「SAP ECC」(ERP Central Component)から「S/4HANA」への移行を考えているSAPユーザーは、「セキュリティを最初に確保しておかない」という過去の過ちを繰り返さないよう注意が必要だ。これはTurnkey Consultingが発行した「SAP Security Research Report」の要点だ。この論旨にそれほどの驚きはない。 同社の創設者兼マネージングディレクターを務めるリチャード・ハント氏は、この報告書を踏まえてSAPのユーザー組織に専門家として助言している。 ハント氏が率いるTurnkey Consultingは経営コンサルタント企業で、SAP製品のセキュリティとガバナンス、リスク、コンプライアンス(GRC)システムを、直接または他社と共同で提供している。同社は米国、ドイツ、スイス、マレーシア、シンガポール、オーストラリアにオフィスを展開している。 同氏によると、システムインテグレーター(SI)はSAP ERPの実装時にセキュリティを確保しないことが多いという。それが結局は、監査や最悪の場合はハッキングによって明らかになるセキュリティの欠陥(訳注)を修正するという費用のかかるプロジェクトの実施を余儀なくさせる。 訳注:SAP ERPの欠陥ではないことに注意。 「SIが重視するのは正しく機能させることだ」と同氏は話す。つまりシステムの実装を優先する。どのシステムに誰がアクセスするかという問題を考えるのは先延ばしにされる。 「セキュリティに明確なROI(投資利益率)はない。セキュリティが侵害されるまでは目に見えることはない」
アクセスリスクの管理
ERPを実装するに当たっての基本的な原則の一つは、職務分掌(SoD:Segregation of Duties)の確保だ。つまり、タスクを少なくとも2人の担当者が分担する。Turnkey Consultingが欧州、アジア、米国の100人(管理職以上)のSAPユーザーを対象に調査した前述の報告書には次のように記述されている。「多くの企業には、SoDマトリックスを利用して分析できる適切なツールが整っていない。こうしたツールがあれば根本的なアクセスリスクを明らかにすることができる。SAP ERPのきめ細かく複雑な承認の概念を考えると、こうしたツールなしに問題点を見極めるのは不可能に近い」 これを正しく行わなければ悲惨な結果を招く恐れがあるとハント氏は話す。 「給与計算の担当者が、従業員の銀行口座情報を変更できるようにしてはいけない。不正行為を働く機会をなくすためにも、この2つの職務を分離する必要がある。こうしたことは想像以上に起きている。ギャンブルの借金がかさんだ担当者が不正行為を働く誘惑に負けるかもしれない」(ハント氏) 前述の報告書によると、SAPユーザーの3分の2以上(68.8%)が以前のSAP ERP実装中にセキュリティに十分配慮しなかったと考えている。監査プロセスでセキュリティの欠陥が明らかになるのは「非常に一般的」と回答したユーザーは53.4%に上るという。 回答者の大半は、リスクを管理するための能力を十分に備えていなかったことも明らかになっている。5分の1(20.8%)はSAPアプリケーションと環境のセキュリティを効果的に確保するスキルやツールがなかったと感じている。64.3%はそうしたスキルやツールがあったとしてもごくわずかだったと答えている。 SAPの監査でアクセス管理の問題点を指摘される可能性が高いと考えていたユーザーは9割(93.2%)に上る。特権付きアクセスや緊急アクセスも大きな懸念になっており、監査結果がこうしたアクセスに具体的に関係しているのは「一般的」または「非常に一般的」と考えているユーザーは86.4%だった。 「この調査結果は当社の日常的な体験を反映している。つまり、SAP ERPのセキュリティ確保は実装後に考えられることが多い。その結果、プロジェクトの全体を通して行う必要のあるセキュリティ確保に不可欠な活動に十分なリソースと時間が割り当てられていない」とハント氏は話す。 「コンプライアンス、データ保護、サイバーセキュリティが重視される場面が増えるにつれ、経営陣の認知度が高まっているのを見ることは心強い。このような理解が深まることで、セキュリティを設計するという重要な手順が実装の初日から取り入れられるようになる」
"修正する" - Google ニュース
July 27, 2020 at 06:00AM
https://ift.tt/3f78tMe
無思慮なS/4HANA移行で発生するセキュリティリスク(TechTargetジャパン) - Yahoo!ニュース
"修正する" - Google ニュース
https://ift.tt/2P2oTMt
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment