データは現代のビジネスの生命線であり、 ERP(エンタープライズ・リソース・プランニング)は、そのデータが存在する場所です。ERPは、財務、製造、マーケティング、セールスなど、様々な部門をまたいでデータとビジネス機能を統合するため、サイバー犯罪者にとって恰好の標的となっています。そして、サイバー攻撃者がレガシーERPを1番の標的にしているという米国サイバーセキュリティ・インフラ・セキュリティ庁(CISA)からの2018年の警告以降も、手を緩める兆しを見せていないことは明らかです。
Accenture社の年次サイバーセキュリティ・レポートによると、2021年には、1社当たりの全体的なサイバー攻撃の平均件数が前年比で31%増加しました。さらに、グローバルなコンサルタント会社が調査した約4,750人のCISO(最高情報セキュリティ責任者)の81%が、サイバー犯罪の先を行くために絶えず闘っている状態であり、そのコストは持続不可能であると述べています。
そのため、ERPを管理している場合や、ERPの導入を計画している場合は、最も一般的なERPセキュリティの課題と、それらを克服するために必要なベスト・プラクティスを理解すること非常に大事です。
オンプレミスERPとクラウドERPのセキュリティ
まず、オンプレミス・システムからクラウドにERPを移行すると、重要なERPセキュリティの課題とその解決策が変わるということを知っておくことが重要です。1つのERPセキュリティの課題がなくなって、別の課題が現れるということもありますが、そういうことではありません。それよりもむしろ、オンプレミスとクラウドのERPの導入の違いによって、重視するポイントが変わってきます。
さらに、クラウドに移行すると、セキュリティのベスト・プラクティスをクラウド・プロバイダと企業の間で分散し、それぞれが特定の責任を担う必要があります。このことにより、管理の複雑さが増しますが、多くの場合、それは望ましいことです。というのも、クラウド・サービスが提供する高度なセキュリティを大規模に実現するためのリソースやIT能力を有する企業はほとんどないからです。これには通常、データ・センターの高度な物理的セキュリティ、ランサムウェア攻撃から保護するための継続性/バックアップに関するベスト・プラクティスと冗長性、送信中のデータおよび保存されているデータの暗号化、侵入した脅威を検知できる機械学習アルゴリズム、および多要素認証(MFA)を含むアイデンティティ・アクセス管理が含まれます。
ERPセキュリティの課題
サイバー犯罪者は、テクノロジの脆弱性または人的脆弱性、あるいはその両方を悪用します。しかし、最も大きな侵害は、一般にヒューマン・エラーから始まります。専門家は、大きなニュースになるような多くのサイバーセキュリティ攻撃の根本原因として、無意識の従業員、あるいはそれよりもまれですが、悪意のある従業員をあげることがよくあります。
そのため、ERPセキュリティの主なな課題を示す次のリストでは、ERPのセキュリティ侵害につながる可能性があるヒューマン・エラーを防ぐことを目的とした主要なセキュリティ・コントロールとビジネス・プロセスに言及します。
-
貧弱なガバナンス: 多くの組織では、セキュリティ、データ・アクセスおよびデータ保存のポリシーが適切に文書化されておらず、さらに悪いことに、十分に徹底されていません。
-
アクセス管理: 技術的には「貧弱なガバナンス」の一部ですが、ERPやその他システムを含め、全体で最も大きなサイバーセキュリティの課題であるアクセス管理は、1つの独自項目を設けるほどに重要です。
-
エクスポージャ (露出): 組織は、クラウドベースのERPを導入すると、本質的にセキュリティが低下すると感じています。これは、オンプレミスで導入した方が、クラウドよりもセキュリティを制御できるという誤った認識によるものです。
-
責任の分担: 企業とクラウドERPプロバイダにまたがってサイバーセキュリティの役割と責任を分散することにより、セキュリティ戦略とガバナンスにまったく新しい次元が加わります。たとえば、ERPベンダーは通常、そのインフラやアプリケーションのためのクラウド・セキュリティ・コントロールを実装する一方、その顧客は、ERPを通過するデータや、それを使用する従業員のためのコントロールを実装する必要があります。
-
急速に変化する脅威: 攻撃者は絶えず進化していますが、ほとんどの組織は固定の防御策を取っています。
-
カスタマイズ: ERPの主要機能を拡張すると、それが存在する場所に関係なく、必然的に新たな脆弱性をもたらすことになります。
-
頻繁なソフトウェアの更新: 頻繁なソフトウェア・リリースは、最新のテクノロジの品質と有用性を確保するためには素晴らしいことですが、オンプレミスのERPではサイバーセキュリティの課題となることがあります。システムを常に最新の状態に保つことは難しく、その結果、ERPが攻撃に対して脆弱なままになるからです。
-
進歩し続けている攻撃手段: 悪意のある攻撃者は、常に新たな攻撃方法を利用しています。常に一歩先を行くために、戦略とゲーム・プランを進化させています。攻撃対象領域が知れ渡ると、新たなベクトルに切り替えます。ソフトウェア・ベンダーは、後れを取らないように常に適応し、進化し続ける必要があります。
ERPセキュリティの課題を克服するためのベスト・プラクティス
ビジネスリスクベースの分析から得た情報に基づいた総合的なERPセキュリティ戦略を含む、健全なガバナンスは、包括的なベスト・プラクティスです。多くの中小規模企業の技術マネージャーは、ガバナンスは難しく複雑な課題であり、大規模企業にのみ該当するものだと考えています。しかし、その中核はシンプルであり、あらゆる規模の企業に該当します。それは、自社のテクノロジが自社の経営目標をどのようにサポートするのか、自社のテクノロジから最も効果的なビジネス支援を得る方法を文書化した明確なポリシーをどのように作成するのか、そして、実際にそれらのポリシーをどのように徹底するのかを正確によく把握することを意味します。
適切に文書化され、ガバナンスの効いたERPセキュリティ・プランの要素として、次に示すERPセキュリティのベスト・プラクティスをそれぞれ検討してください。これらのプラクティスを総合すると、8つのERPセキュリティの課題すべてに対処できますが、それらの課題に1対1で対応するわけではありません。かわりに、ほとんどが複数の課題の異なる要素に対応するものです。
- ERP戦略の文書化: 適切に文書化された包括的なERPセキュリティ戦略さえあれば、8つのERPセキュリティの課題すべてに対処できます。このプラクティスは「1. 貧弱なガバナンス」の課題に直接対応するものであり、企業とクラウドERPプロバイダの間で役割と責任をどのように分担するか(4. 責任の分担)についての明確な定義を含める必要があります。たとえば、クラウド・プロバイダは、その分散化の性質により、サービス妨害攻撃からの防御には長けていますが、カスタマイズによって生じる脆弱性には企業側が注意する必要があります。
- ERPの機能と制限の把握: ERPは、複雑なソフトウェア・アプリケーションです。ERPの組込み機能を利用して、悪意のある侵入経路から組織およびデータを保護できることがきわめて重要です。たとえば、ERPにMFA機能やIPアドレスのホワイトリスト作成機能がある場合、それらを利用して、保護をさらに強化することが重要です。管理者は大抵、特定の機能の存在を知っていれば、侵害されることはなかったということに、手遅れになってから気付きます。
- サードパーティの監査: ERPベンダーのセキュリティ態勢およびリスク軽減コントロールを定期的に見なおすことは、ベスト・プラクティスの1つのです。このことは、ベンダーがセキュリティと企業のデータの保護にいくら投資するつもりがあるかを示すことにもなります。
- 制限/管理: ERPがオンプレミスであるか、クラウドにあるかに関係なく、機密データへのアクセスを慎重に制御する必要があります。効果的なガバナンスによって、どのような情報がビジネスにとって最も価値が高いか(ひいては最もリスクが高いか)、およびそれに対するアクセス権を付与する必要があるユーザーが示されます。ERPアクセス権を従業員に付与するときに最小権限の原則(POLA)を実装するためには、役割ベースのアクセスときめ細かな権限制御が不可欠です。言い換えると、従業員には、自分の職務に必要な情報や機能に対するアクセス権のみを付与してください。それ以外にはアクセスできないようにする必要があります。従業員が組織内で新しい職務に異動するたびに、アクセス権限を見直します。オンプレミスERPへのリモート・アクセスは、インターネット経由の暗号化トンネルである仮想プライベート・ネットワーク(VPN)を介してのみ許可することを検討してください。次のプラクティスとともに、これらはすべて、ERPセキュリティの課題の「2. アクセス管理」と「3. エクスポージャ(露出)」に対応するものです。
- パスワード: 従業員は、パスワードの厳格な管理に強く抵抗することがあります。しかし、パスワードはベスト・プラクティスの中核です。さらに、会社の最も機密性の高い情報を保護するには、1つのパスワードでは十分ではありません。MFAを必須です。アクセス管理に加えて、パスワードの衛生管理とMFAにより、「3. エクスポージャ(露出)」を制限できます。
- ソフトウェアの更新: オンプレミスERPを使用している場合は、更新を即時にインストールすることにより、「7. 頻繁なソフトウェアの更新」の課題に真正面から取り組みます。それらの更新を先延ばしにすると、攻撃を受けやすい状態のままになります。また、これはエクスポージャの課題に対処するのにも役立ちます。クラウドERPを使用している場合は、プロバイダがソフトウェアを自動的に更新することがあるため、このことについて心配する必要がない可能性があります。
- 統合: ERPと、それと統合するアプリケーション、あるいはその機能を拡張する「6. カスタマイズ」の間におけるデータの送信を保護するには、最新の暗号化テクノロジを利用していることを確認してください。このプラクティスは、複数の課題に関連しています。攻撃者が侵入に使用する可能性がある穴を塞ぐことにより「3. エクスポージャ」を制限し、「6. カスタマイズ」を保護し、新しいテクノロジをERPに接続するときのセキュリティの確保に役立ちます「8. 進歩し続けている攻撃手段」。
- 脅威に関する最新情報のモニター: 「5. 急速に変化する脅威」の課題に対してERPを安全な状態に保つには、絶えず警戒する姿勢が必要です。可能であれば、大手サイバーセキュリティ会社の脅威に関する最新情報を使用して、常に進化している脅威の状況に関する最新情報を把握する担当者を配置します。脅威に関する最新情報の共有は、ベスト・プラクティスの1つと考えられます。上位の脅威に関する最新情報を共有する手段の中には、Palo Alto Networks社のCortex、その他にMandiantおよびLogRhythmなどがあります。
- サイバーセキュリティ啓発トレーニング: 全従業員のサイバーセキュリティ・トレーニングは効果をもたらす可能性があります。その理由はシンプルです。ヒューマン・エラーが1番のサイバー脆弱性であり、十分なトレーニングを受けた従業員はミスが少なくなります。フィッシング攻撃とマルウェア配布の出現に伴い、ERPのすべてのユーザーが慎重になる必要があります。
No.1クラウドERP
ソフトウェア
NetSuiteがERPを保護する仕組み
NetSuite ERPは1998年の創業以来、クラウドで稼働しており、当社は、アプリケーションと運用のセキュリティに真摯に取り組み、お客様のビジネスを守るために複数層の保護体制を構築しています。これには、アプリケーションのための暗号化および役割ベースのアクセス制御、多要素認証とトークンベースの認証が含まれます。NetSuiteは常時モニタリングを採用し、専属のセキュリティ・チームを配置しています。また、NetSuiteのセキュリティには、ガバナンス、リスクおよびコンプライアンスに関連する当社の妥協のない姿勢とベスト・プラクティスも含まれます。NetSuiteは、SOC 1 Type 2およびSOC 2 Type 2 (SSAE18およびISAE 3402)標準に対する外部監査を受けるとともに、ISO 27001および27018、PCI DSSおよびPA-DSSコンプライアンスを確保しています。
人生において完璧に保証されるものはありませんが、これらのERPセキュリティのベスト・プラクティスを使用することで、サイバー犯罪者に対する防御を強化し、システムが侵害される可能性を減らすことができます。