみに関連するセキュリティ修正を SAP セキュリティノートとしてこのパッチデーに発行します。ラウンチパッドの[SAP セキュリティノート] -> [すべての SAP セキュリティノート]から、すべてのセキュリティノートの完全なリストを確認できます。これらの修正はできるだけ早く適用することを推奨します。これらの修正を特定、選択および適用するにあたっては、支援ツールがいくつか用意されています。

各パッチデーの推奨手順が記載された文書として、メディアライブラリーにある最新のプレゼンテーション「SAP CoE Security Services - Security Patch Process」および過去のプレゼンテーション「Working Paper SAP Security Patch Day」をご覧いただけます。

各パッチデーの推奨手順が記載された文書として、メディアライブラリーにある最新のプレゼンテーション 「Security Notes Webinar」と、 「SAP Security Notes Advisory」によるパッケージでもご覧いただけます。どちらの文書も毎月更新されます。

各パッチデーの一般的な推奨手順の概要は次のとおりです。

  • SAP セキュリティノートの更新リストを確認します。
  • SAP Solution Manager の System Recommendations ツールを使用して、システムランドスケープ内のさまざまなシステムに関係するセキュリティノートを確認します。
  • ノートアシスタント(トランザクション SNOTE)などのツールを使用して個々の ABAP セキュリティノートを適用するか、必要なセキュリティノートについてのセクションが表示されるようになったメンテナンスオプティマイザーを使用して ABAP サポートパッケージや Java パッチの適用を計画します。

セキュリティ設定分析

これらのサービスおよびツールでは、すべてのシステムおよびインストール済みソフトウェアコンポーネントにおけるセキュリティ関連の設定を定期的にレビューすることにより、セキュリティ関連の設定および変更を確実に保守できます。

機能と推奨手順が記載された文書として、プレゼンテーション「SAP CoE Security Services - Check Configuration & Authorization」をご覧いただけます。

EarlyWatch Alert レポートには、セキュリティに関する SAP からの最重要な推奨事項が表示されます。これにより、SAP のお客様は迅速かつ簡単に問題を特定し、必要な対策を講じることができます。EWA のセキュリティチェックの詳細については、SAP Note 863362 をご参照ください。

SAP Security Optimization サービス(SOS)は、SAP システムのセキュリティを確認するサービスです。システム解析を実施し、その結果としてシステム設定に関する推奨事項を作成します。このサービスでは、システム設定とカスタマイジング設定のうち、システムのセキュリティに影響を与えるものを対象に作業を行います。また、システム内部セキュリティとシステム外部セキュリティの双方に重点を置いたサービスを提供します。内部セキュリティの改善は、ベースとなる多数の重要な権限をチェックすることによって行われます。また、文書「SAP Security Optimization Service – Verifying the Findings」に記載されている方法で、いつでもシステムの解析結果を確認できます。外部セキュリティの改善は、お客様のシステムのアクセシビリティおよび使用されている認証方法をチェックすることによって行われます。

Configuration Validation によって、お客様のランドスケープのシステムが矛盾なく、要件どおり設定されているかどうかを確認できます。定義された対象ステータス(対象システム)を使ってランドスケープのシステムの現状の設定をチェックし、既存システムと比較することができます。

SAP Security Optimization サービスでは、「Secure Configuration SAP NetWeaver Application Server ABAP」などのホワイトペーパーで説明されているトピックが網羅されています。

SAP NetWeaver Application Server ABAP に対する Security Optimization セルフサービスの提供範囲

  • ベーシス管理チェック
  • ユーザー管理チェック
  • スーパーユーザーチェック
  • パスワードチェック
  • スプールおよびプリンターの権限チェック
  • バックグラウンドの権限チェック
  • バッチインプットの権限チェック
  • 移送制御の権限チェック
  • ロール管理の権限チェック
  • プロファイルパラメーターのチェック
  • SAP GUI シングルサインオン (SSO) のチェック
  • 証明書シングルサインオン (SSO) のチェック
  • 外部認証チェック

上記のチェックの完全なリストについては、メディアライブラリーにある以下の文書をご参照ください。

これらの文書を使用して、セキュリティ設定を検証するために現在お使いのチェックリストと SOS のチェックを比較することができます。

HANA については、提供されているサービスの説明とチェックの概要をプレゼンテーション「HANA Security Remote Service Content」でご覧いただけます。

また、以下の文書でも、フォーマット済みレポートを表示する場合の例をご確認いただけます。

セッションを準備するにあたって、アンケートへの記入が必要になります。このアンケートの一環として、重要な権限に関するカスタムチェックを追加できます。アンケートの例は、メディアライブラリーにある「Security Optimization Self-Service - Questionnaire」に記載されています。

SAP Security Optimization サービスは、ABAP ベースのシステムでは「ガイド付きセルフサービス」として、ABAP と Java のシステムではリモートサービスとしてご利用いただけます。「ABAP on HANA」インストレーションの場合は、SOS for ABAP の一環として HANA のチェックが標準で提供されます。現在、純粋な HANA データベース向けの SOS for HANA を別途提供していません。

Guided SOS Self Service - HowTo Guide / Demo」(Flash 形式)でインタラクティブなデモをご覧いただけます。あるいは、実行可能文書「Guided SOS Self Service - HowTo Guide / Demo」(EXE 形式)をご利用ください。SAP Note 1484124 には、ABAP ベースのシステムでガイド付きセルフサービスを実行するための前提条件が記載されています。

このサービスはいつでもご利用いただけます。特に本稼動移行フェーズの最後に使用することをお勧めします。このサービスは、内部監査および外部監査の準備にも大変役立ちます。さらに、システム構成が正常に変更されたこと、および新しい脆弱性が存在しないことを確認するために再実行することもできます。

セキュリティに関するサービス、ツール、情報

Best practices-based security services

SAP では、お客様がご自身のビジネスプロセスを保護できるように、包括的なセキュリティポートフォリオをサービスとして提供しています。SAP は EarlyWatch Alert のセキュリティチェックを開始点として、Security Optimization サービスとセキュリティノート(SAP Support Portal で公開され、SAP Solution Manager の System Recommendations アプリケーションに表示されるもの)を中心とした詳細なサービスを提供します。

これらのサービスから得られた結果をその企業のセキュリティポリシーと結び付け、その企業の SAP セキュリティベースラインを定義します。この文書は、SAP Solution Manager の Configuration Validation アプリケーションの対象システムを定義するために使用します。このアプリケーションのシステム間 BW レポートは直接使用することも、結果を SAP Solution Manager の管理ダッシュボードをはじめとする別のレポート作成インフラストラクチャー、BusinessObjects、GRC プロセス制御、その他のレポート作成システムに渡して使用することもできます。

関連情報

Media Library

Title Type Changed
_SAP Security Notes Advisory ZIP 2018-08
_Security Notes Webinar PDF 2018-09
SAP CoE Security Services - Check Configuration & Authorization PDF 2018-03
SAP CoE Security Services - Overview PDF 2016-09
SAP CoE Security Services - Secure Operations Map PDF 2017-10
SAP CoE Security Services - Security Patch Process PDF 2018-04
SAP CoE Security Services - Security Baseline Template Version 1.9 (including ConfigVal Package version 1.9_CV-5) ZIP 2018-08
Arbeitspapier - SAP Security Patch Day (German) PDF 2012-08
Working Paper - SAP Security Patch Day (English) PDF 2012-08
Configuration Validation WIKI (current version see online version) PDF 2016-04
EarlyWatch Alert Report - Security Chapter PDF 2010-09
EarlyWatch Alert Sample Report PDF 2011-06
Factsheet Security Engagement PDF 2017-10
Guided SOS Self Service - HowTo Guide / Demo (EXE) EXE 2012-01
Guided SOS Self Service - HowTo Guide / Demo (Flash) SWF 2012-01
HANA Security Remote Service Content PDF 2016-10
RFC Security v1.2 (from 2004-2008) PDF 2008-07
SAP Cloud Platform - Neo Environment - Security
PDF 2018-01
SEC204 – Live on Stage: Monthly Security Patch Webinar about System Recommendations on SAP Solution Manager 7.2 PDF 2016-11
SIS261 Cross-System Security Validation using SAP Solution Manager 7.1 (Exercises) PDF 2014-11
SCI262 Cross-System Security Validation Using SAP Solution Manager 7.1 PDF 2014-11
SCI262 Cross-System Security Validation Using SAP Solution Manager 7.1 (Recording) MP4 2014-11
SIS264 Securing Remote Access within SAP NetWeaver AS ABAP PDF 2012-11
SOS: Get List of ALL Detected Users PDF 2015-04
Security Optimization Self Service - Overview PDF 2010-05
Security Optimization Self-Service - Questionnaire PDF 2013-02
Security Optimization Self-Service - Sample Report for ABAP PDF 2016-02
Security Optimization Self-Service - Sample Report for JAVA PDF 2016-03
SOS HANA Service Report Example PDF 2016-07
Security Optimization Service - ABAP Checks PDF 2016-03
Security Optimization Service - JAVA Checks PDF 2016-03
Security Optimization Service - Summary PDF 2010-05
Security Optimization Service - Watcher Guide PPT 2010-06
Verify Users Authorization PDF 2012-08