# 9 – セキュリティイベントのロギング、テスト、および対応のためのセキュリティ戦略を実装する
**適切なロギング、テスト、および文書化された対応方法でサポートされている戦略的セキュリティプランはありますか?** 戦略的セキュリティプランを持つことは、あらゆるセキュリティ課題に対処するために行わなければならない事前タスクと事後タスクの形成に役立ちます。AWS 上の SAP ワークロードのセキュリティインシデントの識別と修復に役立つロギング、検出、および追加保護の手順は、Well-Architected Framework のセキュリティの柱で詳しく述べられているものと同じです。このセクションのガイダンスに加えて、「セキュリティの柱」にある検出とインシデント対応に関するベストプラクティスをレビューしてください。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/wellarchitected/latest/sap-lens/design-principle-9.html)
+ Well-Architected Framework [セキュリティ]: [検出](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
+ Well-Architected Framework [セキュリティ]: [インシデント対応](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html)
# ベストプラクティス 9.1 – SAP アプリケーションおよびデータベースのセキュリティログ分析に関する戦略を理解する
適切な詳細度のセキュリティログを保持しなければ、インシデント対応、フォレンジックなセキュリティ分析、および脅威のモデリングのために必要な貴重なデータが失われることがあります。SAP セキュリティスタッフは、お客様のビジネス上のセキュリティ要件に応じて、SAP システムに影響する潜在的なセキュリティインシデントを評価できなければなりません。AWS 上で実行する SAP ワークロードの場合、「Well-Architected Framework セキュリティの柱」で説明されている AWS サービスは、以下の提案と組み合わせて、有効な出発点となります。
+ Well-Architected Framework [セキュリティ]: [検出 – 構成](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/configure.html)
**提案 9.1.1 – セキュリティイベントの検出に必要なログを決める**
個々の SAP ソフトウェアおよびサポートされるデータベースについて、SAP NetWeaver Guide Finder や SAP NetWeaver セキュリティガイドを参照して、該当するログ (例えば、 [読み取りアクセスログ](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/631dfbf00a604784b69fc30570bfb69d.html) ) を指定する必要があります。さらに、SAP アドバイザリをレビューして、 [セキュリティロギング](https://help.sap.com/viewer/1a93b7a44ac146b5ad9b6fd95c1223cc/LATEST/en-US/182e167819f6405792686e94c177b9eb.html) と、開発アクティビティのベストプラクティスに関する関連トピックを確認してください。
+ SAP ドキュメント: [SAP NetWeaver Guide Finder](https://help.sap.com/viewer/nwguidefinder)
+ SAP ドキュメント: [ABAP Platform Security Guide](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html)
+ SAP ドキュメント: [セキュリティロギング](https://help.sap.com/viewer/1a93b7a44ac146b5ad9b6fd95c1223cc/LATEST/en-US/182e167819f6405792686e94c177b9eb.html)
**提案 9.1.2 – ログの保存と分析のメカニズムを開発する**
セキュアな SAP インストールのためには、潜在的なセキュリティイベントに関する関連データが必要ですが、同じように重要なのは、そのデータを安全に保存することと、データを効率的かつ迅速に検索し、分析するために必要なツールを用意することです。AWS でのオプションとしては、 [CloudWatch エージェント](https://docs.aws.amazon.com/systems-manager/latest/userguide/monitoring-cloudwatch-agent.html) を使用して、セキュリティ関連のインスタンスログと SAP アプリケーションログを [Amazon CloudWatch ロググループに保存する方法があります。](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) .そのようなログは、 [Amazon S3 にエクスポートして、](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) 包括的なログ分析を行ったり、 [サードパーティーのログ分析ソリューションと統合したりできます](https://aws.amazon.com/marketplace/solutions/control-tower/siem) .
AWS セキュリティログでの SAP の組み立て、結合、および分析については、以下を参照してください。
+ SAP Lens [セキュリティ]: [提案 7.4.4 – 分析のために、ユーザーおよび認可イベントをセキュリティ情報およびイベント管理 (SIEM) システムで統合する](best-practice-7-4.md)
+ SAP on AWS ブログ: [SAP HANA monitoring: A serverless approach using Amazon CloudWatch (SAP HANA モニタリング: Amazon CloudWatch を使用したサーバーレスアプローチ)](https://aws.amazon.com/blogs/awsforsap/sap-hana-monitoring-a-serverless-approach-using-amazon-cloudwatch/)
+ SAP on AWS ブログ: [SAP Monitoring: A serverless approach using Amazon CloudWatch (SAP モニタリング: Amazon CloudWatch を使用したサーバーレスアプローチ)](https://aws.amazon.com/blogs/awsforsap/sap-monitoring-a-serverless-approach-using-amazon-cloudwatch/)
# ベストプラクティス 9.2 – セキュリティバグがないか、定期的にテストする
「Well-Architected Framework セキュリティの柱」のインシデント対応のセクションで述べられているように、シミュレーション、ランブックの作成、およびゲームデーの実施は、AWS 上の SAP も含め、あらゆるワークロードについて推奨されます。このタイプの定期的なテストによって、新しい攻撃ベクトルや脆弱性を特定できるだけでなく、セキュリティインシデントが発生した際の迅速で効果的な対応のための SAP セキュリティリソースを準備できます。
Well-Architected Framework [セキュリティ]: [インシデント対応 - シミュレーション](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/simulate.html)
**提案 9.2.1 – 標準のセキュリティおよび侵入テストに加えて、SAP アプリケーションをターゲットとして含める**
試験的なセキュリティテストは、セキュアな環境を維持するための重要な部分です。AWS で標準的な侵入テストを実施することに加えて、悪意あるアクティビティの追加の潜在的ターゲットとして SAP ソリューションを加えてください。SAProuter、Web Dispatcher、Cloud Connector、SAP Fiori など、アーキテクチャで公開されることが多い SAP 固有のソフトウェアソリューションを念頭に置いてください。
+ AWS ドキュメント: [侵入テスト](https://aws.amazon.com/security/penetration-testing/)
# ベストプラクティス 9.3 – セキュリティイベントに対応するための文書化されたプランを持つ
SAP アプリケーションにかかわるセキュリティイベントに対応するための文書化されたプランがなければ、セキュリティチームの対応が遅く、包括的でないものになり、イベントの緩和においても、原因の理解においても、効果の薄いものになる可能性があります。SAP アプリケーションについて、セキュリティ対応パターンを徹底的に文書化します。
**提案 9.3.1 - 文書化されたインシデント管理プランを作成することで、セキュリティイベントに備える**
これは、「AWS Well-Architected Framework セキュリティの柱」のインシデント対応の準備に関するガイダンスに直接対応しています。このドキュメントを参照し、それに従って SAP アプリケーションを含めます。
+ Well-Architected Framework [セキュリティ]: [インシデント対応 - 準備](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/prepare.html)