(本リリースは、4 月 6 日に弊社本社から発表された発表文の抄訳です)
SAP SE (NYSE:SAP ) と Onapsis 社(英語)は、脅威をもたらす悪意の攻撃者が、保護されていないミッションクリティカルな SAP アプリケーションにどのように狙いを付け、それを悪用しようとしているのかに関する実用的な情報を提供するサイバー脅威インテリジェンスレポート(英語)を共同で発表しました。
両社は、米国国土安全保障省 (DHS) のサイバーセキュリティ・インフラストラクチャー・セキュリティ庁 (CISA) およびドイツの連邦サイバーセキュリティ機関 (BSI) と緊密に連携し、以前から長く提供されている SAP のパッチとセキュアな構成を速やかに適用すること、および重要な環境でセキュリティ侵害評価を実行する措置を企業に呼び掛けています。
SAP と Onapsis 社は、この調査に直接関連する顧客の被害は認識していません。また、このレポートには、SAP のクラウド SaaS や SAP 社内の IT インフラストラクチャーにおける新たな脆弱性について記載されているわけでもありません。一方で両社は、SAP がだいぶ前から提供している関連するリスク軽減策が多くの企業でまだ適用されていないことを指摘しています。これらの保護対策を適用しておらず、保護されていない SAP アプリケーションを運用し続けるお客様は、会社とそのビジネスをリスクにさらしています。
Onapsis 社と SAP が収集した情報によると、保護されていない SAP アプリケーションを運用している企業は、さまざまなサイバー攻撃によって現在も脅威にさらされ、セキュリティ攻撃の標的になっています。調査で観測された悪用手法を防ぐことができなければ、セキュリティで保護されていない SAP アプリケーションが完全に乗っ取られ、一般的なセキュリティおよびコンプライアンス統制が機能しなくなるおそれがあります。これにより攻撃者は、機密データを盗んだり、金融詐欺を働いたり、ランサムウェアの配置や運用の停止によってミッションクリティカルなビジネスプロセスを妨害したりできるようになります。これらの脅威は、環境のセキュリティ保護を適切に行っていない企業においては、法規制の遵守にも影響する可能性があります。
SAP の最高セキュリティ責任者を務めるティム・マックナイト (Tim McKnight) は次のように述べています。「事前対応を促すこの調査は、世界中のお客様のアプリケーションを保護することに対する SAP のコミットメントをあらためて示すものです。SAP は、ミッションクリティカルなアプリケーションの保護の促進に対するコミットメントの一環として、Onapsis 社と共同でこの調査を公表します。アプリケーションの保護には利用可能なパッチの適用、SAP 環境のセキュリティ設定の詳細な確認、セキュリティ侵害の兆候に対する積極的な評価が含まれます」
該当する脆弱性の影響があるのは、お客様が運用するデータセンター、コロケーション環境およびお客様が管理するクラウドインフラストラクチャーに導入した SAP 製品になります。SAP が管理するクラウドソリューションに脆弱性は存在しません。
Onapsis 社の共同創立者で CEO を務めるマリアーノ・ヌニェス (Mariano Nunez) 氏は次のように述べています。「当社はサイバーセキュリティおよびコンプライアンス分野における SAP パートナーであり、SAP が、ソフトウェアのセキュリティを強化し、重大な脆弱性に対するパッチを迅速に開発し、そして全体的に顧客のセキュリティを積極的に保証するために、近年行ってきた優れた改善を直接観察してきました。
今回のレポートで重要なのは、記載されている脆弱性への攻撃に対して、パッチやセキュアな構成のガイドラインが数カ月または数年前から提供されていることです。残念ながら、いまだに多くの企業がミッションクリティカルなアプリケーションのサイバーセキュリティとコンプライアンスに関するガバナンスで大きく後れをとっており、その結果として内部と外部の攻撃者に、機密性が高く統制が必要な多くの情報やプロセスにアクセスされ、抜き取られ、完全にコントロールすることを許してしまっています。このような既知のリスクへの迅速な対応に優先的に取り組んでこなかった企業は、自社のシステムが危険にさらされていると考え、直ちに適切な措置を講じる必要があります」
調査、脅威の修復、セキュリティ侵害後の追加のセキュリティ監視を必要とするお客様をサポートするため、Onapsis 社は SAP Store(英語)から入手できる SAP Endorsed Apps の 1 つでる Onapsis Platform for Cybersecurity and Compliance の 3 カ月間の無料サブスクリプションを提供しています。
以上
Onapsis 社について
Onapsis 社は、グローバル経済を動かすミッションクリティカルなアプリケーションをコアからクラウドまで保護します。Onapsis Platform は、SAP、Oracle 社、Salesforce 社などの大手ベンダーが提供する ERP、CRM、PLM、HCM、SCM、および BI アプリケーションを含むクリティカルなシステムで、実用的なインサイト、セキュアな変更、自動化されたガバナンス、継続的な監視を提供する唯一無二のプラットフォームです。
Onapsis 社はマサチューセッツ州ボストンに本社を構え、ドイツのハイデルベルクとアルゼンチンのブエノスアイレスにもオフィスがあります。顧客には 300 社を超える世界の大手ブランドが含まれています。これには Fortune 100 企業の 20 %、自動車メーカー上位 10 社のうち 6 社、化学企業上位 10 社のうち 5 社、テクノロジー企業上位 10 社のうち 4 社、石油およびガス企業上位 10 社のうち 3 社が含まれています。
Onapsis Platform は、チームとしてミッションクリティカルなアプリケーションで 800 を超えるゼロデイの脆弱性を発見および軽減してきた実績を持つ Onapsis Research Labs が開発に参加しています。Accenture 社、Deloitte 社、IBM 社、PwC 社など、大手のコンサルティング会社および監査方針との連携により、脅威調査とプラットフォームの対象範囲が広がり、Onapsis 社のソリューションはクラウド、ハイブリッド、およびオンプレミス環境で企業のミッションクリティカルな情報とプロセスの保護を支援するスタンダードになっています。
詳しくは、Twitter や LinkedIn のアカウントをフォローしていただくか、https://www.onapsis.com(英語)をご覧ください。
SAP について
SAP の戦略は、あらゆる企業がインテリジェントエンタープライズになるよう支援することです。世界中の商取引売上の 77 %は何らかの SAP システムを経由しており、SAP はエンタープライズ・アプリケーション・ソフトウェア市場のリーダーとして、あらゆる業種・規模の企業の成功を支えています。SAP のマシンラーニング、IoT、高度なアナリティクスの技術により、従業員がより価値の高い成果に集中できる企業のあり方である「インテリジェントエンタープライズ」へとすべての企業が変革できるよう支援することを戦略に掲げています。さらに、人々や組織が的確なビジネス判断を行うための洞察力を深めるサポートをし、高い競争優位性を実現するための協業を促進しています。よりシンプルになった SAP の技術により、企業はボトルネックにわずらわされずに目的に沿ってソフトウェアを最大限に活用できるようになります。SAP のエンド・ツー・エンドのアプリケーションスイートとサービスは、世界 25 業種における企業および公共事業のお客様が利用し、ビジネスにおいて利益を上げ、絶え間ない変化に適応し、市場における差別化を実現するサポートをしています。お客様、パートナー、社員、ソートリーダーなどのグローバルネットワークを通して、SAP は世界をより良くし人々の生活を向上させることに貢献しています。(www.sap.com)
Copyright © 2021 SAP SE or an SAP affiliate company. All rights reserved.
SAP、SAP ロゴ、記載されているすべての SAP 製品およびサービス名はドイツにある SAP SE やその他世界各国における登録商標または商標です。またその他記載された会社名およびロゴ、製品名などは該当する各社の登録商標または商標です。
