ペンタセキュリティシステムズはこのほど、「SAPは、会社そのもの、徹底したセキュリティが必要!」と題したコラムを公開した。
SAPは、ドイツに本社を構え、ERP(Enterprise Resource Planning、業務リリース管理)ソフトウェアを開発・販売する中心的な企業だ。主力製品となる「SAP」は、国内外問わず多くの企業に導入され、マーケットで約50%の圧倒的なシェアを持つ。特に大企業がSAPを好む傾向があるという。
ERPへのセキュリティが不十分
ERPソフトウェアへのセキュリティ強化は重要だ。ERPの内部には、従業員の個人情報、金融取引履歴、営業機密など、機密データが格納されている。万一、機密データを漏えいした企業には、重い制裁が待ち受けている。情報漏えいによって危機的な状況に陥るケースも珍しくない。
しかし、ERPデータの重要性を熟知していても、十分なセキュリティ対策を施していない企業もあるという。原因は、ERP内に格納したデータの構造や属性が複雑化し、容易に暗号化処理ができないためだという。
SAPの場合は、ユーザーによるデータ構造の変更が制限されている。データ構造は、標準化および可読性を重視したかたちで構成されているため、データ長と属性の変更が推奨されていない。さらに、SAPのポリシー上、標準機能に影響を与えるような変更が推奨されていないのだという。
例えば、データ長や属性を変更したり、プログラムコードを変更する場合は、SAPに想定外の問題が発生する恐れがある。そうした場合、保守サービスを受けることができず、対応および費用はユーザーが負担しなければならない。つまり、標準機能に影響を与えるシステム変更は、すべてサポート外となっているのだ。
代表的なSAP暗号化方式は2つ
コラムでは、SAPに対する暗号化の施策が次の2つだと述べられている。
1つは、高度なセキュリティ機能が求められる機密データのみを暗号化されたセキュリティDBに格納する方式だ。クレジットカード番号CCN、個人情報、取引情報などが該当する。この方式は、SAPシステム内部にて実際のデータの代わりに「ランダムなトークン」に置き換えを行うため、「トークナイゼーション(Tokenization)」と言われている。各システム間の通信の確立が必須で、全体的にシステムが複雑化するため、システムへの負荷が大きい。
もう1つは、暗号化装置をSAPシステムの内部に搭載させる「FPE(Format-preserving encryption)」方式だ。内部で動作させることで、システムのパフォーマンスはほとんど影響を与えない点がメリット。一方で、SAPデータベースのトークンは実情報であるため、暗号化アルゴリズムおよび鍵管理などの高度なセキュリティが必要とされる。そのため、FPEの専門企業が提供する製品を使うことが必須だという。
上記のどちらにするにせよ、SAPセキュリティのの特徴をよく理解したうえで、導入を検討する必要があると述べられている。また、SAPセキュリティに関する総合的な知識のあるセキュリティ専門企業を介して、導入を検討をすることが望ましいとしている。
