SAP Security Optimization サービスポートフォリオ

SAP Security Optimization サービスポートフォリオでは、重大なセキュリティ問題に対して事前に対策を講じておくことにより、お客様の SAP ソリューションのスムーズなオペレーションを確保します。

ベストプラクティス

SAP ソリューションのセキュリティと可用性を高いレベルで維持することは、お客様のビジネスにとって大変重要です。分析によって次のことが可能になります。

  • システムへの侵入リスクの低減
  • ビジネスデータの機密性の確保
  • 確実なユーザー認証
  • 間違ったユーザーインタラクションに起因するダウンタイムがもたらす損失リスクを大幅に低減

SAP Security Optimization サービスポートフォリオのトピック:

SAP Security Optimization サービス全般の概要についてはこちらをご覧ください。

この領域は、「セキュリティパッチ管理」や「セキュリティ設定分析」などのトピック領域への入り口となります。

提供サービスの概要のほか、情報およびベストプラクティス、ツールおよびセルフサービス、リモートおよびオンサイトサービス、その他の体系的なエンゲージメントモデルなどの詳細情報へのリンクがあります。

アドバイザリー

SAP Security Notes Advisory (2020 年 5 月)

Security Notes Webinar  (2020 年 6 月)

セキュリティ概要

Please, select...

SAP ソリューションのセキュリティの概要

SAP ソリューションのセキュリティ状態に関する概要を把握するために推奨される最初のステップは次のとおりです。

SAP のツール、サービス、推奨事項の詳細については、SAP CoE Security Services のマスタースライドデッキをご覧ください。

セキュアオペレーションマップの概要

セキュアオペレーションマップ

  • 広範なセキュリティ領域のコンテンツやディスカッションを構造化し、セキュリティの 360°ビューの元になる参照モデル(Reference Model)です。各ブロックの「並べ替え」はできませんが、ディスカッション、ニーズ、ソリューションを具体的なセキュリティ領域に割り当てることが可能です。
  • セキュリティの運用面(Operational Aspects)、つまりお客様やサービスプロバイダーが、自社システムとランドスケープを安全に管理および運用するために考慮する必要のあるタスクや検討事項を表しています。
  • SAP システムの具体的なコンテキスト(Context of SAP Systems)に沿って 発展させることができます。また、SAP 以外にも適用できます。

セキュアオペレーションマップのトラックでは、次のトピックを扱っています。 

環境

「環境」層は、SAP クラウドサービス、ソリューション、およびシステムの非 SAP 技術環境を表しています。

  • ネットワークセキュリティ
    基盤となるネットワークインフラストラクチャーに追加の保護対策と監視メカニズムを埋め込むことが重要です。潜在的な攻撃への対抗措置として、ゾーニングの概念やルーター、ファイアウォールなどのネットワークコンポーネントや、Web アプリケーションフィルターをあらかじめ導入しておく必要があります。セキュリティに危険を及ぼすような活動は、侵入検出および防止システムによって監視し、対策を講じる必要があります。
    SAP のサービスとソリューションに組み込みの通信セキュリティ対策、および SAProuter や SAP Cloud Connector などの SAP インフラストラクチャーコンポーネントは、このブロックには含まれません。それらは、「セキュリティの強化」(SAP Cloud Connector、SAProuter など)、「認証とシングルサインオン」(RFC Gateway、SNC、TLS など)、または「ロールおよび権限」に含まれます。
  • オペレーティングシステムとデータベースのセキュリティ
    OS や DB の構成が不十分だったり、ユーザーがそのレベルのアクセス制御をバイパスできる場合、上位層で実行されているアプリケーションの保護がリスクにさらされます。これに対応する重要なセキュリティ制御には、ファイルシステムレベルの権限、データベースユーザーセキュリティ、テナントの分離、保存データの暗号化手法などがあります。
    SAP が提供するデータベースは、このビルディングブロックには含まれません。これらのセキュリティ制御はセキュアオペレーションマップの特定の分野に対応します。これは、複数のビルディングブロックで詳細な SAP 固有の内容が当てはまるためです。
  • クライアントセキュリティ
    クライアントが適切に保護されていないと、攻撃者がクライアントシステムを攻撃して侵入の足掛かりを作り、偽造データをトラフィックに紛れ込ませたり、クライアントに不審な動作をさせたりする可能性があります。このビルディングブロックは、クライアントの安全なメンテナンス、設定、制御、監視などのクライアント側の管理や、ブラウザーの実行ルールに関するものです。
    SAPGUI、SAP Business Client などの SAP クライアントは、ここではなく「セキュリティの強化」ビルディングブロックに該当します。

システム

「システム」層は SAP プラットフォーム層に対応します。これが、すべてのアプリケーションが動作する基盤となります。このプラットフォームの整合性と信頼性は、アプリケーション層の制御(権限システムなど)を、下位レベルの脆弱性の悪用(セキュアでないコードで SQL インジェクションを可能にするなど)によって回避できないことを保証するために必須のものです。

  • セキュリティの強化
    「セキュリティの強化」では最初に、関連するシステムパラメータやその他の構成が適切でセキュアな設定になるように対応します。
    これにはセキュリティ関連の機能と設定の有効化も含まれます。下位互換性および移行の目的のために、最初はオフにできる機能もありますが、確実にセットアップおよび構成しなければならない機能もあります(UCON など)。

    セキュリティの強化には、SAPGUI や SAP Business Client のような SAP のフロントエンドコンポーネント、および SAProuter や SAP Cloud Connector のような SAP インフラストラクチャーコンポーネントの強化も含まれます。
  • セキュアな SAP コード
    SAP は、セキュアなコードを開発し、お客様に提供するために、多大な投資を継続しています。しかしながら、新しい攻撃が登場し、新たな脆弱性が発見されるため、提供済みのコードにも定期的なセキュリティアップデートが必要です。
    これらのセキュリティアップデートは、SAP セキュリティパッチデーで毎月公開されるサポートパッケージ/リリースおよび SAP–セキュリティノート経由でお客様に提供されます。
    こうしたセキュリティアップデートを定期的かつ適切に適用していくため、お客様は対応するセキュリティメンテナンスプロセスを確立する必要があります。
  • セキュリティ監視とフォレンジックス
    今日の攻撃の激しさやランドスケープの複雑さを考えると、先手を打つ事前予防的なセキュリティ対策は絶対に必要ですが、それだけでは不十分です。事前予防的なセキュリティを強化し、セキュリティ脆弱性やセキュリティ違反を特定し、適切な対策を立てられるようにする必要があります。これには、確認と検証のアクティビティ、システム運用の耐用年数の監視、攻撃や疑わしいシステム動作が発生した場合の適切な対策の発動などの分野があります。
    特定された攻撃や疑わしい攻撃を過去に遡って調査するフォレンジックスには、記録とサポートが必要です。当然、準備も必要です。ただ証拠を探すだけのつもりで始めると、何か問題が起きたとしても、その証拠を得るために必要な対策をすぐにとらず、有意義な調査にならない可能性があります。

アプリケーション

「アプリケーション」層は、SAP 標準のアプリケーションおよびお客様が構築した非標準のアプリケーションで利用可能な制御に関するものです。ここでは、ユーザーと権限レベル、および適切なアプリケーション設計に関連する保護対策がディスカッションされます。

  • ユーザーおよび ID 管理
    このビルディングブロックには、システムやランドスケープのユーザーアカウントのライフサイクル管理、適切なプロビジョニング、メンテナンスと失効などが含まれます。特定のユーザーからの、または特定ユーザに対しての承認、割り当て、権限の失効も含まれます。テクニカルユーザーと緊急ユーザー、およびハイブリッド環境での連携に関するトピックを扱います。
    権限設計、ロール登録、および職務分掌の処理は、ここではなく「ロールおよび権限」で扱われます。
  • 認証とシングルサインオン
    認証は、ユーザーの主張する ID が真正かどうかを検証します。その手法は、パスワードのようにシンプルなものから、マルチファクターメカニズムまでさまざまであり、あるシステムが別のシステムでの正しい認証に依存するという、信頼できるシステム接続を使用します。
    シングルサインオンにより、ユーザーがランドスケープ内で一度認証されれば、認証操作を繰り返すことなく複数のシステムにアクセスできるようになるインフラストラクチャーが確立されます。
    http ベース接続用の TLS や RFC 接続用の SNC などの通信セキュリティメカニズムはシステム間、およびクライアントとの確実な通信をサポートするため、これらのメカニズムもここに含まれます。
  • ロールおよび権限
    このビルディングブロックでは、ロールと権限に関するあらゆるものが対象になります。権限の適切な定義、配布、メンテナンスや、ハイブリッドランドスケープ内の全システムにわたる、ビジネスロールに合わせたロールの整理および結合などです。コンプライアンスの制御と職務分掌もここに含まれます。
    特定のユーザーに対するロールの割り当てや失効は、ここではなく「ユーザーおよび ID 管理」で扱われます。
  • カスタムコードのセキュリティ
    「カスタムコードのセキュリティ」の最初のステップは、適切なカスタムコード管理です。適切なカスタムコードライフサイクル管理では、不要なカスタムコードを削除し、必要なカスタムコードをメンテナンスすることが極めて重要です。
    一般に、カスタムコードライフサイクル管理では、セキュアなアーキテクチャー、セキュアな開発による設計(コードセキュリティスキャナー使用に限らない)から、セキュアな導入、セキュリティメンテナンス、最終的なカスタムコードの廃止に至るライフサイクル全体を扱います。

プロセス

「プロセス」層は、純粋なセキュリティビューをコンプライアンスの側面から拡張したものです。  セキュリティでは、堅牢な SAP アプリケーションの運用による、意図的および偶発的な不具合や機密性低下の防止に主眼を置いていますが、規制コンプライアンスでは、SAP システムを運用しているさまざまな管轄区域で施行される政策や法的要求に従ったアプリケーションの正しい動作を目的としています。

  • 規制プロセスコンプライアンス
    このビルディングブロックでは、アプリケーションの機能を正しく使用しないと、法的規制を大きく違反する可能性がある点が考慮されます。  次に、このような違反のリスクを抑えるために役立つ追加の管理が調査されます。請求書のダブルチェックや特別税申告管理などのメカニズムはその良い例です。そのような管理手続きの対象となる代表的な規制には、2、3 挙げるだけでも HIPAA、Basel II+III、SoX などがあります。
  • 個人情報保護
    このビルディングブロックのトピックは、個人情報に直接適用される適切な処理および保護メカニズムに焦点を当てています。この種のデータは、ヨーロッパの GDPR やその他の類似規制など、近年の DPP 法規で特に保護されています。このような法規では、ブロックと削除、同意管理、アクセスと検証の権利などの機能の実装が求められます。
    そのようなメカニズムだけが DPP の要求に関係するわけではありません。このビルディングブロックには、フィールドのトークン化や保存情報の暗号化のような強力な機密性対策も含まれています。
  • 監査および不正管理
    規制は法的な理由から遵守する必要がありますが、多くの企業は、詐欺行為を検出するおよび関係する制御がきちんと効果的に動作することを保証するという理由のために、追加の機能を必要とします。このビルディングブロックでは、監査および不正検出を円滑に実施し、対象のアプリケーションに関する正しいデータを提供できるソリューションについて検討します。

組織

「環境」層と同様、この「組織」層も、SAP のシステムおよびクラウドソリューション向けの環境を設定するために重要なものです。この層では、ニーズと要件を考慮すべき入力情報として提示します。

  • 認識
    全般的なセキュリティに対する認識は、セキュリティを実現するために重要な前提条件です。全員がセキュリティの専門家になる必要はありませんが、各自の役割を果たす必要があります。また、どのタイミングでセキュリティの専門家に頼るべきかを見分ける必要もあります。セキュリティ関連の規制やメカニズムを無視、無効にしたり、回避したりすると、ランドスケープ全体を危険にさらすことにつながります。このように「認識」は、ユーザーの使い勝手、セキュリティメカニズムや設定の扱いやすさにも直接関係しています。
  • セキュリティガバナンス
    「セキュリティガバナンス」では、全般的な組織、手続き、および規制に関するすべてが対象になります。これには、SAP のクラウドソリューション、システム、ランドスケープの設定、構成、統合、および運用に直接または間接に影響する可能性のあるものが含まれます。
  • リスク管理
    これは、リスクを特定、処理、緩和、および解決するすべての要素から構成され、この領域のサービスや SAP のソリューションを含みます。

SAP Enterprise Support Academy の SAP Security Engagement とセキュリティ

SAP Security Engagement では、SAP Active Global Supportとお客様が共同で数カ月にわたり、特定の状況で最も関連性の高いセキュリティに関するトピックエリアに焦点を合わせ、お客様の SAP ランドスケープにおけるセキュリティの改善と強化に取り組みます。このサービスをご利用いただけるのは、SAP MaxAttention、SAP Safeguarding および SAP ActiveEmbedded のお客様のみとなります。

通常、この SAP Security Engagementでは最初に、サービス提供期間中に取り組むべきテーマについて話し合うセキュリティワークショップを実施します。その後のサービス提供期間中、単にセキュリティワークショップで成果を得ていただくというだけにとどまらず、お客様の SAP ランドスケープのセキュリティにどれほどよい影響がもたらされたのかを実際に検証可能な形で確認いただけるようにもサポートします。最後に、セキュリティ検証ワークショップでサービス提供フェーズの結果のまとめを行い、セキュリティ強化の達成状況を検証して、SAP Security Engagementのサービス終了後に実施が推奨される次のステップの概要を示します。

SAP Enterprise Support のお客様は、エキスパートによる設定支援 (EGI) のセッションを始めとする豊富な情報とサービスを SAP Enterprise Support Academy とセキュリティの SAP Enterprise Support バリューマップでご利用いただけます。

セキュリティトピック領域

Please, select...

セキュリティメンテナンス/セキュリティパッチ管理

SAP ではセキュリティの高い製品を提供するために多大の投資を行っていますが(ホワイトペーパー「Secure Software Development at SAP」をご参照ください)、これまでにないタイプの攻撃パターンや潜在的な脆弱性が新たに発見されることがあります。これらに対処するために、リリース済みの製品に対してセキュリティパッチを提供する場合があります。継続的にお客様のシステムを保護するために、インストール済みの SAP ソフトウェアのセキュリティメンテナンスを行うことが重要になります。

お客様、パートナー様、および SAP ユーザーグループからのフィードバックを踏まえて、毎月第 2 火曜日を SAP セキュリティパッチデーと定めています。これは、ほかの主要ソフトウェアベンダーのセキュリティパッチデーと意図的に合わせています。SAP では、潜在的な脆弱性や攻撃から保護するために、セキュリティのみに関連するセキュリティ修正を SAP セキュリティノートとしてこのパッチデーに発行します。ラウンチパッドの[SAP セキュリティノート] -> [すべての SAP セキュリティノート]から、すべてのセキュリティノートの完全なリストを確認できます。これらの修正はできるだけ早く適用することを推奨します。これらの修正を特定、選択および適用するにあたっては、支援ツールがいくつか用意されています。

各パッチデーの推奨手順が記載された文書として、メディアライブラリーにある最新のプレゼンテーション「SAP CoE Security Services - Security Patch Process」および過去のプレゼンテーション「Working Paper SAP Security Patch Day」をご覧いただけます。

各パッチデーの推奨手順が記載された文書として、メディアライブラリーにある最新のプレゼンテーション 「Security Notes Webinar」と、 「SAP Security Notes Advisory」によるパッケージでもご覧いただけます。どちらの文書も毎月更新されます。

各パッチデーの一般的な推奨手順の概要は次のとおりです。

  • SAP セキュリティノートの更新リストを確認します。
  • SAP Solution Manager の System Recommendations ツールを使用して、システムランドスケープ内のさまざまなシステムに関係するセキュリティノートを確認します。
  • ノートアシスタント(トランザクション SNOTE)などのツールを使用して個々の ABAP セキュリティノートを適用するか、必要なセキュリティノートについてのセクションが表示されるようになったメンテナンスオプティマイザーを使用して ABAP サポートパッケージや Java パッチの適用を計画します。

セキュリティ設定分析

これらのサービスおよびツールでは、すべてのシステムおよびインストール済みソフトウェアコンポーネントにおけるセキュリティ関連の設定を定期的にレビューすることにより、セキュリティ関連の設定および変更を確実に保守できます。

機能と推奨手順が記載された文書として、プレゼンテーション「SAP CoE Security Services - Check Configuration & Authorization」をご覧いただけます。

EarlyWatch Alert レポートには、セキュリティに関する SAP からの最重要な推奨事項が表示されます。これにより、SAP のお客様は迅速かつ簡単に問題を特定し、必要な対策を講じることができます。EWA のセキュリティチェックの詳細については、SAP Note 863362 をご参照ください。

SAP Security Optimization サービス(SOS)は、SAP システムのセキュリティを確認するサービスです。システム解析を実施し、その結果としてシステム設定に関する推奨事項を作成します。このサービスでは、システム設定とカスタマイジング設定のうち、システムのセキュリティに影響を与えるものを対象に作業を行います。また、システム内部セキュリティとシステム外部セキュリティの双方に重点を置いたサービスを提供します。内部セキュリティの改善は、ベースとなる多数の重要な権限をチェックすることによって行われます。また、文書「SAP Security Optimization Service – Verifying the Findings」に記載されている方法で、いつでもシステムの解析結果を確認できます。外部セキュリティの改善は、お客様のシステムのアクセシビリティおよび使用されている認証方法をチェックすることによって行われます。

Configuration Validation によって、お客様のランドスケープのシステムが矛盾なく、要件どおり設定されているかどうかを確認できます。定義された対象ステータス(対象システム)を使ってランドスケープのシステムの現状の設定をチェックし、既存システムと比較することができます。

SAP Security Optimization サービスでは、「Secure Configuration SAP NetWeaver Application Server ABAP」などのホワイトペーパーで説明されているトピックが網羅されています。

SAP NetWeaver Application Server ABAP に対する Security Optimization セルフサービスの提供範囲

  • ベーシス管理チェック
  • ユーザー管理チェック
  • スーパーユーザーチェック
  • パスワードチェック
  • スプールおよびプリンターの権限チェック
  • バックグラウンドの権限チェック
  • バッチインプットの権限チェック
  • 移送制御の権限チェック
  • ロール管理の権限チェック
  • プロファイルパラメーターのチェック
  • SAP GUI シングルサインオン (SSO) のチェック
  • 証明書シングルサインオン (SSO) のチェック
  • 外部認証チェック

上記のチェックの完全なリストについては、メディアライブラリーにある以下の文書をご参照ください。

これらの文書を使用して、セキュリティ設定を検証するために現在お使いのチェックリストと SOS のチェックを比較することができます。

HANA については、提供されているサービスの説明とチェックの概要をプレゼンテーション「HANA Security Remote Service Content」でご覧いただけます。

また、以下の文書でも、フォーマット済みレポートを表示する場合の例をご確認いただけます。

セッションを準備するにあたって、アンケートへの記入が必要になります。このアンケートの一環として、重要な権限に関するカスタムチェックを追加できます。アンケートの例は、メディアライブラリーにある「Security Optimization Self-Service - Questionnaire」に記載されています。

SAP Security Optimization サービスは、ABAP ベースのシステムでは「ガイド付きセルフサービス」として、ABAP と Java のシステムではリモートサービスとしてご利用いただけます。「ABAP on HANA」インストレーションの場合は、SOS for ABAP の一環として HANA のチェックが標準で提供されます。現在、純粋な HANA データベース向けの SOS for HANA を別途提供していません。

SAP Note 1484124 には、ABAP ベースのシステムでガイド付きセルフサービスを実行するための前提条件が記載されています。

このサービスはいつでもご利用いただけます。特に本稼動移行フェーズの最後に使用することをお勧めします。このサービスは、内部監査および外部監査の準備にも大変役立ちます。さらに、システム構成が正常に変更されたこと、および新しい脆弱性が存在しないことを確認するために再実行することもできます。

セキュリティに関するサービス、ツール、情報

Best practices-based security services

SAP では、お客様がご自身のビジネスプロセスを保護できるように、包括的なセキュリティポートフォリオをサービスとして提供しています。SAP は EarlyWatch Alert のセキュリティチェックを開始点として、Security Optimization サービスとセキュリティノート(SAP Support Portal で公開され、SAP Solution Manager の System Recommendations アプリケーションに表示されるもの)を中心とした詳細なサービスを提供します。

これらのサービスから得られた結果をその企業のセキュリティポリシーと結び付け、その企業の SAP セキュリティベースラインを定義します。この文書は、SAP Solution Manager の Configuration Validation アプリケーションの対象システムを定義するために使用します。このアプリケーションのシステム間 BW レポートは直接使用することも、結果を SAP Solution Manager の管理ダッシュボードをはじめとする別のレポート作成インフラストラクチャー、BusinessObjects、GRC プロセス制御、その他のレポート作成システムに渡して使用することもできます。

関連情報

Media Library

TitleTypeChanged
_SAP Security Notes AdvisoryZIP2020-05
_Security Notes WebinarPDF2020-06
RFC Gateway and Message Server SecurityPDF2019-06
SAP CoE Security Services - Check Configuration & AuthorizationPDF2020-01
SAP CoE Security Services - OverviewPDF2020-01
SAP CoE Security Services - Secure Operations MapPDF2020-01
SAP CoE Security Services - Security Patch ProcessPDF2019-07
SAP CoE Security Services - Security Baseline Template Version 1.9 (including ConfigVal Package version 1.9_CV-5)ZIP2018-08
SAP CoE Security Services - Security Baseline Template Version 2.0 (without ConfigVal Package)ZIP2020-02
Arbeitspapier - SAP Security Patch Day (German)PDF2012-08
Working Paper - SAP Security Patch Day (English)PDF2012-08
Configuration Validation WIKI (current version see online version)PDF2016-04
EarlyWatch Alert Report - Security ChapterPDF2020-05
Factsheet Security EngagementPDF2017-10
HANA Security Remote Service ContentPDF2016-10
RFC Security v1.2 (from 2004-2008)PDF2008-07
SAP Cloud Platform - Neo Environment - Security
PDF2018-01
SEC204 – Live on Stage: Monthly Security Patch Webinar about System Recommendations on SAP Solution Manager 7.2PDF2016-11
SIS261 Cross-System Security Validation using SAP Solution Manager 7.1 (Exercises)PDF2014-11
SCI262 Cross-System Security Validation Using SAP Solution Manager 7.1PDF2014-11
SCI262 Cross-System Security Validation Using SAP Solution Manager 7.1 (Recording)MP42014-11
SIS264 Securing Remote Access within SAP NetWeaver AS ABAPPDF2012-11
SOS: Get List of ALL Detected UsersPDF2015-04
Security Optimization Self Service - OverviewPDF2010-05
Security Optimization Self-Service - QuestionnairePDF2013-02
Security Optimization Self-Service - Sample Report for ABAPPDF2020-05
Security Optimization Self-Service - Sample Report for HANAPDF2020-05
Security Optimization Self-Service - Sample Report for JAVAPDF2018-12
Security Optimization Service - ABAP ChecksPDF2020-04
Security Optimization Service - HANA ChecksPDF2020-04
Security Optimization Service - JAVA ChecksPDF2020-04
Security Optimization Service - SummaryPDF2010-05
Security Optimization Service - Watcher GuidePPT2010-06
Verify Users AuthorizationPDF2012-08