昔からの格言「金の流れを追え」は、SAPアプリケーションがサイバー攻撃の主要標的として浮上した理由を示しています。SAP Business Networkは複数業界にまたがる4.9兆ドル規模の活動と結びついており、アクティブユーザーは200万人を超えます。総じて、SAPの顧客は世界の総商取引の84%を生み出しています。
つまり、SAPが侵害されれば重大な事業危機になり得るということであり、2025年はこれらのエンタープライズ・リソース・プランニング(ERP)ツールにとって最も危険な年になりつつあります。
実際、SAPは組織の攻撃対象領域の中核要素となっています。しかし現時点では、他のより従来型の要素ほどセキュリティリーダーの注目を集めていません。
最近のOnapsisの調査によると、過去1年は2017年以来最も変動が激しく、最高情報セキュリティ責任者(CISO)が、企業のビジネスクリティカルなアプリケーションを守るために、SAPを自社のプログラムにどう組み込むべきかを再考しなければならない理由が示されています。
- 年はまだ終わっていないにもかかわらず、SAPの脆弱性は39%増加し、重大な問題は12%急増しました。
- SAPアプリケーションを狙ったランサムウェア攻撃は、2021年以降400%増加しました。
- サイバー犯罪者が新たに公開されたSAPセキュリティノートを悪用するまでに必要なのはわずか72時間であり、SAPコードのエクスプロイトの市場価格は2020年以降400%上昇しました。実際、単一のSAPエクスプロイトチェーンは現在、少なくとも25万ドルで取引されています。
2026年に向けて、これらの脅威はおそらく増える一方だという厳しい現実に直面しなければなりません。だからこそCISOは、SAPをエンタープライズセキュリティの主流に組み込む必要があります。
コンプライアンス要件を満たすことが依然として大きな動機である一方で、エクスプロイトの深刻な結果――ネットワークおよびシステムの侵害、データ窃取、ランサムウェアの支払い、金銭的損失、ブランド評判の毀損――こそが、SAPのレジリエンスを強化するための可視性と統制を優先する主要な推進要因となるべきです。
SAP攻撃者の図解
では、これらの脅威の背後にいるのは誰なのでしょうか。国家支援グループ、ランサムウェア運用者、そして資格情報・エクスプロイト・データを巨額の利益のために売買する、強い金銭的動機を持つ犯罪組織または個人です。
さらに厄介なのは、彼らがSAPを非常によく理解している点です。脅威をカスタマイズし、ゼロデイエクスプロイトをわずか数日でコモディティ化して再利用できるほどです。これは、強い金銭的動機と知識・経験が収束したときに起こる論理的な進展を物語っています。敵対者がSAPに精通するほど、ますます高度で効果的かつ収益性の高い攻撃を、より上手く、より速く仕掛けられるようになります。
十分なセキュリティ統制の欠如は、彼らの企てをさらに後押しします。SAPは高度に分散した統合とアーキテクチャの形で導入されるため、CISOとそのチームが、全体をどう効果的に防御すべきかを理解するのが難しくなります。
さらに、統制はサイロ化しており、これらのツールの保護は、企業の脆弱性管理イニシアチブの外側のどこかに置かれてしまうことがあまりに多いのです。言い換えれば、組織としてのオーナーシップが分断されています。悪者はそれを知っています。そして、それを利用することに躍起になっています。
今日の脅威環境に向けた新戦略
対応するには、CISOとそのチームは、SAP環境を企業における最優先の脆弱性――しかも容易に悪用され得るもの――として位置づけるための、意識改革を行わなければなりません。
この不可欠な認識、可視性、防御戦略の状態に到達するために取るべき3つのステップを紹介します。
SAPを中核のエンタープライズセキュリティ計画に組み込む
チームはSAP特有の脅威監視を確立しつつ、SAPログをセキュリティ情報・イベント管理(SIEM)およびセキュリティ・オーケストレーション/自動化/対応(SOAR)のリソースに統合すべきです。また、現実のデータ持ち出し(エクスフィルトレーション)シナリオに焦点を当てたSAP侵害シミュレーション演習を実施する必要があります。
これらすべてのために、チームはSAPの全体像――攻撃対象領域を拡大しているアプリケーション、テクノロジー、モジュール――を特定し理解する必要があります。どの部分がオンプレミスで稼働していて、どれがパブリックおよび/またはプライベートクラウドにあるのか。これらのコンポーネントは他の要素とどう相互接続しているのか。たった一つの部分が侵害された場合に何が起こるのか。
脅威主導のSAPセキュリティプログラムを構築する
ここで重要なのは、脆弱性だけでなく脅威指標を監視することです。チームは、権限乱用や、敵対者の潜伏期間中に常態的に発生する追加の活動を検知する必要があります。最新の攻撃から守るためにアプリケーションコードの修正が即時に適用されるよう、自動化されたSAPノートチェックを有効化しなければなりません。パッチ適用サイクルの滞留は許されません。さらに、SAPのビジネスクリティカルなアプリケーションに対してペネトレーションテストを実施しつつ、SAP特有の共通脆弱性識別子(CVE)およびエクスプロイト活動も監視する必要があります。
あらゆるレイヤーでSAP環境を堅牢化する
これには、最新のSAPセキュリティノートの適用、潜在的なSAPサービスの外部公開の見直し、SAPバックアップの検証、SAPの災害復旧シナリオのテスト、ワークフローレベルのレジリエンスの確認、SAP DevSecOpsパイプラインの強化、SAPインシデント対応プレイブックの文書化、そしてSAP特有の脅威に関するITおよびセキュリティチームのトレーニングが含まれます。
明確にしておきます――そしておそらく安心材料にもなりますが――これは、さらなるサイロやプロセスを作ることが目的ではありません。既存のSAPアプリケーションを、チームがすでに取り組んでいるプロセスや戦略に統合し、後回しとして扱わないことが目的です。
CISOがSAPの悪用や停止がもたらす深刻な影響について上級ビジネスリーダーを啓発すれば、必要な賛同を得られる可能性が高まります。そうすれば、セキュリティ計画全体にSAPを組み込み、脅威主導のプログラムを構築し、企業内のどこに存在していてもSAP環境を堅牢化する包括的な戦略を実装できます。
その結果、SAP環境を狙って「金の流れを追う」サイバー敵対者は、この収益源が2026年以降、そして当面の将来にわたって彼らにとって断たれたことを思い知るでしょう。
