SAP Security Optimization サービスポートフォリオ

SAP Security Optimization サービスポートフォリオでは、重大なセキュリティ問題に対して事前に対策を講じておくことにより、お客様の SAP ソリューションのスムーズなオペレーションを確保します。

ベストプラクティス

SAP ソリューションのセキュリティと可用性を高いレベルで維持することは、お客様のビジネスにとって大変重要です。分析によって次のことが可能になります。

  • システムへの侵入リスクの低減
  • ビジネスデータの機密性の確保
  • 確実なユーザー認証
  • 間違ったユーザーインタラクションに起因するダウンタイムがもたらす損失リスクを大幅に低減

SAP Security Optimization サービスポートフォリオのトピック:

SAP Security Optimization サービス全般の概要についてはこちらをご覧ください。

この領域は、「セキュリティパッチ管理」や「セキュリティ設定分析」などのトピック領域への入り口となります。

提供サービスの概要のほか、情報およびベストプラクティス、ツールおよびセルフサービス、リモートおよびオンサイトサービス、その他の体系的なエンゲージメントモデルなどの詳細情報へのリンクがあります。

アドバイザリー

SAP Security Notes Advisory (2020年 2月)

Security Notes Webinar  (2020年 2月)

セキュリティ概要

Please, select...

SAP ソリューションのセキュリティの概要

SAP ソリューションのセキュリティ状態に関する概要を把握するために推奨される最初のステップは次のとおりです。

SAP のツール、サービス、推奨事項の詳細については、SAP CoE Security Services のマスタースライドデッキをご覧ください。

 

セキュアオペレーションマップの概要

The Secure Operations Map

  • is a Reference Model to structure the broad area of security for content, discussions and as a basis for a 360° view on security – i.e. you can't “order” a block, but you can allocate discussions, needs and solutions to specific security areas
  • focuses on the Operational Aspects of security – i.e. on the tasks and considerations which a customer or service provider has to take into account to maintain and operate their systems and landscapes in a secure manner.
  • is further interpreted in the concrete Context of SAP Systems, although the model also could be applied to non-SAP realms.

The tracks of the Secure Operations Map cover the following topics:

Environment

The “Environment” layer looks at the non-SAP technical environment of SAP cloud offerings, solutions and systems.

  • Network Security
    It is important to have additional protection and monitoring mechanisms embedded into the underlying network infrastructure. Potential attacks need to be countered already through zoning concepts and network components like routers, firewalls or web application filters. Security-critical activities need to be monitored and countered by intrusion detection and prevention systems.
    Note that communication security measures in SAP offerings and solutions as well as SAP infrastructure components like SAProuter or SAP Cloud Connector are not part of this block. They are handled in “Security Hardening” (e.g. SAP Cloud Connector, SAProuter), “Authentication & Single Sign-On” (e.g. RFC Gateway, SNC, TLS) or “Roles & Authorizations”.
  • Operating System & Database Security
    When OS and DB are insufficiently configured or users are able to bypass access controls at that level, the protection of applications running on top is at risk. Corresponding security controls in focus include file system level permissions, database user security, tenant separation or data-at-rest encryption methods.
    Note that databases from SAP are not part of this building block. They are addressed as specific projections on the Secure Operations Map, as several buildings apply with more details and SAP-specific content.
  • Client Security
    Adversaries may attack client systems to get an entry point, inject bogus data in the traffic or subject the client to weird behavior, if not properly protected. This building block is about client side controls such as secure maintenance, configuration, control and monitoring of the client or execution rules for browsers.
    SAP clients like SAPGUI or SAP Business Client are not considered here but in the “Security Hardening” building block.

System

The “System” layer addresses the SAP platform layer which provides the foundation for all applications operated upon it. The integrity and robustness of this platform is key to ensure that application layer controls (e.g. the authorization systems) cannot be circumvented by lower level vulnerabilities (e.g. SQL injections made possible via insecure code).

  • Security Hardening
    Security Hardening foremost deals with suitable secure settings of relevant system parameters and other configurations.
    It also includes activation of security features and functionalities, which may be switched off initially for backward compatibility and migration purposes or which need specific setup and configuration (e.g. UCON)
    It also includes hardening of SAP frontend components like SAPGUI or SAP Business Client and of SAP infrastructure components like SAProuter or SAP Cloud Connector.
  • Secure SAP Code
    SAP is continuously doing a high investment to develop and deliver secure code to its customers. Nevertheless, security updates for already delivered code are required regularly due to new attacks and newly identified vulnerabilities.
    SAP provides these security updates to its customers via Support Packages / Releases and via SAP Security Notes – published monthly on the SAP Security Patch Day.
    Customers need to establish a corresponding Security Maintenance process to ensure a regular and suitable consumption of these security updates.
  • Security Monitoring & Forensics
    With today's powerful attacks and complex landscapes, proactive security is absolutely required but not sufficient. It needs to be enhanced by reactive security mechanisms, which are able to identify security weaknesses and breaches and thus allow to properly counter them. This includes review and validation activities as well as life monitoring of system operations and triggering of appropriate countermeasures in case of an attack or suspicious system behaviors.
    Logs and support are also required for forensics in retrospect of identified or suspected attacks. Also this needs preparation. If one only starts to look for evidence, when something seems to have happened, it may be too late to activate what would have been required to have this evidence.

Application

The “Application” layer is about controls that are available in SAP standard applications and non-standard applications built by customers. Here, protective measures are discussed on users and privileges level as well as proper application design.

  • User & Identity Management
    This building block includes the lifecycle management of user accounts in systems and landscapes, proper provisioning, maintenance and revocation, including the approval, assignment and revocation of authorizations to/from specific users. Technical and emergency users are handled here as well as the topic of federation in hybrid environments.
    Authorization design, role building and handling of Segregation of Duties are not handled here but in “Roles & Authorizations”.
  • Authentication and Single Sign-On
    Authentication deals with the verification of the true identity of a claimed user. It may be as simple as a password, may include multi-factor mechanisms and may also deal with trusted system connections in which one systems relies on the correct authentication by another system.
    Single Sign-On establishes an infrastructure, in which a user authenticates himself once in a landscape to then get access to several systems without the need for repeated additional authentication.
    As communication security mechanisms like TLS for http-based connections or SNC for RFC connections support the authentic communication between systems and with clients, these mechanisms are included here as well.
  • Roles & Authorizations
    This building block is about everything around roles and authorizations, including the proper definition, distribution and  maintenance of authorizations as well as the alignment and combination of roles to business roles across systems in hybrid landscapes. Control of compliance and Segregation of Duties is also covered here.
    The assignment and revocation of roles to/for specific users is not handled here but in “User & Identity Management”.
  • Custom Code Security
    The first step in Custom Code Security is proper Custom Code Management: Unnecessary custom code should be removed, required custom code should be maintained in a proper Custom Code Lifecycle Management.
    Custom Code Lifecycle Management should cover the whole lifecycle from secure architecture & design via secure development – including but not restricted to the use of code security scanners – up to secure deployment, security maintenance and finally custom code retirement.

Processes

The “Processes” layer extends the pure security view with compliance aspects.  While security focuses on operating robust SAP applications preventing intentional and unintentional malfunctions and compromise of confidentiality, regulatory compliance deals with the correct behavior of applications with regards to policies and legal demands coming from the various jurisdictions SAP systems are operated in.

  • Regulatory Process Compliance
    In this building block, application functions are considered for their potential capabilities to significantly violate legal requirements when not used properly.  Additional controls are then investigated that help keep the risk of such violations under control – prominent examples are mechanisms such as double invoice checks or special tax statement control. Typical regulation that is addressed by such procedures is HIPAA, Basel II+III or SoX, just to name a few.
  • Data Privacy & Protection
    The topics in this building block focus on proper handling and protection mechanisms applicable directly to data belonging to individuals that are specifically protected by newer DPP legislation such as the European GDPR and similar requirements that demand capabilities such as blocking & deletion, consent management, right of access and validation etc.
    Even though such mechanisms are not solely related to DPP demands, this building block also includes strong confidentiality measures like field tokenizing or encryption at rest.
  • Audit & Fraud Management
    While regulation must be followed for legal reasons, company often require additional capabilities to detect fraudulent behavior and make sure the controls in place are working effectively. This building block discusses solutions that allow auditing and fraud detection to run smoothly and provide correct data on the covered applications.

Organization

Similar to the “Environment” layer, this “Organization” layer is also important to set the environment for SAP systems and SAP cloud solutions. It sets the stage and gives needs and requirements as input to be considered.

  • Awareness
    General security awareness is an important pre-condition to achieve security. Not everyone has to be a security expert – but everyone needs to contribute on his part and also needs to identify when security expertise should be called. Ignoring or even countering or circumventing security regulations and mechanisms can endanger a whole landscape. “Awareness” thus also is directly linked to user-friendliness and ease of handling of any security mechanisms or configuration.
  • Security Governance
    Security Governance addresses everything regarding general organization, procedures and regulations including those, which may directly or indirectly impact the setup, configuration, integration and operation of SAP cloud solutions, systems and landscapes.
  • Risk Management
    This comprises all elements on identifying, handling, mitigating and resolving risks including services or SAP solutions in this area

SAP Enterprise Support Academy の SAP Security Engagement とセキュリティ

SAP Security Engagement では、SAP Active Global Supportとお客様が共同で数カ月にわたり、特定の状況で最も関連性の高いセキュリティに関するトピックエリアに焦点を合わせ、お客様の SAP ランドスケープにおけるセキュリティの改善と強化に取り組みます。このサービスをご利用いただけるのは、SAP MaxAttention、SAP Safeguarding および SAP ActiveEmbedded のお客様のみとなります。

通常、この SAP Security Engagementでは最初に、サービス提供期間中に取り組むべきテーマについて話し合うセキュリティワークショップを実施します。その後のサービス提供期間中、単にセキュリティワークショップで成果を得ていただくというだけにとどまらず、お客様の SAP ランドスケープのセキュリティにどれほどよい影響がもたらされたのかを実際に検証可能な形で確認いただけるようにもサポートします。最後に、セキュリティ検証ワークショップでサービス提供フェーズの結果のまとめを行い、セキュリティ強化の達成状況を検証して、SAP Security Engagementのサービス終了後に実施が推奨される次のステップの概要を示します。

SAP Enterprise Support のお客様は、エキスパートによる設定支援 (EGI) のセッションを始めとする豊富な情報とサービスを SAP Enterprise Support Academy とセキュリティの SAP Enterprise Support バリューマップでご利用いただけます。

セキュリティトピック領域

Please, select...

セキュリティメンテナンス/セキュリティパッチ管理

SAP ではセキュリティの高い製品を提供するために多大の投資を行っていますが(ホワイトペーパー「Secure Software Development at SAP」をご参照ください)、これまでにないタイプの攻撃パターンや潜在的な脆弱性が新たに発見されることがあります。これらに対処するために、リリース済みの製品に対してセキュリティパッチを提供する場合があります。継続的にお客様のシステムを保護するために、インストール済みの SAP ソフトウェアのセキュリティメンテナンスを行うことが重要になります。

お客様、パートナー様、および SAP ユーザーグループからのフィードバックを踏まえて、毎月第 2 火曜日を SAP セキュリティパッチデーと定めています。これは、ほかの主要ソフトウェアベンダーのセキュリティパッチデーと意図的に合わせています。SAP では、潜在的な脆弱性や攻撃から保護するために、セキュリティのみに関連するセキュリティ修正を SAP セキュリティノートとしてこのパッチデーに発行します。ラウンチパッドの[SAP セキュリティノート] -> [すべての SAP セキュリティノート]から、すべてのセキュリティノートの完全なリストを確認できます。これらの修正はできるだけ早く適用することを推奨します。これらの修正を特定、選択および適用するにあたっては、支援ツールがいくつか用意されています。

各パッチデーの推奨手順が記載された文書として、メディアライブラリーにある最新のプレゼンテーション「SAP CoE Security Services - Security Patch Process」および過去のプレゼンテーション「Working Paper SAP Security Patch Day」をご覧いただけます。

各パッチデーの推奨手順が記載された文書として、メディアライブラリーにある最新のプレゼンテーション 「Security Notes Webinar」と、 「SAP Security Notes Advisory」によるパッケージでもご覧いただけます。どちらの文書も毎月更新されます。

各パッチデーの一般的な推奨手順の概要は次のとおりです。

  • SAP セキュリティノートの更新リストを確認します。
  • SAP Solution Manager の System Recommendations ツールを使用して、システムランドスケープ内のさまざまなシステムに関係するセキュリティノートを確認します。
  • ノートアシスタント(トランザクション SNOTE)などのツールを使用して個々の ABAP セキュリティノートを適用するか、必要なセキュリティノートについてのセクションが表示されるようになったメンテナンスオプティマイザーを使用して ABAP サポートパッケージや Java パッチの適用を計画します。

セキュリティ設定分析

これらのサービスおよびツールでは、すべてのシステムおよびインストール済みソフトウェアコンポーネントにおけるセキュリティ関連の設定を定期的にレビューすることにより、セキュリティ関連の設定および変更を確実に保守できます。

機能と推奨手順が記載された文書として、プレゼンテーション「SAP CoE Security Services - Check Configuration & Authorization」をご覧いただけます。

EarlyWatch Alert レポートには、セキュリティに関する SAP からの最重要な推奨事項が表示されます。これにより、SAP のお客様は迅速かつ簡単に問題を特定し、必要な対策を講じることができます。EWA のセキュリティチェックの詳細については、SAP Note 863362 をご参照ください。

SAP Security Optimization サービス(SOS)は、SAP システムのセキュリティを確認するサービスです。システム解析を実施し、その結果としてシステム設定に関する推奨事項を作成します。このサービスでは、システム設定とカスタマイジング設定のうち、システムのセキュリティに影響を与えるものを対象に作業を行います。また、システム内部セキュリティとシステム外部セキュリティの双方に重点を置いたサービスを提供します。内部セキュリティの改善は、ベースとなる多数の重要な権限をチェックすることによって行われます。また、文書「SAP Security Optimization Service – Verifying the Findings」に記載されている方法で、いつでもシステムの解析結果を確認できます。外部セキュリティの改善は、お客様のシステムのアクセシビリティおよび使用されている認証方法をチェックすることによって行われます。

Configuration Validation によって、お客様のランドスケープのシステムが矛盾なく、要件どおり設定されているかどうかを確認できます。定義された対象ステータス(対象システム)を使ってランドスケープのシステムの現状の設定をチェックし、既存システムと比較することができます。

SAP Security Optimization サービスでは、「Secure Configuration SAP NetWeaver Application Server ABAP」などのホワイトペーパーで説明されているトピックが網羅されています。

SAP NetWeaver Application Server ABAP に対する Security Optimization セルフサービスの提供範囲

  • ベーシス管理チェック
  • ユーザー管理チェック
  • スーパーユーザーチェック
  • パスワードチェック
  • スプールおよびプリンターの権限チェック
  • バックグラウンドの権限チェック
  • バッチインプットの権限チェック
  • 移送制御の権限チェック
  • ロール管理の権限チェック
  • プロファイルパラメーターのチェック
  • SAP GUI シングルサインオン (SSO) のチェック
  • 証明書シングルサインオン (SSO) のチェック
  • 外部認証チェック

上記のチェックの完全なリストについては、メディアライブラリーにある以下の文書をご参照ください。

これらの文書を使用して、セキュリティ設定を検証するために現在お使いのチェックリストと SOS のチェックを比較することができます。

HANA については、提供されているサービスの説明とチェックの概要をプレゼンテーション「HANA Security Remote Service Content」でご覧いただけます。

また、以下の文書でも、フォーマット済みレポートを表示する場合の例をご確認いただけます。

セッションを準備するにあたって、アンケートへの記入が必要になります。このアンケートの一環として、重要な権限に関するカスタムチェックを追加できます。アンケートの例は、メディアライブラリーにある「Security Optimization Self-Service - Questionnaire」に記載されています。

SAP Security Optimization サービスは、ABAP ベースのシステムでは「ガイド付きセルフサービス」として、ABAP と Java のシステムではリモートサービスとしてご利用いただけます。「ABAP on HANA」インストレーションの場合は、SOS for ABAP の一環として HANA のチェックが標準で提供されます。現在、純粋な HANA データベース向けの SOS for HANA を別途提供していません。

Guided SOS Self Service - HowTo Guide / Demo」(Flash 形式)でインタラクティブなデモをご覧いただけます。あるいは、実行可能文書「Guided SOS Self Service - HowTo Guide / Demo」(EXE 形式)をご利用ください。SAP Note 1484124 には、ABAP ベースのシステムでガイド付きセルフサービスを実行するための前提条件が記載されています。

このサービスはいつでもご利用いただけます。特に本稼動移行フェーズの最後に使用することをお勧めします。このサービスは、内部監査および外部監査の準備にも大変役立ちます。さらに、システム構成が正常に変更されたこと、および新しい脆弱性が存在しないことを確認するために再実行することもできます。

セキュリティに関するサービス、ツール、情報

Best practices-based security services

SAP では、お客様がご自身のビジネスプロセスを保護できるように、包括的なセキュリティポートフォリオをサービスとして提供しています。SAP は EarlyWatch Alert のセキュリティチェックを開始点として、Security Optimization サービスとセキュリティノート(SAP Support Portal で公開され、SAP Solution Manager の System Recommendations アプリケーションに表示されるもの)を中心とした詳細なサービスを提供します。

これらのサービスから得られた結果をその企業のセキュリティポリシーと結び付け、その企業の SAP セキュリティベースラインを定義します。この文書は、SAP Solution Manager の Configuration Validation アプリケーションの対象システムを定義するために使用します。このアプリケーションのシステム間 BW レポートは直接使用することも、結果を SAP Solution Manager の管理ダッシュボードをはじめとする別のレポート作成インフラストラクチャー、BusinessObjects、GRC プロセス制御、その他のレポート作成システムに渡して使用することもできます。

関連情報

Media Library

Title Type Changed
_SAP Security Notes Advisory (for February 2020) ZIP 2020-02
_Security Notes Webinar PDF 2020-02
RFC Gateway and Message Server Security PDF 2019-06
SAP CoE Security Services - Check Configuration & Authorization PDF 2020-01
SAP CoE Security Services - Overview PDF 2020-01
SAP CoE Security Services - Secure Operations Map PDF 2020-01
SAP CoE Security Services - Security Patch Process PDF 2019-07
SAP CoE Security Services - Security Baseline Template Version 1.9 (including ConfigVal Package version 1.9_CV-5) ZIP 2018-08
SAP CoE Security Services - Security Baseline Template Version 2.0 (without ConfigVal Package) ZIP 2020-02
Arbeitspapier - SAP Security Patch Day (German) PDF 2012-08
Working Paper - SAP Security Patch Day (English) PDF 2012-08
Configuration Validation WIKI (current version see online version) PDF 2016-04
EarlyWatch Alert Report - Security Chapter PDF 2010-09
EarlyWatch Alert Sample Report PDF 2011-06
Factsheet Security Engagement PDF 2017-10
Guided SOS Self Service - HowTo Guide / Demo (EXE) EXE 2012-01
Guided SOS Self Service - HowTo Guide / Demo (Flash) SWF 2012-01
HANA Security Remote Service Content PDF 2016-10
RFC Security v1.2 (from 2004-2008) PDF 2008-07
SAP Cloud Platform - Neo Environment - Security
PDF 2018-01
SEC204 – Live on Stage: Monthly Security Patch Webinar about System Recommendations on SAP Solution Manager 7.2 PDF 2016-11
SIS261 Cross-System Security Validation using SAP Solution Manager 7.1 (Exercises) PDF 2014-11
SCI262 Cross-System Security Validation Using SAP Solution Manager 7.1 PDF 2014-11
SCI262 Cross-System Security Validation Using SAP Solution Manager 7.1 (Recording) MP4 2014-11
SIS264 Securing Remote Access within SAP NetWeaver AS ABAP PDF 2012-11
SOS: Get List of ALL Detected Users PDF 2015-04
Security Optimization Self Service - Overview PDF 2010-05
Security Optimization Self-Service - Questionnaire PDF 2013-02
Security Optimization Self-Service - Sample Report for ABAP PDF 2016-02
Security Optimization Self-Service - Sample Report for JAVA PDF 2016-03
SOS HANA Service Report Example PDF 2016-07
Security Optimization Service - ABAP Checks PDF 2016-03
Security Optimization Service - JAVA Checks PDF 2016-03
Security Optimization Service - Summary PDF 2010-05
Security Optimization Service - Watcher Guide PPT 2010-06
Verify Users Authorization PDF 2012-08