「SAP」の脆弱性に起因するリスクを回避するには

ERP（統合基幹業務システム、※1）の最大手であるドイツのSAP SE社が開発したソフトウェア「SAP」について知っている、または実際に業務に使用しているという方も多いでしょう。日本でも多くの企業がビジネスプロセス管理や財務会計、人事管理などの業務に利用しており、日本国内における2020年度のERP市場において、SAPのシェアは約22.5％で、Oracleに次ぐ2位でした（※2）。 

しかし、SAPには意図せず外部よりアクセス可能となっているセキュリティ上の脆弱性が存在しており、これらが悪用されると企業にとって深刻な問題を引き起こす可能性があることが報告されています。 

最近の代表的なSAPの脆弱性 

企業に大きな影響を与えた、最近の代表的なSAPの脆弱性の例には以下のようなものがあります。 

• 10KBLAZE（2019年）：設定不備のまま、意図せずインターネット上に公開されている多数のSAPシステムを狙うエクスプロイト（※3）。 

• RECON（2020年）：脆弱性を悪用して特権アクセスを獲得することで、企業が使用するすべてのSAP製品が制御可能となる。CVSSv3ハザードレーティングスケールで、脆弱性が10/10点と評価された非常にまれなケース。 
• SAP Commerce Cloudの脆弱性（2021年）：企業がウェブサイトや電子商取引サイトを構築するために使用するソリューションである「SAP Commerce Cloud」のセッション期限に関する脆弱性を利用し、企業の顧客データが侵害を受ける可能性があることが判明。 
• SAP NetWeaverの脆弱性（2021年）：企業がビジネスプロセスを管理するために使用するソリューションである「SAP NetWeaver」のクロスサイトスクリプティングに関する脆弱性により、攻撃者が特権アクセスを獲得し、企業データにアクセスすることができる可能性があることが判明。 

これらの脆弱性により、企業は様々な問題に直面することになります。例えば、ひとたび個人情報や財務情報が漏えいしてしまえば、法的な問題に巻き込まれる可能性があります。また、システムがダウンすることで業務の遂行が不可能となり、顧客へのサービス提供に支障が出ることも考えられます。 

脆弱性による問題に巻き込まれないために 

こうした問題を回避するためにはまず、SAPのシステムを最新のバージョンにアップデートすることが重要です。また、必要に応じて専門家による脆弱性診断を行い、早期に問題を発見し、解決することが求められます。さらに、従業員に対しては、強力なパスワードの設定や、不審なメールの添付ファイルやリンクを開かないようなセキュリティ意識の向上を促す必要があります。 

SAPの脆弱性は企業にとって深刻な問題となる可能性がありますが、適切な対策を講じることで安全なシステム運用の実現が可能です。企業は、事業継続性を確保し、顧客の信頼を守るために不可欠なセキュリティ対策への投資を惜しまず、SAPのシステムを常に最新の状態に保つことが大切です。また、従業員には、セキュリティ意識を高める教育やトレーニングを提供し、脆弱性を発見した場合には、迅速かつ適切な対応を行うことができるようにする必要があります。 

安全で信頼性の高いシステム構築が重要 

SAPの脆弱性に対する対策は、単一の技術や手法に依存するものではありません。企業は、セキュリティ対策に対する意識を高め、脆弱性を回避するための適切な対策を講じることで、安全で信頼性の高いシステムを構築し、顧客の信頼を維持していくことが必要です。 

クラウドやリモートワークへの移行に伴い、企業はネットワーク戦略を再考し、よりコスト効率が高く効率的なソリューションを導入する必要があります。Catoの提供するシングルベンダーSASEプラットフォームは、クラウドネイティブかつSD-WANとセキュリティサービスエッジのSSE360をシンプルに統合。あらゆるロケーションのユーザーに、アプリケーションアクセスを最適化しつつセキュリティを確保します。 

SASEについてより詳しく知りたい方は、当社までお問い合わせください。 

※1：企業内の業務プロセスを統合的に管理し、ビジネスプロセスの最適化を図るための統合業務ソフトウェアのこと。 

※2：出典 – 矢野経済研究所「ERP市場におけるトッププレイヤー分析 2020年版」 

※3：ソフトウェアの脆弱性やセキュリティ上の欠陥を利用した不正プログラムのこと。