ペンタセキュリティシステムズのプレスリリース

• 旅行・観光・地域情報
• 不動産
• 農林水産
• 鉄鋼・非鉄・金属
• 繊維・エネルギー・素材
• 精密機器
• 新聞・出版・放送
• 食品関連
• 商社・流通業
• 自動車・自動車部品
• 国・自治体・公共機関
• 広告・デザイン
• 建築・土木
• 携帯、モバイル関連
• 金融・保険
• 教育
• 機械
• 外食・フードサービス
• 運輸・交通
• 医療・健康
• ファッション・ビューティー
• ビジネス・人事サービス
• ネットサービス
• コンピュータ・通信機器
• エンタテインメント・音楽関連
• その他非製造業
• その他製造業
• その他サービス
• その他

• サービス
• 製品
• 告知・募集
• キャンペーン
• 企業の動向
• 研究調査報告
• 業績報告
• 人事
• 技術開発成果報告
• その他

Check 　 　Tweet

2016年03月28日 11時　[コンピュータ・通信機器／その他]

ペンタセキュリティシステムズ

【セキュリティコラム】SAPは、会社そのもの、徹底したセキュリティが必要！

ペンタセキュリティが毎月(年12回)掲載しているセキュリティコラムの中、厳選したコラムを公開いたします。当社のR&DセンターのTOSLabは、本コラムより、社会一般必要なICTセキュリティとその課題について提言することで企業、そして社会のセキュリティ認識の向上およびセキュリティ文化の定着を支援致します。今回のコラムでは、企業経営管理システムで有名であるSAPのデータ暗号化について解説いたします。

SAPは、会社そのもの、徹底したセキュリティが必要！
SAPのデータ暗号化の二つの方式

総合型(業務横断型)業務リソース管理(Enterprise Resource Planning, ERP)は、企業も経営および管理のためのコンピュータシステムです。会社内部の各部門にわたり、それぞれ運用されてきた、様々な経営リソースを一つの統合システムとして管理することで、生産性を最大限にする経営の革新のツールです。

ERPセキュリティ

ERPを通じ、会社は、様々なリソースのフローを処理し、監視します。リソースの効率的運用のため、関連データを収集し解析することで、最適な経営的判断ができるようにサポートすることもERPのロールです。そのため、ERPはデータベースを基盤としリソースを管理します。各部署の意思決定の結果は、部署の活動と密接に影響を与え合うため、会社全体のシステムは、有機的に統合され、縦と横を駆けぬきながら連携されたシステムのフローは流れ続けて行きます。

様々なERPソフトウェアがありますが、その中でも、
「SAP(Systems, Applications, and Products in Data Processing)」は代表的なブランドです。全ERPのマーケットにて約50％のシェアを誇り、今シェアを拡大しつつあります。様々な業種と規模の会社で採用していますが、特に大手企業がSAPを好む傾向にあります。SAPを採用し、製造、開発、購買、マーケテイングサービス、流通、会計等の業務を統合管理するため、会社のビジネス活動そのものと言えます。

会社の活動においてERPの比重は相当大きいため、ERPセキュリティこそ会社セキュリティそのものと言っても過言ではありません。会社システムは、会社内部のみ閉鎖的に利用されているため、比較的安全だという考えが多いですが、Web社会の本格化、そして系列会社を含んだ全社的に統合されたシステムの構築が求められているため、社内外の区分が薄れてきています。またSAPもCRM, SCM, SRM等拡張パッケージをERPシステムと連携し統合しています。その結果、ERPシステムのセキュリティ問題は、技術的次元を超えてビジネス的次元へと拡張されていると言える時代になりました。

SAPデータ暗号化

ERP内部には、従業員の個人情報、金融取引履歴、営業機密等、重要な情報が格納されています。このような情報は、漏えいされてしまうと、その会社の存続自体が危ぶまれる程、機密な情報であると同時に情報保護関連の法律により暗号化が必須である情報でもあります。

しかしながら、会社は、ERPデータの暗号化にすぐさま踏み切ろうとはしません。格納データの構造や属性等といった固有の特性により暗号化自体がそう簡単には行かないためです。特にSAPの場合、その特性上データのタイプおよびデータ長を変更することが非常に難しいため、データの属性を維持すると同時にセキュリティを実現することの両立は厳しい課題でもあります。

SAPにてデータ構造を変更するには、色んな制限があります。SAPソリューションにてデータ構造は、標準化および可読性を重視したかたちで構成されているため、データ長および属性の変更を推奨していません。同時にSAPのポリシー上標準機能に影響を与えない範囲内で追加機能の開発は認めているものの、標準機能自体を変更することは推奨していません。

例えば、データ長および属性を変更するか、あるいはプログラムコードを変更する場合、SAP動作において想定外の問題が発生する恐れがあり、その際の対応および保守は、会社が負わなければなりません。そのため、SAPに対しては、通常のデータベースの暗号化ではない、別な方式でアプローチする必要があり、これこそが、的確なSAPセキュリティの選別の決定球となります。

SAP暗号化方式

SAPデータ暗号化には、大きく２つの方式があります。

その一つは、クレジットカード番号CCN、個人情報、取引情報等といった高度なセキュリティの実装が求められるデータのみをソートし、AES等の通常の暗号化法方式を採用したセキュリティDBに格納する方式です。SAPシステム内部にて実際のデータの代わりに「ランダムなトークン」に置き換えを行うため、「トークナイゼーション(Tokenization)」と言います。主なデータのみを別に分類し安全に格納するという点では、容易な方式と見られますが、各システム間の通信の確立が必須であり、全体的にシステムが複雑になるため、パフォーマンスに大きく影響を与える恐れがあります。

次の一つは、暗号化装置をSAP内部に搭載し、システムと連動する、フォーマットを維持した暗号化、「FPE(Format-preserving encryption)」があります。SAPシステム内部にて動作することで、システムのパフォーマンスには殆ど影響を与えない反面SAPデータベースにあるトークンは実情報であるため、暗号化アルゴリズムおよび鍵管理等高度なセキュリティが必要されます。そのため、必ずFPE専門企業の製品のみを利用することが重要なポイントになります。


重ねて強調したいことですが、ERPセキュリティは、非常に重要です。その中でもSAPセキュリティは、実装においてはシステムの特徴上より厳格に検討を重ねて行く必要があります。 今回のコラムでは、SAPセキュリティの第一歩として、データ暗号化方式についてお話しをしました。

パフォーマンスおよび高度なセキュリティの両立を望むのであれば、トークナイゼーション方式よりはFPE方式のほうが、より適切な方式と言えますが、その際には、必ずSAPセキュリティに関する総合的な知識のあるセキュリティ専門企業と密接に話し合い、プロジェクトを進めて行くことを心掛けましょう。


【本件に関するお問い合わせ先】
企業名：ペンタセキュリティシステムズ
担当者名：金アルム
TEL：0353618201
Email:arkim@pentasecurity.com


提供元：ValuePress!プレスリリース詳細へ

Check

Tweet

2016年04月11日　[その他]
【セキュリティコラム】みんなに必要な「安全なWebアプリケーションのセキュリティ」

2016年04月08日　[研究・調査報告]
ペンタセキュリティ、 2015年下半期の脅威動向を調べた「Web脅威動向解析報告書」公開

2016年04月08日　[サービス]
【セキュリティコラム】安全なインターネットの基準、WAF

2016年04月04日　[その他]
【セキュリティコラム】Webアプリケーションのセキュリティを強調する理由

2016年04月01日　[その他]
【セキュリティコラム】マイナンバーの導入！カギとなるのは、データの暗号化！

関連するプレスリリース一覧(新着順)