# 8 – SAP の保管中のデータと送信中のデータを保護する
**SAP データをどのように保護しますか?** SAP システムは、多くの場合、ビジネス内のコア機能を実行し、機密性の高いエンタープライズデータを保存します。ベストプラクティスは、保管中と送信中のデータを少なくとも 1 つの暗号化メカニズムを使用して暗号化し、社内または社外のセキュリティ要件と規制に準拠することです。次にリストされているコントロールに加えて、 [AWS 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/) AWS は複数の暗号化ソリューションを備えています。多くの AWS サービスは、最小限の労力とパフォーマンスへの影響で暗号化を実行できる機能を備えています。データベースおよび SAP アプリケーションレイヤーで使用可能な暗号化オプションがあるので、検討してください。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/wellarchitected/latest/sap-lens/design-principle-8.html)
# ベストプラクティス 8.1 – 保管中のデータを暗号化する
保管中のデータとは、デジタル的に保存されたデータを指します。このデータが承認されたユーザーにのみ表示され、ストレージまたはデータベースへのアクセスがアプリケーションとは無関係に侵害されるときには保護状態を保つように、暗号化を使用します。
**提案 8.1.1 – 暗号化が適用されるレベルを定義する**
一般に、暗号化をデプロイするスタックが多いほど、データの安全性は高まります。このセキュリティ強化には、デプロイと管理の複雑さの増加が伴います。AWS は、サービス内で使用可能な保管中の暗号化オプションを使用することをお勧めします。必要なときには、[セキュリティ] で定義されているオペレーティングシステムまたはデータベースの追加の暗号化を検討してください。 [ベストプラクティス 5.3 - SAP ワークロードの特定のセキュリティコントロールの必要性を評価する](best-practice-5-3.md).
**提案 8.1.2 – SAP サービスおよびソリューション向けの AWS 暗号化オプションを理解する**
保管中のデータについて SAP が依存するコアの AWS サービスは、Amazon EC2 (AMI プラス EBS ボリューム)、Amazon FSx for Windows File Server、または共有ファイルシステム向けの Amazon EFS とバックアップまたはその他のオブジェクトストアユースケース向けの Amazon S3 です。
+ AWS ドキュメント: [EBS -backed AMI での暗号化の利用](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ AWS ドキュメント: [Amazon EBS Encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ AWS ドキュメント: [Amazon EFS 暗号化](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) / [Amazon FSx 暗号化](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption.html)
+ AWS ドキュメント: [Amazon S3 の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)
これらのサービスの保存されたデータは、AWS または AWS KMS からの顧客管理キーを使用して、保管中に暗号化できます。
オペレーティングシステムの暗号化オプションには、BitLocker、DM-crypt、および SuSE Remote Disk があります。
以下のリンクを参考に、データベースの暗号化オプションに関する情報を見つけてください。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/wellarchitected/latest/sap-lens/best-practice-8-1.html)
**提案 8.1.3 – 暗号化の方法とキー管理ストアを定義する**
一般に、キー管理はエンタープライズレベルで定義され、これにより、SAP ワークロードでの使用が許されるキー管理オプションが決まります。AWS KMS は、AWS サービスの暗号化キーの管理を簡素化するセキュアで回復性の高いサービスです。独自のハードウェアセキュリティモジュール (HSM) を管理する必要がある場合は、AWS CloudHSM を使用できます。
+ AWS ドキュメント: [AWS 暗号化ツールおよびサービスのオプション](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-choose-toplevel.html)
+ AWS ドキュメント: [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/)
+ AWS ドキュメント: [AWS CloudHSM](https://aws.amazon.com/cloudhsm/)
マスターキーを保護するメカニズムも検討してください。キーのアクセスの制限、ローテーションの管理、および復元力の確保をどのように行いますか?
HANA の保管中のデータの暗号化のルートキーは、ファイルシステム内のインスタンスセキュアストア (インスタンス SSFS) または SAP Data Custodian SaaS Solution でのみ安全に保存できることに注意してください。インスタンスストアを使用する場合、マスターキーは [AWS Secrets Manager](https://aws.amazon.com/systems-manager/) にローテーションポリシーとともに保存できます。
+ SAP Note: [2154997 - Migration of hdbuserstore entries to ABAP SSFS (hdbuserstore エントリの ABAP SSFS への移行)](https://launchpad.support.sap.com/#/notes/2154997) [SAP ポータルへのアクセス権が必要]
+ SAP Note: [2755815 - How to Ensure Recoverability of Hana's Data-At-Rest Encryption (HANA の保管中データの暗号化の回復性を確保する方法)](https://launchpad.support.sap.com/#/notes/2755815) [SAP ポータルへのアクセス権が必要]
# ベストプラクティス 8.2 – 送信中のデータを暗号化する
送信中のデータの暗号化を使用すると、データがあるポイントから別のポイントへ移動しているときの傍受、アクセス、または改ざんがより困難になります。セキュアなプロトコルとネットワークレベルの暗号化が設定されていて、潜在的な脅威を最小化し、要件に応じた保護レベルを提供していることを確認します。
Well-Architected Framework [セキュリティ]: [伝送中のデータの保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-in-transit.html)
**提案 8.2.1 – SAP およびデータベースプロトコルに基づくアプリケーショントラフィックを暗号化する**
SAP プロトコルを使用するアプリケーショントラフィックの場合 (SAPGUI Dialog、RFC、および CPIC) は、SAP SNC を使用してトランスポートレイヤーセキュリティを適用します。
+ SAP ドキュメント: [SAP システムにおける SNC で保護された通信パス](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/ad38ff4fa187622fe10000000a44176d.html)
データベーストラフィックについては、可能な場合、クライアントとデータベース間のセキュアな接続を使用します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/wellarchitected/latest/sap-lens/best-practice-8-2.html)
**提案 8.2.2 – インターネットプロトコルに基づく SAP アプリケーショントラフィックを暗号化する**
インターネットプロトコル (HTTP、P4 (RMI)、LDAP) に基づくアプリケーショントラフィックについては、SSL/TLS を使用して、トランスポートレイヤーセキュリティを適用します。
+ SAP ドキュメント: [トランスポートレイヤーセキュリティ](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/5f0f558b8a7841049139f0fb558ac62c.html)
**提案 8.2.3 – ファイル転送またはメッセージ転送プロトコルに基づくデータ交換を暗号化する**
ファイルベースの転送の場合、AWS は、SFTP または FTPS 経由でのセキュアなファイル交換のために、AWS Transfer Family を提供します。AWS Transfer Family は Amazon S3 と Amazon EFS 管のデータの転送をサポートします。
+ AWS ドキュメント: [AWS Transfer Family](https://aws.amazon.com/aws-transfer-family)
メッセージレベルのデータ整合性チェックを使用すると、データが送信中に改ざんされていないことを確認できます。SAP によってサポートされている 1 つ以上のメッセージレベルセキュリティスタンダードを使用して、メッセージ内のデータに署名し、その整合性を確認することを検討してください。
+ SAP ドキュメント: [SAP ABAP ウェブサービスメッセージレベルセキュリティ](https://help.sap.com/viewer/684cffda9cbc4187ad7dad790b03b983/1709 000/en-US/47ac469337a24845e10000000a421138.html?q=netweaver%20security%20guide%20message%20level%20security)
+ SAP ドキュメント: [SAP NetWeaver プロセス統合セキュリティガイド](https://help.sap.com/doc/saphelp_nwpi711/7.1.1/en-US/f7/c2953fc405330ee10000000a114084/frameset.htm)
+ SAP ドキュメント: [SAP クラウド統合メッセージレベルセキュリティ](https://help.sap.com/viewer/368c481cd6954bdfa5d0435479fd4eaf/Cloud/en-US/463a9085156d4672bc4ee9095277e453.html)
IDOC ベースのメッセージについては、SNC を使用して、ALE によって使用される RFC 接続を保護します。
+ SAP ドキュメント: [IDocs での機密データの取り扱い](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/7f2e71922f4a4d7081e1d2032b0934f7.html)
**提案 8.2.4 – 管理アクセスを暗号化する**
SAP の管理には、Windows と SSH ベースの両方のツールを使用するのが一般的です。Bastian Hosts などのセキュリティコントロールに加えて、このトラフィックの暗号化が可能かどうか検討します。
または、[AWS Systems Manager セッションマネージャー](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) は、暗号化に TLS を使用して AWS 管理コンソール経由でオペレーティングシステムにアクセスするセキュアなメカニズムを提供します。
+ AWS ドキュメント: [Amazon EC2 Windows ガイド - 送信中の暗号化](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html)
+ AWS ドキュメント: [Amazon EC2 Linux ガイド - 送信中の暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html)
+ AWS ドキュメント: [AWS Systems Manager でのデータ保護 – データ暗号化](https://docs.aws.amazon.com/systems-manager/latest/userguide/data-protection.html#data-encryption)
**提案 8.2.5 – 送信中の暗号化を可能にする AWS サービスの機能を評価する**
アプリケーションベースの暗号化に加えて、多くの AWS サービスは送信中の暗号化機能を備えています。各サービスについて、会社のスタンダード、実装の取り組み、および関連する利点を評価します。以下は、SAP ワークロードに関連する例です。
+ AWS ドキュメント: [Amazon S3 - 送信中の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) - デフォルトで有効であり、Amazon S3 へのバックアップに推奨。
+ AWS ドキュメント: [Amazon EFS - 送信中の暗号化](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html) / [Amazon FSx](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html) - 共有ファイルシステムの場合に必要なことがあります。
+ AWS ドキュメント: [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html) - この機能はすべてのタイプのロードバランサーで使用できるわけではないため、暗号化要件と、エンドツーエンドな TLS パススルーが必要かどうかをレビューします。
+ AWS ドキュメント: [Amazon EC2 - 送信中の暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html) - より新しい世代のインスタンスタイプのみが、この機能を備えています。
**提案 8.2.6 – ネットワークレベルの暗号化を実装する**
SAP のお客様は、一般に、Direct Connect または Direct Connect と VPN の組み合わせのいずれかを使用して、AWS 上のリソースへの信頼できる接続性を提供しています。
AWS Direct Connect は、送信中のトラフィックを暗号化しません。暗号化が必要な場合は、例えば、VPN over Direct Connect を使用して、トランスポートレベルの暗号化を実装してください。
AWS は、ネットワークチャネルの暗号化に使用できるサイト間 VPN を提供します。AWS Marketplace から、または Bring-Your-Own-License で Open VPN などのサードパーティー VPN ソリューションをデプロイすることもできます。
+ AWS ドキュメント: [AWS マネージド VPN](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-managed-vpn.html)
+ AWS ドキュメント: [AWS Direct Connect \$1 VPN](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-vpn.html)
+ AWS ドキュメント: [ソフトウェアサイト間 VPN](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/software-site-to-site-vpn.html)
# ベストプラクティス 8.3 - データ復旧メカニズムを確保して、脅威から保護する
悪意あるアクティビティから保護するために、組織のセキュリティフレームワーク内で定められているガイドラインに従ってください。それらの [日本語ガイド: AWS クラウド環境をランサムウェアから保護する](https://d1.awsstatic.com/WWPS/pdf/AWSPS_ransomware_ebook_Apr-2020.pdf) には、インシデント前およびインシデント対応の一環としての重要な項目の概要が説明されていて、ネットワークコントロール、パッチ適用、最小特権許可などが含まれています。SAP システムの場合、脅威は他のアプリケーションと同様ですが、影響はより大きくなる可能性があります。SAP がレコードのシステムの場合や、ミッションクリティカルなトランザクションのために必要とされる場合は、以下の提案を検討して、悪意ある攻撃からバックアップを保護してください。
+ SAP Note: [2663467 - Tips to avoid a Ransomware situation (ランサムウェア状況を回避するためのヒント)](https://launchpad.support.sap.com/#/notes/2663467) [SAP ポータルへのアクセス権が必要]
+ SAP Note: [2496239 - Ransomware / malware on Windows (Windows でのランサムウェア / マルウェア)](https://launchpad.support.sap.com/#/notes/2496239) [SAP ポータルへのアクセス権が必要]
**提案 8.3.1 – 追加のコントロールで個別アカウントのバックアップを保護する**
データのプライマリコピーから隔離されたアカウントでバックアップを直接、またはレプリケーションを使用して保護することにより、システム侵害がデータ復旧メカニズムにも影響を与えるリスクを最小化できます。
セカンダリアカウントは、ユースケースに応じたアクセス要件を持つ “データバンカー” として見ることができます。
Amazon S3 を使用するバックアップの場合、追加のコントロールとして、write-once-read-many (WORM) モデルを使用してオブジェクトを保存する S3 Object Lock、または [多要素認証削除を含めることができます。](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) .
レプリケーションを使用する場合は、使用可能なさまざまなオプション、例えば、 [削除マーカーレプリケーション](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-marker-replication.html) (デフォルトでは、削除マーカーはレプリケートされません) や [S3 レプリケーション時間制御などを理解してください](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-time-control.html) .コストを最適化するには、プライマリとセカンダリの両方のバケットでハウスキーピングが実行されることを確認します。
**提案 8.3.2 – 復旧能力を検証する**
バックアップは、悪意あるアクティビティからデータを保護する最後の防衛線ですが、バックアップが不完全であったり、バックアップが有効でなかったりするために復旧できない場合は役に立ちません。バックアップにアクセスできない場合や復号化できない場合も、復旧は不可能です。暗号化キーと認証情報をどのように保護するか考慮してください。
代替アカウントでの再構築も含めて、悪意あるシナリオに応じた復旧テストを実行してください。
+ SAP Lens [運用上の優秀性]: [ベストプラクティス 4.3 - 事業継続性計画と障害復旧を定期的にテストする](best-practice-4-3.md)