オンプレSAPとクラウドSAPのセキュリティ概念は別物 新機能を基に振り返る

Onapsisの新機能はSAP Business Technology Platformのセキュリティを評価し、設定やその他の脆弱性から顧客を保護することを目的としている。SAPのセキュリティとクラウド移行における課題を振り返ろう。

[Jim O'Donnell，TechTarget]

　オンプレミスの「SAP ERP」をそのままクラウドへ移行すると、さまざまな脆弱（ぜいじゃく）性が存在することになる。オンプレミスのシステムは、ファイアウォールのあるデータセンターに設置されてアクセスが難しかったが、クラウドのシステムは設定次第で簡単にコアビジネス機能やデータへアクセスされてしまうためだ。

　サイバーセキュリティベンダーであるOnapsisは、「SAP Business Technology Platform」（SAP BTP）を対象に、セキュリティ製品の機能を拡張した。同社の機能拡張を例に、SAPのセキュリティとクラウド移行における課題を振り返ろう。

セキュリティベンダーがSAP向け機能をリリース

　Onapsisによると、新たにリリースされた「Onapsis Defend for SAP BTP」は、SAP BTPの開発および統合システムの動作を監視し、脅威要因の動作や攻撃、不正使用を検出するという。また、設定変更や権限の割り当てに対するリアルタイムのアラートを出し、ユーザーのアクセス権限や特権を監視する。さらに、セキュリティ情報やイベント管理システム、セキュリティのオーケストレーション、オートメーション、レスポンスシステムとも連携する。

　Onapsisは、2024年3月にリリースされたSAP BTP向けのアセスメント製品「Onapsis Assess」も更新した。この製品は、SAP BTPのリスクや脆弱性の見える化を目的としている。これにはユーザーアカウントの監視や、SAP BTPの設定がSAPの基準やSAP BTPのセキュリティ推奨事項に沿っているかどうかの評価が含まれる。

　また、Onapsisの脅威インテリジェンス機関「Onapsis Research Labs」のガイドラインに基づく評価もされる。Onapsisによると、Onapsis Assessは今回で3回目となる大規模なアップデートをし、SAP BTPに特化したインサイトと、SAPのセキュリティガイダンスを個別かつリアルタイムに提供するAI機能が追加される予定だ。

　Onapsisのチーフプロダクトオフィサーであるサディク・アルアブドラ氏は、「Onapsis Assessは健康診断のようなもので、Onapsis Defend for SAP BTPはモニターの役割を果たす」と述べた。

　また、アルアブドラ氏は「SAPの顧客が、『RISE with SAP』を通じてオンプレミスのレガシーシステムからクラウド環境に移行する際、SAP BTPを含めた潜在的な脆弱性が存在する」とも述べた。

　「オンプレミスのSAP ERPシステムは、顧客の最も重要なアプリケーションの一つだったが、ファイアウォールの背後にあるデータセンターに設置されており、アクセスが難しかった。しかし、SAP BTPがクラウドサービスに直接統合されることで、SAPのコアビジネス機能やデータへのアクセスがより容易になる」（アルアブドラ氏）

　アルアブドラ氏によると、クラウドに移行したSAPの顧客は、システムにパッチを当てる責任がなくなるという。しかし、そのことによりセキュリティが自動的に確保されるというわけではなく、SAP BTPの設定にセキュリティは左右される。SAP BTPは統合プラットフォームであり、多くの活動ポイントが存在するが、その多くは使用されていない。

　「匿名のインタフェースをオンにしたり、権限に問題があったり、APIをロックダウンしなかったりすれば、それらはセキュリティ問題になり得る。システム設定の大部分は依然として顧客の責任であり、セキュリティと脆弱性の管理が必要だ」（アルアブドラ氏）

　Onapsis Defend for SAP BTPのエンジンには2つのコア要素が含まれている。特定の攻撃や脆弱性、エクスプロイトを特定する何千ものルールを持つ決定論的なルールベースのものと、悪質な振る舞いを特定するAIベースのヒューリスティックエンジンだ。これによってユーザーは異常な活動を識別し、フラグを立てることができる。

SAPセキュリティとクラウド移行における課題

　調査企業であるConstellation Researchのアナリストであるホルガー・ミューラー氏によると、SAPの顧客はクラウドへの移行やSAP BTPを使用した統合に伴う脆弱性を認識しているという。

　「クラウドへの移行を顧客に推奨する際に、SAPが直面する最大の技術的な障害は、セキュリティの複雑さや変化に対する懸念だ。また、ビジネス面では価値提案の欠如や自動化の不完全さも課題となっている」（ミュラー氏）

　「Onapsisのようなパートナーは、懸念を評価し、軽減する手助けができる。皮肉なことに、クラウドよりもオンプレミスの方が複雑なのだが、SAPの顧客は何十年もオンプレミス型のシステムを管理してきており、慣れ親しんだ環境を変えるのは容易ではない」（ミュラー氏）

　分析企業であるDiginomicaのジョン・リード氏（共同創設者でありアナリスト）によると、Onapsisは確立されたSAPのセキュリティベンダーであり、顧客はSAP BTP向けの同社の製品を検討する価値があるという。

　リード氏は「SAPの顧客は、クラウドやSAP BTP型の開発がオンプレミスとは異なるセキュリティ問題を提起することを認識しているが、問題はそれにどう対処するかだ」と述べた。

　リード氏によると、SAPの環境には考慮すべきさまざまな種類のリスクが存在するという。オンプレミスにおけるセキュリティリスクには、セキュリティの更新が欠落している可能性のある古いシステムから、現地での破壊行為までが含まれる。一方、クラウドシステムやSAP BTPには別の脆弱性が存在する。

　「優れたCISO（最高情報セキュリティ責任者）は、クラウドセキュリティを徹底的に理解しており、SAPの内外を問わずクラウドセキュリティを評価できるはずだ」（リード氏）

　リード氏によると、SAPの顧客がセキュリティに関する疑問を抱えている場合、SAP BTPやAPI、クラウドセキュリティに精通しているSAPのセキュリティ専門家に相談するのが最善の方法だという。