# 6 – インフラストラクチャおよびソフトウェアコントロールを使用して、セキュリティの構成ミスを軽減する
<a name="design-principle-6"></a>

 **SAP アプリケーションと基盤となるデータベース、オペレーティングシステム、ストレージ、およびネットワークをどのように保護しますか?** SAP ソフトウェアと、オペレーティングシステムおよびデータベースのパッチ、パラメータ、クラウドサービス、およびインフラストラクチャなど、関連する基盤構成を強化することをお勧めします。強化は、組織によって決定された適切なレベルでの、生産と非生産の両方を含むあらゆる SAP 環境の安全性の確保に役立ちます。 

 コミットメント割引を適用する機会を見つけるために、 [AWS 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/) SAP 環境のセキュリティに関するアクティビティをガイドします。例えば、EC2 インスタンスのファームウェアアップデートは、AWS が責任を持つ「クラウドのセキュリティ」アクティビティですが、同じ EC2 インスタンスでも、オペレーティングシステムとアプリケーションの管理は、お客様が責任を持つ「クラウドでのセキュリティ」アクティビティです。 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/wellarchitected/latest/sap-lens/design-principle-6.html)

 詳細については、次の情報を参照してください。 
+  AWSドキュメント: [AWS のセキュリティホワイトペーパー](http://d0.awsstatic.com/whitepapers/aws-security-best-practices.pdf) 
+  SAP Note: [2191528 - Third-party report showing security vulnerabilities (セキュリティの脆弱性を示すサードパーティーレポート)](https://launchpad.support.sap.com/#/notes/2191528) [SAP ポータルへのアクセス権が必要] 
+  SAP ドキュメント: [ABAP Platform Security Guide](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html) 

# ベストプラクティス 6.1 – セキュリティと監査が SAP ネットワーク設計に組み込まれていることを確認する
<a name="best-practice-6-1"></a>

SAP ワークロードをホストするネットワークへのアクセスを保護することは、悪意あるアクティビティに対する防御の最前線です。ビジネス要件と特定の SAP ソリューションを評価して、有効にする必要があるポート、プロトコル、およびトラフィックパターンを決定します。組織のセキュリティスタンダードと、ネットワーク設計を単純化するために使用できるツールおよびパターンを検討します。定期的に、または変更が発生するたびに監査します。

 **提案 6.1.1 – SAP のネットワークトラフィックフローを理解する** 

まず、トラフィックフローを理解します。SAP ワークロードのネットワークトラフィックパターンは、インバウンドトラフィック、アウトバウンドトラフィック、および内部トラフィックに分類できます。ソースとデスティネーションが信頼できるネットワーク境界内にあるかどうかを特定して、ルールセットの定義を支援する必要があります。

ユーザーアクセスやインターフェイス接続など、既知のインバウンドトラフィックフローとアウトバウンドトラフィックフローに加えて、SAP サポートへの接続 (SAProuter 経由) や、ソース IP アドレスに基づいてアクセスを制限する SAP SaaS サービスなど、SAP 固有の要件を考慮します。

 内部トラフィックについては、コンポーネントおよびシステム間のトラフィックの他、AWS と共有サービス間のトラフィックを考慮します。次のようなツール [VPC フローログ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) と [VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) は、Amazon VPC へのトラフィックフローと Amazon VPC からのトラフィックフローの理解に役立ちます。 

 詳細については、次の情報を参照してください。 
+  SAP ドキュメント: [TCP/IP Ports for All SAP Products](https://help.sap.com/viewer/ports) 

 **提案 6.1.2 – トラフィックフローの許可と拒否のオプションを評価する** 

 まず、SAP システムが運用されている AWS アカウントにオンプレミスネットワーク内のユーザーとシステムをどのように接続するかを理解します。これについては、 [「ネットワークから Amazon VPC への接続オプション」で説明されています](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) . 

 VPC へのネットワークトラフィックと VPC からのネットワークトラフィックのフローを制御するための 2 つの主な方法として、 [セキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) と [ネットワークアクセスコントロールリスト](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) (ネットワーク ACL) の使用があります。セキュリティグループは、EC2 インスタンスレベルで仮想ファイアウォールの役目を果たし、インバウンドおよびアウトバウンドトラフィックを制御し、ステートフルです。ネットワーク ACL は、VPC のセキュリティのためのオプションのレイヤーであり、1 つ以上のサブネットとの間のトラフィックを制御するファイアウォールの役目を果たし、セキュリティグループとは違ってネットワーク ACL はステートレスです。 

VPC の外側のネットワークコンポーネントの依存性も考慮してください。これには、Amazon CloudWatch エンドポイントなど、AWS によって提供される外部ネットワークコンポーネントが含まれることがあります。また、オペレーティングシステムのパッチ用のソフトウェアリポジトリなど、インターネットでホストされるサービスも含まれることがあります。

 AWS の標準オプションに加えて、SAP 自体も追加のネットワークセキュリティオプションを提供しており、 [SAProuter](https://support.sap.com/content/dam/support/en_us/library/ssp/tools/connectivity-tools/saprouter/SAProuter.pdf) AWS ニュースブログ、 [SAP Web Dispatcher](https://help.sap.com/doc/7b5ec370728810148a4b1a83b0e91070/1610%20002/en-US/frameset.htm?488fe37933114e6fe10000000a421937.html) 、および SAP ゲートウェイ [ネットワークベースのアクセスコントロールリストの使用などがあります](https://help.sap.com/viewer/62b4de4187cb43668d15dac48fc00732/LATEST/en-US/d0a4956abd904c8d855ee9d368bc510b.html) .これらは AWS のサービスおよび構成と連携して、SAP システムへのネットワークアクセスを許可または制限します。 

 詳細については、次の情報を参照してください。 
+  SAP on AWS ブログ: [VPC Subnet Zoning Patterns for SAP on AWS (SAP on AWSAWS の VPC サブネットゾーニングパターン)](https://aws.amazon.com/blogs/awsforsap/vpc-subnet-zoning-patterns-for-sap-on-aws/) 
+  Well-Architected Framework [セキュリティ]: [インフラストラクチャ保護 – ネットワークの保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html) 
+  Well-Architected Framework [マネジメントとガバナンスレンズ]: [ネットワーク接続](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/networkconnectivity.html) 
+  SAP ドキュメント: [Network and Communication Security (ネットワークと通信セキュリティ)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/492f0050d5ac612fe10000000a44176d.html) 

 **提案 6.1.3 – 設計ガイドラインと AWS ツーリングを使用して、ネットワークセキュリティを簡素化する** 

 SAP システムは、多くの場合、複雑な統合要件を持ち、クラウドはネットワークセキュリティ管理を簡素化するための追加の手段となります。以下のアプローチを検討してください。 
+ 管理の簡素化が可能な場合、個々の IP アドレスまたは IP の範囲の参照は避けます。
+ すべての SAP ワークロードについて SAP システム番号の標準セットを使用して、必要なネットワークポートの範囲を減らします。
+  [VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) は、Amazon S3 や Amazon CloudWatch などの AWS サービスにアクセスするための VPC からのアウトバウンドインターネットアクセスの要件をなくします。可能な場合や、ビジネス要件によって必要とされない場合は、これらのサービスとの間の SAP トラフィックがパブリックインターネットを経由せず、すべてのトラフィックが AWS によって管理されているネットワークコンポーネントを経由するようにできます。 
+  以下を使用することによって、セキュリティグループを簡素化します。 [VPC プレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) や [セキュリティグループのルール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) 。これらは、IP アドレスの範囲ではなく、他のセキュリティグループを参照します。 
+ セキュリティグループの作成、更新、および管理にオートメーションを使用して、構成のズレを避けます。
+  以下の使用を検討します。 [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/) これは VPC と AWS アカウント全体でのセキュリティグループの集中管理のためです。 
+  以下の使用を検討します。 [SAProuter](https://support.sap.com/en/tools/connectivity-tools/saprouter.html) 、 [SAP Web Dispatcher](https://help.sap.com/doc/7b5ec370728810148a4b1a83b0e91070/1610 002/en-US/frameset.htm?488fe37933114e6fe10000000a421937.html) 、および Elastic Load Balancing。これらを組み合わせることで、バックエンドシステムへのエントリポイントを難読化できます。 
+  複数の [SAP Internet Communication Manager (ICM)](https://help.sap.com/doc/d2ecfdfcaedc4e2ba46a99a6be7d5797/1610 002/en-US/frameset.htm#:~:text=The%20ICM%20is%20a%20component%20of%20the%20SAP%20NetWeaver%20Application%20Server.&text=The%20Internet%20Communication%20Manager%20ensures,processes%20requests%20from%20the%20Internet.) エントリポイントを使用して、よりきめ細かなアクセスコントロールを提供することを検討します。 

 詳細については、次の情報を参照してください。 
+  SAP ドキュメント: [ネットワークベースのアクセスコントロールリスト](https://help.sap.com/viewer/62b4de4187cb43668d15dac48fc00732/LATEST/en-US/d0a4956abd904c8d855ee9d368bc510b.html) 
+  SAP ドキュメント: [TCP/IP Ports for All SAP Products](https://help.sap.com/viewer/ports) 

# ベストプラクティス 6.2 – オペレーティングシステムを構築し、保護する
<a name="best-practice-6-2"></a>

SAP ソフトウェアの基盤となるオペレーティングシステムを保護することで、悪意ある人物が SAP アプリケーション内のデータへの不正なアクセス権を得て、ソフトウェアの可用性に影響を与えたり、ミッションクリティカルな実装を不安定化させたりする可能性を軽減できます。SAP、オペレーティングシステムベンダー、データベースベンダー、または AWS からのレコメンデーションに従って、オペレーティングシステムの安全を確保してください。選択した SAP ソリューションとオペレーティングシステムによっては、サービスの有効化/無効化、特定のカーネルパラメータの設定、およびさまざまな組み合わせのセキュリティパッチの適用が必要になる場合があります。SAP の要件が組織の要件にどのように対応するかを考慮し、矛盾点があれば特定します。

 **提案 6.2.1 – セキュアなオペレーティングシステムをプロビジョニングするためのアプローチを決定する** 

Amazon マシンイメージ (AMI) は、EC2 インスタンスを起動するために必要な情報を提供します。AMI がオペレーティングシステムレベルでセキュアであることを確認する必要があります。そうでない場合、AMI が時間の経過とともに再利用され、更新されるたびに、セキュリティホールが任意の数のインスタンスに伝播する恐れがあります。

 AMI は、オペレーティングシステムベンダーからの標準イメージか、お客様自身が構築したカスタムイメージのいずれかです。どちらの場合も、一貫したアプローチにより、オペレーティングシステムが起動時にセキュアであり、継続的に維持されることを確実にする必要があります。Infrastructure as Code (IaC) ツール、例えば、 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) などの使用は、イメージセキュリティの一貫性の達成に役立ちます。HANA ベースの SAP ソリューションの場合、 [AWS Launch Wizard](https://aws.amazon.com/launchwizard/) for SAP は、セキュリティコンポーネントのインストールを自動化するためにカスタマイズできるプレおよびポストインストールスクリプトなど、インストールプロセスを簡素化します。 

 詳細については、コンピューティングリソースの保護、特に脆弱性管理の実行と攻撃面の削減に関する「AWS Well-Architected Framework [セキュリティの柱]」ガイダンスを参照してください。 
+  Well-Architected Framework [セキュリティ]: [コンピューティングの保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html) 

 **提案 6.2.2 – セキュアなオペレーティングシステムを維持するためのアプローチを決定する** 

 コンピューティングの保護に関する Well-Architected Framework [セキュリティの柱] の説明で述べたように、選択したオペレーティングシステムが EC2 Image Builder によってサポートされている場合は、SAP 固有の AMI の構築、テスト、デプロイと継続的なパッチ管理を簡素化できます。セキュリティパッチ適用の自動化によるオペレーティングシステムのセキュリティ体制の維持については、AWS Systems Manager Patch Manager も調べてください。 
+  Well-Architected Framework [セキュリティ]: [コンピューティングの保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html) 
+  AWSドキュメント: [EC2 Image Builder](https://aws.amazon.com/image-builder/) 
+  AWSドキュメント: [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 

 **提案 6.2.3 – オペレーティングシステムに適用できる追加のセキュリティレコメンデーションをレビューする** 

SAP ソフトウェアの基盤となるオペレーティングシステムの強化に必要な項目の完全なリストを作成します。例えば、Linux ベースのシステムでのファイルシステム許可は SAP ガイドラインに従って設定する必要がありますが、Windows ベースのシステムでは、Administrator グループのアクセスを制限するのがベストプラクティスです。

 以下の SAP 固有のレコメンデーションは、お客様の環境に該当する可能性があります。 
+  SAP ドキュメント: [SAP NetWeaver セキュリティガイド - オペレーティングシステムのセキュリティ](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4a6e3d96f90472dde10000000a42189b.html) 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/wellarchitected/latest/sap-lens/best-practice-6-2.html)

 **提案 6.2.4 – オペレーティングシステムのセキュリティ体制を検証する** 

オペレーティングシステムがセキュアにデプロイされ、パッチが適用されたら、オペレーティングシステムのセキュリティ体制を検証して、オペレーティングシステムが高いレベルのセキュリティを継続的に維持して、違反行為がないことを確認します。サードパーティーのホスト侵入保護、侵入検知、アンチウイルス、およびオペレーティングシステムファイアウォールソフトウェアを使用して、この検証を自動化することを検討します。

 詳細については、次の情報を参照してください。 
+  Well-Architected Framework [セキュリティ]: [セキュアなオペレーション](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/operating-your-workload-securely.html) 
+  Well-Architected Framework [セキュリティ]: [検出](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) 
+  Well-Architected Framework [セキュリティ]: [コンピューティングの保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html) 

# ベストプラクティス 6.3 – データベースとアプリケーションを保護する
<a name="best-practice-6-3"></a>

悪意ある人物が読み取り専用レベルでもアクセス権を取得すると、重要なビジネスデータのセキュリティが侵害されるため、データベースおよびアプリケーションレイヤーでのセキュリティ警戒が不可欠です。どのような場合でも、データベースのアクセス保護とアプリケーションのセキュリティに関する標準的な SAP ベストプラクティスに従ってください。これらは、オンプレミスとクラウドベースの両方のインストールに適用され、SAP システムの基盤となるサポートされる各データベースについてのガイドラインです。

 **提案 6.3.1 選択したデータベースについて、データベースセキュリティに関する SAP ガイダンスに従う** 

 該当するガイドラインについては、以下を参照してください。 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/wellarchitected/latest/sap-lens/best-practice-6-3.html)

 **提案 6.3.2 – アプリケーションのセキュリティに関する SAP ガイダンスに従う** 

 SAP NetWeaver ベースのソリューションについては、『SAP NetWeaver セキュリティガイド』に詳しいガイダンスがあります。 
+  SAP ドキュメント: [ABAP Platform Security Guide](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html) 

# ベストプラクティス 6.4 – 適用可能なすべてのソフトウェアのアップグレードとパッチ適用のプランを確立する
<a name="best-practice-6-4"></a>

SAP と基盤となるオペレーティングシステムおよびデータベースのベンダーは、一定のスケジュールで標準的なセキュリティアップデートをリリースし、脆弱性を修正するための緊急アップデートも提供します。各ベンダーからの最新のセキュリティ情報を確認してください。セキュリティホールの導入を回避するには、定期的に最新のセキュリティフィックスで SAP アプリケーションと基盤となるすべてのコンポーネントを最新の状態に保つことをお勧めします。また、重要なセキュリティパッチがリリースされたときに緊急フィックスを適用するためのプランを立てておくことをお勧めします。

 **提案 6.4.1 - オペレーティングシステム、データベース、およびソフトウェアソリューションのベンダーからのアラートを購読する** 

 さまざまなベンダーポータルのセキュリティアップデートを購読することで、新しいセキュリティ問題や修正をリリースされたタイミングで知ることができます。これは、必要な変更を計画するのに役立ちます。 
+  AWS ドキュメント: [AWS セキュリティ速報](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc) 
+  SAP ドキュメント: [SAP EarlyWatch Alert](https://support.sap.com/en/offerings-programs/support-services/earlywatch-alert.html) 
+  SAP ドキュメント: [SAP セキュリティ関連のノートとニュース](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html) 

 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/wellarchitected/latest/sap-lens/best-practice-6-4.html)

 **提案 6.4.2 – 推奨された変更と、ビジネスおよび実装の取り組みに対するリスクをレビューする** 

 SAP チームは、システムアップタイムに対するニーズと、SAP セキュリティの向上のために推奨されたシステム変更の重要性とのバランスを取ることを学ぶ必要があります。これを怠ると、サービスの中断、財政上の影響、生産性の喪失など、不必要なリスクが生じる恐れがあります。脆弱性を修正するためにベンダーから推奨された変更と実装ステップをレビューし、それらをすみやかに実装するプランを立てます。これは、このレンズで述べられている運用上の優秀性のベストプラクティス、特にセキュリティに関するランブックの作成に直接関係します。 
+  SAP Lens [運用上の優秀性]: [提案 3.4.1 - SAP セキュリティオペレーションのための具体的なランブックを作成する](best-practice-3-4.md) 

 **提案 6.4.3 – 脆弱性に迅速に対応するプランを確立する** 

 新しい SAP セキュリティレコメンデーションとセキュリティ関連のパッチを可能な限り迅速に適用することが、AWS ベースの SAP ソリューションにとっても、別の場所にインストールされているソリューションにとっても非常に重要です。新しいサービスと機能の [SAP セキュリティノートおよびニュース](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html) を定期的にレビューして、記載されているパッチ、ノート、およびレコメンデーションにより、セキュリティ問題を迅速に修正します。場合によっては、SAP 管理者は根本的な脆弱性が解決されるまで、一時的な緩和措置または管理措置を講じなければならないこともあります。インシデント対応に関するセキュリティの柱のレコメンデーションにも従ってください。 
+  Well-Architected Framework [セキュリティ]: [インシデント対応](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) 
+  SAP ドキュメント: [SAP セキュリティノートおよびニュース](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html)