サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

SAP HANAに脆弱性発覚!企業情報の盗難や改ざんの被害の可能性も



SAP HANAはERPパッケージの開発における世界的な大手企業であるドイツのSAP社により開発されたインメモリ型のリレーショナルデータベース(RDBMS)を持ったアプリケーションサーバです。このSAP HANAはビッグデータなど大量のデータを管理し、高速に処理するために開発されたものであり、世界中の多くの企業で採用されている多くのSAP社のアプリケーションの根幹部分で利用されています。

このことは裏を返せば、膨大なビッグデータにも匹敵するような情報をこのSAP HANAが、それも世界中の企業で処理しているということになります。

つまり、もし万が一SAP HANAにセキュリティに関する脆弱性の問題が見つかった場合、悪用されると世界中の企業の膨大なデータが危険にさらされる可能性があるということなのです。

SAP HANAの脆弱性が利用された被害実例について

2015年9月、米国のセキュリティ企業OnapsisによりSAP HANAの脆弱性に関する報告がなされました。報告されたのは21件の脆弱性ですが、この中には遠隔から不正にシステムにアクセスしてプログラムを実行出来たり、データを取得したりできるなど非常にリスクの高いものも存在しています。

今回の脆弱性のうち危険性の高いCriticalに該当するものは8件で、そのうち6件はSAP HANAの設計部分のサーバ間通信を担うHANA TrexNetインターフェースに関連するとのことです。当然SAP HANAの根幹部分に関わっているということはSAP HANAを利用している全てのアプリケーションでこの脆弱性による問題が起きる可能性があるということです。

SAP HANAインターフェースを使っているアプリケーションは、SAP S/4HANAやSAP HANA Cloud Platformなど非常に多岐にわたっています。そして利用する企業は世界中で大手企業を含めて実に1万社以上と言われています。

では、今回のSAP HANAの脆弱性において、何が大きな問題になっているのでしょうか。それは大きく3つのポイントによるものです。

SAP HANAの脆弱性における3つの問題点

  1. SAPアプリケーションは非常に多くの企業で基幹業務に使用されている
  2. 影響するSAPアプリケーションが非常に多岐にわたっている。
  3. 危険にさらされる情報が非常に膨大なものである。

まず1のSAPアプリケーションが世界中で広く基幹業務に利用されているといいう点が大きな問題店です。また2については、脆弱箇所がSAP HANAの設計部分に起因するため、それを利用する全てのSAPアプリケーションに影響範囲が広がるということです。

これら1・2を併せると、企業での影響範囲は計り知れないほど広くなる恐れがあります。先のOnapsisの試算では、今回の脆弱性による障害が発生した場合、企業によっては損失コストは1分あたり2200万ドルに上るケースもあるとのことです。そうなると、世界経済にも非常に大きな影響を与えかねないということになります。

これに加えて3です。SAP HANAの利用目的の一つにビッグデータのような膨大な情報を高速に処理するというものがありますが、それは裏を返せば、ひとたびセキュリティ上の問題が発生すると膨大な情報が改ざんされたり盗難され外部に流出したりするなどの危険にさらされる恐れがあるということを意味します。

またさらには世界中の企業や国家機関などで活用されているSAPの性質上、悪用されると国家などへのサイバーテロ行為や、金融システムなど非常に世界中に与える影響が大きくなります。

おわりに

このように、今回のSAP HANAの脆弱性は1つのソフトウェアに存在する問題というところに終わらず、国家や世界経済への影響が危惧されるほど非常に大きな問題であることが見て取れます。

今回のSAP HANAの脆弱性もそうですが、ひとたびこういった利用者が多いソフトウェアやシステムにセキュリティ上のリスクが発見されると、大変高いリスクとなります。IT管理者は、その際に情報流出等の被害に遭わないように常に情報を収集し、リスク発見時には即時にアップデートを適用するなどの対応をとれるように心がけることが重要となります。

企業向けインフラエンジニア講座 個人向けエンジニア研修




書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。