SAP Business Oneの資産データを守ろう

SAP Business Oneの資産データを守ろう

SAP Business One2024.08.23

240822

はじめに

SAP Business Oneは、SAP社が提供する他通貨・多言語対応の中堅中小向けERPパッケージです。
総合的なERPパッケージであるが故に、販売データ、顧客情報、製造情報など多くの重要な資産データが保管されています。 よって、SAP Business Oneに保管されているデータが「悪意のある第三者」から狙われる可能性は大いにあります。
そんな重要な資産データに対するセキュリティ対策をみなさんはどこまで対応できていますか?

主な対策

SAP Business Oneの重要な資産データを「悪意のある第三者」から守る方法として
以下のような対策が考えられます。

・SAP Business Oneサーバーをクラウド環境に構築する
・SAP Business Oneサーバーへのネットワーク環境を監視する
・SAP Business Oneサーバーおよびクライアント環境の監視をする
・SAP Business Oneサーバーへの接続ユーザーのアクセス状況を監視する
・SAP Business Oneサーバーのユーザーにセキュリティ教育を実施する

SAP Business Oneサーバーをクラウド環境に構築する

SAP Business Oneサーバーの構築方法は、オンプレミスとクラウドの大きく2つがあります。
オンプレミス環境は「悪意のある第三者」から物理的な接触を避けるために、
サーバー室を作り、入退室のセキュリティ管理を行い、接触できるユーザーを制限することが必要です。
一方、クラウド環境はサーバー自体が現場に存在しないため、オンプレミス環境のような物理的な運用を考える必要がありません。
オンプレミスとクラウドは、しばしば「オンプレミスのハードウェア費用」と「クラウドのランニングコスト」のみで比較されがちですが、 オンプレミス環境のハードウェア費用に加えて、管理するための環境やそれを管理する人の人件費などの運用コストを加味すると クラウド環境の方が安価にセキュリティ対策ができる可能性があります。

SAP Business Oneサーバーへのネットワーク環境を監視する

SAP Business Oneサーバーをクラウド環境へ構築したら安全かというと、そうではありません。
クラウド環境だとしても社内ネットワークから接続できるように構築することが多いため、 ランサムウェアやマルウェアなどが社内ネットワークへ侵入すると そのままクラウド環境のSAP Business Oneサーバーへ侵入される可能性があります。
まずは社内ネットワークへの侵入を防ぐ方法として「統合脅威管理(UTM)」があります。
UTMで外部からのアクセスを監視し、アクセス許可を設定しているデバイスやユーザーのみがアクセスできる社内ネットワーク環境を構築しましょう。

SAP Business Oneサーバーおよびクライアント環境の監視をする

しかし、UTMで接続制限をしても、現在ではメールの添付ファイルやなりすまし、シャドーIPなどを利用して
不正にアクセスを試みる「悪意のある第三者」も存在します。
そこで活躍するのが「Endpoint Detection and Response(EDR)」や「Extended Detection and Response(XDR)」です。
このような機能をもった製品で怪しい行動をとっているアプリケーションがいないかなどを監視し、侵入された後の対策を取っておくのも重要です。
またウィルスを検知しても対処方法がわからない、IT部門がないから対処までお願いしたい、などの場合は、
「監視サービス(SOC)」と組み合わせた「Managed Detection and Response(MDR)」を契約するのも手でしょう。

SAP Business Oneサーバーへの接続ユーザーのアクセス状況を監視する

「悪意のある第三者」というのは必ずしも外部の人間とは限りません。
社内の人間が無意識にセキュリティ事故を起こしてしまうことで「悪意のある第三者」の侵入を許してしまうケースも少なくありません。
危険なWebページへアクセスをしてしまっていたり、許可されていないソフトウェアをダウンロードしてインストールしてしまったりすることで ウィルスに感染し、重要な資産データを取られてしまうこともあります。
そのような事態が起こらないためには、社内の人間がどのWebページにアクセスをしているのかを把握し、
どこにアクセスしてよいのかを管理できていることも重要でしょう。
Web、ネットワーク、Wi-Fi、Mailなどアクセス診断を行い、現状を把握したうえで 怪しいアクセス先はアクセス制限をかけるなどしてアクセス管理を行いましょう。

SAP Business Oneサーバーのユーザーにセキュリティ教育を実施する

ここまではIT機器を駆使して行う対策になります。
しかし、どんなに強固なセキュリティ対策やルールを講じても利用するユーザーが守ってくれなければ何の策にもなりません。
セキュリティ対策は、システム的なセキュリティ対策を行うと同時にユーザーへのリテラシー向上のための対応も必要不可欠です。
定期的な講習会を実施し、社内でなぜそのようなセキュリティルールを策定しているのかを理解してもらい、
ユーザー自らが意識した行動をとれるように教育していくことが重要でしょう。

まとめ

以上の対策は、数あるセキュリティ対策の一部です。
また多くの方は『そんな対策すでに講じているよ』と思われたのではないでしょうか。
しかし、大抵の企業は対策を講じて終わりになっているケースが多いことも事実です。

・セキュリティルールは見直していますか?
・セキュリティ定義は更新できていますか?
・社員のリテラシーは維持・向上できていますか?

サーバーの在り方、働き方が変わる中、「悪意のある第三者」も常に成長を続けております。
セキュリティ対策は、講じて終わりではなく、講じてからが始まりです。
その後の運用について振り返ってみるのはいかがでしょうか。