クラウドのソリューションとデータの保護

SAP の製品セキュリティは、クラウドサービスのセキュアな開発と運用のライフサイクル (SDOL) 全体をカバーします。クラウドサービスの作成と運用にあたっては、「設計段階からセキュア」、「デフォルトでセキュア」の原則が適用されます。それには、以下のような幅広い方策が含まれます。

• リスク、データプライバシー、倫理の評価

• アーキテクチャー設計のセキュリティリスクを特定するための脅威モデリング

• 安全なコーディングのためのガイドラインとコードレビュー

• セキュリティと脆弱性のスキャン

• ペネトレーションテストとレッドチーム演習

• ソフトウェアリリースの安全なデプロイ

• 回復性、バックアップ、リカバリなどの安全な運用

• バグバウンティプログラム

• 製品のセキュリティ対応

SAP のセキュリティポリシーフレームワークには、クラウドインフラストラクチャーで必要となる強化手順が含まれており、一般的なクラウドの設定ミスが起きないようにインフラストラクチャーを保護します。

• 一元化された監査イベントのロギング

• 転送時および保存時の暗号化に関する最小要件

• VPN の設定

• クラウドセキュリティ体制管理 (CSPM) のための一元的なスキャン

• 定期的なクラウドインフラストラクチャーの脆弱性スキャン

SAP は、提供しているサービスとその基盤となるレイヤーの ID およびアクセス管理を管理します。お客様は、ソリューション管理レイヤー内でユーザーアクセス管理に対する責任を負います。これにより、SAP はお客様のデータやお客様のソリューションインスタンスにアクセスすることなくクラウドサービスを提供できます。

クラウドソリューションのアーキテクチャーで可能であれば、SAP はクラウドアカウントごとにお客様のテナントを分離、隔離します。転送中および保存時の強力な暗号化ポリシーが適用され、より高度な運用のためのオプションも用意されています。お客様は、ソリューションのデータへのアクセスを管理し、権限のないアクセスを防止します。

SAP は、不審なアクティビティや脆弱性をモニタリングして適宜アラートを発出し、外部からアクセスできる Web インフラストラクチャーに対する定期スキャンとサードパーティーによる侵入テストを実施し、レッドチーム演習を実行してシステムセキュリティを評価します。SAP はセキュリティ運用センター (SOC) を週 7 日 24 時間体制で維持しており、セキュリティインシデントへの対応とコミュニケーションを一元的に管理しています。

SAP は、冗長性とビジネス継続性管理をシステムに組み込み、お客様の利益に対して発生する運用上の脅威、評判に関する脅威、その他の脅威に対応できるようにしています。SAP は、各ソリューションの回復性とリカバリに関するサービスレベル契約 (SLA) を提供しています。

物理資産の保護は顧客データを保護するために不可欠です。SAP の物理的セキュリティプログラムは、勤務中の従業員の安全を管理します。SAP は強力な物理的セキュリティを備えたデータセンターを運用しています。また、ハイパースケーラーデータセンター事業者との強力なパートナーシップを通じて、物理資産とデータの安全性を維持しています。

各自の役割や職務に応じてセキュリティ責任を果たせるように従業員をトレーニングする際には、セキュリティの文化と意識に継続的に注意を払う必要があります。SAP は、セキュリティとコンプライアンスに関する必須のトレーニングや選択的なトレーニングを提供しています。また、学習、ネットワーキング、体験共有のためのイベントを開催しています。