サイバーセキュリティに簡単な解決策はありませんが、ERPセキュリティの最善策のこととなるとITチームは現状に満足しがちです。
安定したオンプレミス・ソリューションを持っている企業は「ERPは狙われていないし、狙われたとしても既存のセキュリティで十分だろう」と考えるかもしれません。また、クラウドに移行する企業は「セキュリティ上の懸念をクラウドサービスプロバイダー(CSP)に委ねることができるだろう」と考えているかもしれません。いずれにせよこのような思い込みは、防御策としては効果的ではありません。
分析:
今後5年間でサイバー攻撃者が腕を上げ、重要な企業データストアに侵入することは間違いないので、ERPのセキュリティ戦略は優先されるべきなのです。
McKinseyのアナリストはこのように述べています「経営者にとってサイバー攻撃は重要な課題ですが、経営者の多くは自社のERPシステムがサイバー攻撃に対してどれほど脆弱かを十分に理解していないのかもしれません。ERPシステムを標的とした脅威が増加していることは明らかであり、今後大きな問題となる可能性があります。2021年、第1四半期に米国で発生したサプライチェーンシステムへの攻撃は42%増加し、最大で700万人が影響を受けました。また2020年には、産業制御システム(ICS)と運用技術(OT)に対するセキュリティ脅威は3倍以上に増加しました。」
データによって成長しているのはERPソリューションだけではなく、サイバー攻撃者も同じです。企業のデータベースは、警備が手薄な銀行の金庫のように狙われやすいのです。
情報セキュリティコンサルタントのKevin Beaver氏は、TechTargetの記事で次のように警告しています「一般的なERP環境は格好の標的です。ネットワークホスト、ウェブコンポーネント、データベース、シッククライアント、モバイルアプリなど、複数のコンポーネントが含まれており、複雑な環境のため、ITと情報セキュリティ(infosec)の専門家は気が抜けません。」
クラウド・サービス・プロバイダー(CSP)は、セキュリティのベストプラクティスを導入しており、セキュリティを維持するための人員も十分にいると考えられているので、セキュリティの問題をクラウド・サービス・プロバイダーに委ねたくなるのは当然のことでしょう。
CSOの記事では、次のように書かれています通常CSPは、共有セキュリティ・モデルを採用しており、「CSPは物理的な施設、ユーティリティ、ケーブル、ハードウェアなど、クラウドのセキュリティに対して責任がありますが、クラウドの中のセキュリティ、つまりネットワーク制御、アイデンティティとアクセス管理、アプリケーションの設定、データについては、顧客に責任があるのです。」
注目すべき点
改善の余地は十分にあります。
今後数年の間に行われるERPやモバイルERPソリューションのセキュリティを強化する取り組みの中には、以下のようなものがあります。
セキュア・アクセス・サービス・エッジ(SASE)
Gartnerは次のように明言しました「SASEは、データセンターからホームオフィスまで、企業ネットワークのすべての要素を保護することを目的としたクラウド配信モデルであり、広域ネットワーク機能とネットワークセキュリティ機能を統合したものである。」
SD-WAN Expertsは、ERPの観点から見れば、SASEプラットフォームは「ERPのトラフィックを優先し、必要な高速化と最適化技術を適用してアクセスを向上させることになります。マルウェア検査、DLP、UEBAは、感染の可能性やデータ損失、悪意のあるアクティビティを検出し、防止することが出来ます。インターネットの閲覧は、優先順位は低いかもしれませんが、(データ損失防止とセキュアなウェブゲートウェイの使用によって、)セキュリティは確保されています。」と述べました(括弧内筆者)。
ゼロ・トラスト・ネットワーク・アクセス(ZTNA)
ZTNAのコンセプトは、SASEに先行し、そのフレームワークに組み込まれてきました。Gartnerによれば、ZTNAは「アプリケーションまたはアプリケーションのセットの周りに、IDおよびコンテキストをベースにした論理的なアクセス境界を作成する製品またはサービスです。アプリケーションは発見されなくなり、アクセスは信頼できるブローカーを介した一連の指定されたエンティティに制限されます。これによってアプリケーション資産が一般に公開されなくなり、攻撃の対象となる領域が大幅に縮小します。」しかし多くのERPやCRMタイプのアプリケーションは、「機能や特性を分離する内部統制がない」ため、ZTNAのアクセスに課題をもたらしています。
人工知能
SAPによると、「最新のERP基盤は、機械学習や人工知能(AI)のようなインテリジェント オートメーションを提供しており、システムを攻撃から守りやすくします。」しかし、一方で脅威もあります。Kashyap Vyas氏はIT Business Edgeに次のように寄稿しました「AIの進歩は、洗練された大規模なサイバー攻撃を可能にするため、ハッカーにも利益をもたらします。」
そして、量子力学という不可解な可能性もあります。ERP TodayでAdrian Bridgwater氏は、このように示唆しています「量子もつれを利用すれば、非常に厳しいセキュリティ管理が可能になります。顧客は、より簡単に、より直接的に量子アクセラレータやツールセットが提供するパブリッククラウドに、ミッションクリティカルなERPサービスを追加配置できるようになります」
取るべき行動
簡単な答えはありませんが、興味深い開発はたくさんあり、より安全なERPの導入に繋がるかもしれあません。ITとセキュリティのリーダーは、企業に影響を与える可能性のある最新のツールや脅威を常に把握し、新しい開発を活用しながらセキュリティの最善策を展開することが求められています。