(本リリースは、4月6日に弊社本社から発表された発表文の抄訳です)
SAP SE(NYSE:SAP)とOnapsis社は、脅威をもたらす悪意の攻撃者が、保護されていないミッションクリティカルなSAPアプリケーションにどのように狙いを付け、それを悪用しようとしているのかに関する実用的な情報を提供するサイバー脅威インテリジェンスレポートを共同で発表しました。
両社は、米国国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)およびドイツの連邦サイバーセキュリティ機関(BSI)と緊密に連携し、以前から長く提供されているSAPのパッチとセキュアな構成を速やかに適用すること、および重要な環境でセキュリティ侵害評価を実行する措置を企業に呼び掛けています。
SAPとOnapsis社は、この調査に直接関連する顧客の被害は認識していません。また、このレポートには、SAPのクラウドSaaSやSAP社内のITインフラストラクチャーにおける新たな脆弱性について記載されているわけでもありません。一方で両社は、SAPがだいぶ前から提供している関連するリスク軽減策が多くの企業でまだ適用されていないことを指摘しています。これらの保護対策を適用しておらず、保護されていないSAPアプリケーションを運用し続けるお客様は、会社とそのビジネスをリスクにさらしています。
Onapsis社とSAPが収集した情報によると、保護されていないSAPアプリケーションを運用している企業は、さまざまなサイバー攻撃によって現在も脅威にさらされ、セキュリティ攻撃の標的になっています。調査で観測された悪用手法を防ぐことができなければ、セキュリティで保護されていないSAPアプリケーションが完全に乗っ取られ、一般的なセキュリティおよびコンプライアンス統制が機能しなくなるおそれがあります。これにより攻撃者は、機密データを盗んだり、金融詐欺を働いたり、ランサムウェアの配置や運用の停止によってミッションクリティカルなビジネスプロセスを妨害したりできるようになります。これらの脅威は、環境のセキュリティ保護を適切に行っていない企業においては、法規制の遵守にも影響する可能性があります。
SAPの最高セキュリティ責任者を務めるティム・マックナイト(Tim McKnight)は次のように述べています。「事前対応を促すこの調査は、世界中のお客様のアプリケーションを保護することに対するSAPのコミットメントをあらためて示すものです。SAPは、ミッションクリティカルなアプリケーションの保護の促進に対するコミットメントの一環として、Onapsis社と共同でこの調査を公表します。アプリケーションの保護には利用可能なパッチの適用、SAP環境のセキュリティ設定の詳細な確認、セキュリティ侵害の兆候に対する積極的な評価が含まれます」
該当する脆弱性の影響があるのは、お客様が運用するデータセンター、コロケーション環境およびお客様が管理するクラウドインフラストラクチャーに導入したSAP製品になります。SAPが管理するクラウドソリューションに脆弱性は存在しません。
Onapsis社の共同創立者でCEOを務めるマリアーノ・ヌニェス(Mariano Nunez)氏は次のように述べています。「当社はサイバーセキュリティおよびコンプライアンス分野におけるSAPパートナーであり、SAPが、ソフトウェアのセキュリティを強化し、重大な脆弱性に対するパッチを迅速に開発し、そして全体的に顧客のセキュリティを積極的に保証するために、近年行ってきた優れた改善を直接観察してきました。
今回のレポートで重要なのは、記載されている脆弱性への攻撃に対して、パッチやセキュアな構成のガイドラインが数カ月または数年前から提供されていることです。残念ながら、いまだに多くの企業がミッションクリティカルなアプリケーションのサイバーセキュリティとコンプライアンスに関するガバナンスで大きく後れをとっており、その結果として内部と外部の攻撃者に、機密性が高く統制が必要な多くの情報やプロセスにアクセスされ、抜き取られ、完全にコントロールすることを許してしまっています。このような既知のリスクへの迅速な対応に優先的に取り組んでこなかった企業は、自社のシステムが危険にさらされていると考え、直ちに適切な措置を講じる必要があります」
調査、脅威の修復、セキュリティ侵害後の追加のセキュリティ監視を必要とするお客様をサポートするため、Onapsis社はSAP Storeから入手できるSAP Endorsed Appsの1つでるOnapsis Platform for Cybersecurity and Complianceの3カ月間の無料サブスクリプションを提供しています。
以上
Onapsis社について
Onapsis社は、グローバル経済を動かすミッションクリティカルなアプリケーションをコアからクラウドまで保護します。Onapsis Platformは、SAP、Oracle社、Salesforce社などの大手ベンダーが提供するERP、CRM、PLM、HCM、SCM、およびBIアプリケーションを含むクリティカルなシステムで、実用的なインサイト、セキュアな変更、自動化されたガバナンス、継続的な監視を提供する唯一無二のプラットフォームです。
Onapsis社はマサチューセッツ州ボストンに本社を構え、ドイツのハイデルベルクとアルゼンチンのブエノスアイレスにもオフィスがあります。顧客には300社を超える世界の大手ブランドが含まれています。これにはFortune 100企業の20%、自動車メーカー上位10社のうち6社、化学企業上位10社のうち5社、テクノロジー企業上位10社のうち4社、石油およびガス企業上位10社のうち3社が含まれています。
Onapsis Platformは、チームとしてミッションクリティカルなアプリケーションで800を超えるゼロデイの脆弱性を発見および軽減してきた実績を持つOnapsis Research Labsが開発に参加しています。Accenture社、Deloitte社、IBM社、PwC社など、大手のコンサルティング会社および監査方針との連携により、脅威調査とプラットフォームの対象範囲が広がり、Onapsis社のソリューションはクラウド、ハイブリッド、およびオンプレミス環境で企業のミッションクリティカルな情報とプロセスの保護を支援するスタンダードになっています。
詳しくは、TwitterやLinkedInのアカウントをフォローしていただくか、https://www.onapsis.comをご覧ください。
SAPについて
SAPの戦略は、あらゆる企業がインテリジェントエンタープライズになるよう支援することです。世界中の商取引売上の77%は何らかのSAPシステムを経由しており、SAPはエンタープライズ・アプリケーション・ソフトウェア市場のリーダーとして、あらゆる業種・規模の企業の成功を支えています。SAPのマシンラーニング、IoT、高度なアナリティクスの技術により、従業員がより価値の高い成果に集中できる企業のあり方である「インテリジェントエンタープライズ」へとすべての企業が変革できるよう支援することを戦略に掲げています。さらに、人々や組織が的確なビジネス判断を行うための洞察力を深めるサポートをし、高い競争優位性を実現するための協業を促進しています。よりシンプルになったSAPの技術により、企業はボトルネックにわずらわされずに目的に沿ってソフトウェアを最大限に活用できるようになります。SAPのエンド・ツー・エンドのアプリケーションスイートとサービスは、世界25業種における企業および公共事業のお客様が利用し、ビジネスにおいて利益を上げ、絶え間ない変化に適応し、市場における差別化を実現するサポートをしています。お客様、パートナー、社員、ソートリーダーなどのグローバルネットワークを通して、SAPは世界をより良くし人々の生活を向上させることに貢献しています。( www.sap.com )
Copyright © 2021 SAP SE or an SAP affiliate company. All rights reserved.
SAP、SAPロゴ、記載されているすべてのSAP製品およびサービス名はドイツにあるSAP SEやその他世界各国における登録商標または商標です。またその他記載された会社名およびロゴ、製品名などは該当する各社の登録商標または商標です。