SAP は、ビジネス プロセスを管理するアプリケーションの主要なソリューション プロバイダーの 1 つとして、世界最大の組織の多くで大量の機密データを管理しています。
これらのアプリケーションはビジネスに不可欠であるため、SAP のセキュリティ侵害は壊滅的なものになる可能性があります。しかし、SAP アプリケーションを保護することは非常に困難です。これらのシステムは、組織が基本機能を超えて拡張するにつれて、複雑さが増しています。外部からの攻撃だけでなく、内部からの脅威に対しても脆弱です。さらに、その複雑な性質は、複数のモジュールにわたって脅威が出現する可能性があることを意味し、相互相関が特に重要になります。
従来、セキュリティ オペレーション (SecOps) チームがそれらを効果的に監視することは、SAP エコシステムの独自の性質と必要な専門知識のために非常に困難でした。私たちは、Azure Sentinel向けの新しいSAP 脅威監視ソリューションを使用して、この課題に対処することに着手しました。現在パブリック プレビュー段階にあるこのソリューションは、Azure、他のクラウド、またはオンプレミスにデプロイされた SAP システムに対して継続的な脅威の検出と分析を提供します。現在、SecOps チームは、Azure Sentinel の可視性、脅威検出、および調査ツールを使用して、SAP システムを保護し、組織全体で相互に関連付けることができます。
効果的な SAP 脅威の監視
SAP の脅威を監視するための効果的なアプローチには、いくつかの重要な要件があります。
- 多層的なカバレッジ: SAP 脅威監視ソリューションは、インフラストラクチャ レイヤー (仮想マシン、ストレージ、ネットワーク) だけでなく、ビジネス レイヤーとアプリケーション レイヤーの両方をカバーする必要があります。これは、脅威が SAP システムのすべてのレイヤーを通過するためです。
- SAP アプリケーションおよびトランザクション データに対する豊富な洞察: SAP システムは、変更ドキュメント、監査ログ、ジョブ実行、データ変換 (テーブル データ) などの形で実行可能なセキュリティ データを生成します。潜在的な脅威の全体像を把握するには、このすべてのアクティビティを可視化する必要があります。
- エンタープライズ データ ソース間の相関関係: SAP システムは複雑であり、侵害の兆候は単純ではないことがよくあります。ノイズを減らすには、ネットワーク、ストレージ、ID データなどの追加のデータ ソース、およびシステムやユーザーなどの他のエンティティ間で相互相関することが不可欠です。
- 柔軟な展開: SAP NetWeaver システムは、オンプレミス、クラウド、またはハイブリッド展開で展開できます。効果的な SAP 監視ソリューションは、展開の柔軟性を提供し、これらの展開構成のいずれかを可視化する必要があります。特に、クラウドの変革は多くの場合、長期にわたる複数段階のプロセスであり、組織は SAP の展開方法が時間の経過とともに変化していることに気付く可能性があるためです。
- SAP に固有の脅威検出: SAP システムは、固有の脅威に直面している固有の環境です。効果的な監視アプローチには、SAP 固有のユース ケースと脅威に合わせて調整された脅威の検出と分析を含める必要があります。
- カスタマイズ性: 反対に、S/4HANA を含む SAP ABAP プラットフォームは本質的に高度にカスタマイズされているため、すぐに使用できる検出だけに頼ることはできません。 SAP の脅威監視アプローチは、特定の環境に合わせて検出を調整できるように、変更に対してオープンであり、独自のセキュリティ コンテンツを構築またはインポートする機能を含める必要があります。
当社のアプローチ: Azure Sentinel 向けの SAP 脅威監視ソリューション
SAP 脅威監視へのアプローチを開発する際、これらの要件を最優先に考えました。 Azure Sentinel SAP 脅威監視ソリューションは、すべてのコンポーネントを含む 1 つの単純なパッケージにデプロイできます。ソリューションには以下が含まれます。
- 豊富な NetWeaver データ コネクタ: SAP コレクターは、ネットワーク内の任意の場所にデプロイして NetWeaver 対応システムに統合できる Docker コンテナー イメージとして提供されます。データ コネクタは、SAP システム内のビジネスおよびアプリケーション層関連のリスクを監視できる SAP NetWeaver 対応システムで 10 を超えるさまざまなログ ファイルを収集します。ドキュメントで利用可能なログ ソースの完全なリストを表示できます。
- SAP の基盤となるインフラストラクチャ データ コネクタ: 仮想マシン、ネットワーク、Azure Active Directory などの既存の Azure Sentinel データ コネクタは、基盤となるインフラストラクチャを監視します。
- 組み込みのセキュリティ コンテンツ: システム構成の変更、機密性の高い機能モジュールの実行、特権ユーザーによる不審なアクティビティなどの重要な SAP 脅威をすぐに検出できます。さらに、ワークブックは、SecOps チームが SAP システムのセキュリティ状態を視覚化するのに役立ちます。
図 1: Azure Sentinel SAP 脅威監視ソリューションに含まれるすぐに使える検出。
図 2: SAP ワークブックは、SAP ABAP システム上のさまざまなイベントを追跡するために、さまざまなセキュリティ監査ログ イベントを重大度別に分析するのに役立ちます。
図 3: 組み込みのワークブックを使用した認証イベントの視覚化と追跡。
- 構成の豊富なセットも、ウォッチリストの形式で含まれています。これらのウォッチリストは、特定の SAP 環境と最も懸念しているリスクを説明できるようにすることで、ノイズを減らします。たとえば、特定のシステムが本番システムかテスト システムかを指定し、特に注意深く監視する必要がある特定の SAP トランザクションを識別します。
ユース ケース: Azure Sentinel を使用した特権の悪用の監視
これは実際にはどのように見えますか? SAP の最も一般的なセキュリティ リスクの 1 つは、権限の誤用の可能性です。適切な権限があれば、SAP ユーザーは機能を実行したり、これらのシステムで実行されている ABAP コードをデバッグしたりできます。これは、必要ではありますが、本質的にシステムを重大なリスクにさらすことにもなります。たとえば、開発者権限を持つ SAP ユーザーは、機能モジュールを実行して昇格されたアクセス権限を取得することにより、それらの権限を悪用して機密の人事データや財務データを表示できます。
Azure Sentinel を使用すると、ノイズに溺れることなく、これらの脅威を迅速に検出できます。最も機密性の高いモジュールの詳細なセットを定義することにより、検出をターゲットにしながら、SE37 を介して実行される関数モジュールを監視できます。これらの動作は開発者またはサンドボックス システムでは一般的で無害である可能性があるため、これらの検出が運用システムにのみ適用されるように指定することもできます。
事前構成された機能と検出機能により、実装をカスタマイズするために必要な柔軟性を提供しながら、これらの脅威を初日から監視できます。
もう 1 つの一般的なシナリオは、DDIC/SAP などのブレークグラス ユーザーの使用です。これらのユーザーは正当な理由で頻繁に有効になっていますが、デフォルトの「スーパーマン」ユーザーの権限が高いため、これらの権限の使用は依然として非常に注意深く監視する必要があります。 Azure Sentinel では、これらのユーザーを監視し、自動化を使用してこれらのリスクを管理できます。たとえば、これらのユーザーからのシステム アクセスを監視し、それが検出されると、Teams メッセージを送信するプレイブックを自動的に呼び出して、操作を実行するための SAP ベースのアクセス許可が付与されていることを確認します。
もっと詳しく知る
Azure Sentinel の SAP 機能に対する脅威の監視により、重要な SAP システムをより効率的かつ効果的に保護し、Azure Sentinel のクラウド ネイティブなセキュリティ分析と AI 機能を SAP の世界に拡張できます。ドキュメントでSAP 脅威監視ソリューションの詳細を確認するか、2021 年 5 月 26 日午前 8 時 (太平洋時間) のライブに参加して、 Azure Sentinel ウェビナーでライブ SAP 脅威監視ソリューションの詳細を確認してください。
SAP の脅威監視に加えて、RSA Conference 2021 でいくつかの新しい Azure Sentinel イノベーションを発表しました。新しい統合、ML 機能、コラボレーション機能など、これらの発表の詳細については、 Azure Sentinel 発表ブログを参照してください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments