Splunk® Security for SAP®ソリューションでSAP環境のセキュリティを強化する

このブログ記事では、ミッションクリティカルなSAPアプリケーションのセキュリティについて重要な話題を取り上げますが、その前に、ちょっとしたクイズです。そもそも「SAP」は何の略でしょうか？SAP社のWebサイトによると、同社の当初の会社名はドイツ語で「Systemanalyse Programmentwicklung」、英語に訳すと「System Analysis Program Development」で、後に「SAP」という略称で呼ばれるようになったそうです。  

1972年に創設されたSAP社は、エンタープライズアプリケーションソフトウェアの世界的なリーダーです。サプライチェーン管理、調達、出張・経費管理、ERP (エンタープライズリソースプランニング)など、さまざまなソフトウェアカテゴリでトップレベルの市場シェアを誇り、世界100大企業のうち99社がSAPの製品やサービスを利用しています。

複雑なエンタープライズシステムの宿命として、組織のSAP環境は常に、外部からの攻撃や悪意のある内部関係者がもたらすサイバーセキュリティリスクにさらされています。

多くのSAPアプリケーションで重要なビジネス機能が実行され、知的財産から従業員や顧客の個人情報まで、機密性の高いデータが処理されます。そのためSAP社は、セキュリティ、コンプライアンス、プライバシーを確保するための強固な対策を講じています。それでも、複雑なエンタープライズシステムの宿命として、組織のSAP環境は常に、外部からの攻撃や悪意のある内部関係者がもたらすサイバーセキュリティリスクにさらされています。 

セキュリティ運用チームの業務を難しくしている要因の一部は、SAP環境を包括的に可視化できていないことと、SAPの資産やデータを守るために必須のセキュリティツールやプロセスを十分に活用しきれていないことにあります。

これらのリスクへの対応は、IT運用、アイデンティティ管理、セキュリティ運用、その他のチームが連帯して担います。しかし、不審な挙動や実際のサイバー攻撃をいち早く検出し、調査、対応するのは、セキュリティチームの役割です。セキュリティ運用チームの業務を難しくしている要因の一部は、SAP環境を包括的に可視化できていないことと、SAPの資産やデータを守るために必須のセキュリティツールやプロセスを十分に活用しきれていないことにあります。その主な原因は3つあります。

• SAP環境がオンプレミスとマルチクラウドインフラに分散していると、多くのセキュリティソリューションでは、セキュリティ運用チームが必要とするレベルの可視化を実現できません。 
• SAP環境を監視および保護するための従来のツールは、セキュリティ分析やセキュリティ運用のためのコアテクノロジーとの統合を想定していません。そのため、セキュリティ運用チームがこれらのテクノロジーを十分に活用しきれません。
• SAPのシステム、アプリケーション、製品で生成されるログ形式が統一されていないため、SAP環境に関する脅威データを主要なセキュリティ分析ソリューションで分析する手順が複雑になります。

価値の高いSAP資産とデータをより確実に守るには、脅威の監視、検出、調査、対応のための基本ワークフローの対象にSAP環境を組み込むことが不可欠です。この点を目標に、SplunkはSAP社の協力の下、SAP環境に影響を及ぼす脅威をSplunkで監視、検出、対応するためのSAP Endorsed Apps、Splunk® Security for SAP®ソリューションを開発しました。このソリューションは、SAP環境への攻撃に対する防御範囲を広げ、事業中断やデータ漏えいを未然に防ぐことで、ビジネスリスクを低減します。

それを実現するのが、Splunk Security for SAPソリューションの以下の機能です。

• SAPアプリケーションとデータの可視性向上
• 事前構築済みのSAP専用ダッシュボードと検出機能
• SAPイベントやアラートとSplunk内のその他セキュリティ関連データとの相関付けと分析
• インシデント調査と対応の効率化に役立つ、Splunk Enterprise Securityのリスクベースアラートによる脅威情報の統合とビジネスリスクに基づく脅威の優先順位付け

Splunk Security for SAPソリューションは、Splunkデータプラットフォーム(Splunk CloudまたはSplunk Enterprise)を基盤とし、Splunk Enterprise Securityと組み合わせることで、セキュリティ運用で最大限の効果を発揮します。Splunk Security for SAPソリューションには3つのコンポーネントが含まれます。

• Splunk Security for SAPソリューションテクニカルアドオン
• Splunk Security for SAPソリューションアプリケーション
• SAP Enterprise Threat Detection (ETD)

Splunk Security for SAPソリューションでは、ETDを独自に活用することで、SAP NetWeaver、SAP HANA、SAP Commerce、SAP BTPなど、幅広いSAPソースからデータが収集されます。さらにETDによって、データが正規化され、さまざまなタイプのログが生成されます(ビジネストランザクションログ、セキュリティ監査ログ、RFCゲートウェイログ、ユーザー変更ログ、アクセスログ、システムログなど)。その後、ログにコンテキスト情報が補足され、特定のカスタマイズ可能なパターンに基づいてアラートが生成されます。 

Splunk Security for SAPソリューションテクニカルアドオンでは、ETDからのアラートや関連トリガーイベントが取得され、他のソースからのセキュリティテレメトリとの相関付けや、Splunk PlatformまたはSplunk Enterprise Securityでの詳細な分析と調査に利用できるように整形されます。たとえば、開発システムと本番システム間のラテラルムーブメントや異常な権限昇格などの不審な挙動がSAP環境内で検出された場合、Splunkで詳細な調査を行って、より深刻な攻撃の前兆であるかどうかを特定できます。

Splunk Security for SAPソリューションアプリケーションでは、事前構築済みのSAP専用相関サーチやダッシュボードを使って、SAP環境に関する脅威データの基本的な分析を行ったり、データを可視化したりできます。ダッシュボードに表示される情報には以下のものが含まれます。 

• カテゴリ別のアラート数(例：重要リソースに対する不審なアクセス、高い権限の付与、不審なログオン/ログオンの失敗、境界を越えた通信(非本番環境から本番環境へのRFC通信など)、Webセキュリティ(予期しないHTTPメソッドなど))
• 重大度別のアラート数
• ユーザー(仮名化)、システム、ホスト名別のアラート数
• アラート発生元の位置情報

Splunk Security for SAPソリューションを使用すれば、セキュリティ運用チームは、SAPのセキュリティ関連データやコンテキストを、Splunkの他のセキュリティテレメトリやインフラテレメトリと相関付けて、脅威検出の精度向上と、重要なビジネスアプリケーションやデータに関するセキュリティリスクの低減に役立てることができます。

SplunkでSAP環境を効果的に守る方法についても遠慮なくお尋ねください。

このブログはこちらの英語ブログの翻訳、中里 美奈子によるレビューです。