#はじめに#
昨今、セキュリティの重要性は叫ばれており、大企業でも情報漏洩のニュースを頻繁に見るようになった。これまで私自身もSAP導入時はクライアントのセキュリティポリシーに外れていないかどうかのチェックはするものの、あらかじめセキュリティについて考え、とるべき対策をしっかり検討することはしてこなかった。今回、TechEDに参加するにあたり、SAPとしてセキュリティについてどのように考えているかを確認するべく、以下のトラックを中心に受講した。
メイントラック:Integrated Intelligent Suite
サブトラック:Consistent security and identity management
#講義内容#
SAP Security by Design and Default [IIS129]
今回の講義の中で一番基礎的ですぐに役立ちそうな内容であった。
セキュリティ対策を講じるにあたり、下記の階層別にどのような対応をするかをOperation Mapという形でまとめていた。これを見れば、どのような対策を講じるべきか最初チェックでき、漏れなくセキュリティ事項の対して対応できるようになっていた。
組織:セキュリティガバナンスやリスク管理
プロセス:監査対応、事故発生時の対応
アプリケーション:ユーザ管理、ロール管理、SSO、カスタムコーディングのセキュリティ
システム:ハードニング、セキュアコーディング
環境:ネットワーク、OS、データベースセキュリティ
Road Map : SAP Cloud Identity Access Governance [IIS817]
新製品であるSAP Cloud Identity Access Governanceの紹介がメインであった。
この製品により、ユーザ管理、権限管理、アクセス分析ができ、本製品とオンプレミス、クラウドのシステムを接続することで、一元管理することができ、システム管理者の負荷を削減することができる。
また、ロードマップを使って、これから提供するサービスについての紹介もあった。
[IIS206]がSAP Cloud Identity Access Governanceを利用した事例の説明であった。
Intelligent Role Provisioning in Integrated H2R Business Processes [IIS206]
これはHRシステムから、イベントトリガでユーザ管理を簡素化するための新製品の事例紹介だった。
Success FactorsとSAP Cloud Identify Access Governanceを連携することで、複数のシステムに対してユーザ関連の作業を自動化できるものであった。
例えば、
社員が追加となった場合にSuccess Factorsにユーザを登録すると、SAP Cloud Identify Access Governanceにイベントが発行され、SAP Cloud Identify Access Governance上に登録したルールにしたがい、S/4HANAやAriba、Fieldgrass、Azureなどにユーザが登録される。
これを使えば、マニュアルで各システムにログオンしてメンテナンスするなどの情システム部の工数は大きく削減されることであろう。
#まとめ#
SAPのセキュリティに対する取り組みを確認し、改めてどうあるべきかを見直した方がよいと感じた。事前に取り組んでおくのと、システム導入後に対応するには工数も大きく異なるため、クライアントに対して、システムを提案する側の責務として、セキュリティリスクをしっかりと説明し、そのために必要な対応であることを理解してもらって進めていきたい。
また、複雑化するクラウドシステムのユーザ管理を一元化や各システムのSSOログオンは、情報システム部員の負荷を減らすことになるため、提案できるように今後も継続的に情報のキャッチアップが必要であると感じた。