SAP HANAはERPパッケージの開発における世界的な大手企業であるドイツのSAP社により開発されたインメモリ型のリレーショナルデータベース(RDBMS)を持ったアプリケーションサーバです。このSAP HANAはビッグデータなど大量のデータを管理し、高速に処理するために開発されたものであり、世界中の多くの企業で採用されている多くのSAP社のアプリケーションの根幹部分で利用されています。
このことは裏を返せば、膨大なビッグデータにも匹敵するような情報をこのSAP HANAが、それも世界中の企業で処理しているということになります。
つまり、もし万が一SAP HANAにセキュリティに関する脆弱性の問題が見つかった場合、悪用されると世界中の企業の膨大なデータが危険にさらされる可能性があるということなのです。
SAP HANAの脆弱性が利用された被害実例について
2015年9月、米国のセキュリティ企業OnapsisによりSAP HANAの脆弱性に関する報告がなされました。報告されたのは21件の脆弱性ですが、この中には遠隔から不正にシステムにアクセスしてプログラムを実行出来たり、データを取得したりできるなど非常にリスクの高いものも存在しています。
今回の脆弱性のうち危険性の高いCriticalに該当するものは8件で、そのうち6件はSAP HANAの設計部分のサーバ間通信を担うHANA TrexNetインターフェースに関連するとのことです。当然SAP HANAの根幹部分に関わっているということはSAP HANAを利用している全てのアプリケーションでこの脆弱性による問題が起きる可能性があるということです。
SAP HANAインターフェースを使っているアプリケーションは、SAP S/4HANAやSAP HANA Cloud Platformなど非常に多岐にわたっています。そして利用する企業は世界中で大手企業を含めて実に1万社以上と言われています。
では、今回のSAP HANAの脆弱性において、何が大きな問題になっているのでしょうか。それは大きく3つのポイントによるものです。
SAP HANAの脆弱性における3つの問題点
- SAPアプリケーションは非常に多くの企業で基幹業務に使用されている
- 影響するSAPアプリケーションが非常に多岐にわたっている。
- 危険にさらされる情報が非常に膨大なものである。
まず1のSAPアプリケーションが世界中で広く基幹業務に利用されているといいう点が大きな問題店です。また2については、脆弱箇所がSAP HANAの設計部分に起因するため、それを利用する全てのSAPアプリケーションに影響範囲が広がるということです。
これら1・2を併せると、企業での影響範囲は計り知れないほど広くなる恐れがあります。先のOnapsisの試算では、今回の脆弱性による障害が発生した場合、企業によっては損失コストは1分あたり2200万ドルに上るケースもあるとのことです。そうなると、世界経済にも非常に大きな影響を与えかねないということになります。
これに加えて3です。SAP HANAの利用目的の一つにビッグデータのような膨大な情報を高速に処理するというものがありますが、それは裏を返せば、ひとたびセキュリティ上の問題が発生すると膨大な情報が改ざんされたり盗難され外部に流出したりするなどの危険にさらされる恐れがあるということを意味します。
またさらには世界中の企業や国家機関などで活用されているSAPの性質上、悪用されると国家などへのサイバーテロ行為や、金融システムなど非常に世界中に与える影響が大きくなります。
おわりに
このように、今回のSAP HANAの脆弱性は1つのソフトウェアに存在する問題というところに終わらず、国家や世界経済への影響が危惧されるほど非常に大きな問題であることが見て取れます。
今回のSAP HANAの脆弱性もそうですが、ひとたびこういった利用者が多いソフトウェアやシステムにセキュリティ上のリスクが発見されると、大変高いリスクとなります。IT管理者は、その際に情報流出等の被害に遭わないように常に情報を収集し、リスク発見時には即時にアップデートを適用するなどの対応をとれるように心がけることが重要となります。