コンテンツにスキップする
お問い合わせ
チャットで相談 チャットで相談(受付時間外です)
チャットでご質問にお答えします。
ウェブで相談
ご意見、ご質問、フィードバックなどをお寄せください。
SAP Trust Center
SAP ソフトウェアの信頼性を象徴する盾と手

SAP Gateway と SAP メッセージサーバーの安全な構成

SAP は、SAP Gateway とメッセージサーバーの脆弱性に関する近年のレポートについて承知していますが、これらの脆弱性は数年前に SAP によってパッチが適用されています。2009 年と 2013 年にリリースされたセキュリティノート 8218751408081、および 1421005 によって、お客様はこれらのエクスプロイトから守られます。これらのセキュリティノートを直ちに適用して、SAP ランドスケープを安全に構成することを強くお勧めします。
 
SAP は、お客様のデータのセキュリティを非常に重要なものと考えています。ホワイトペーパー「Practical Guide for Securing SAP Solutions」および「Securing Remote Function Calls (RFC)」で公表されている推奨事項では、SAP ランドスケープの安全な構成に重点が置かれています。お客様は EarlyWatch Alert(ノート 863362)および SAP Security Optimization サービスポートフォリオにある関連セキュリティチェックを有効化することができます。
 
SAP は、安全で信頼性の高いソフトウェアソリューションを重視しています。ビジネスソフトウェアのグローバルリーダーとして、SAP は、全社規模の包括的セキュリティ戦略(「防御 - 検出 - 対応」)に基づいて開発プロセスを実施し、トレーニング、ツール、およびプロセスを活用して安全な製品およびサービスの提供を実現します。

プロセスベースの脆弱性

2018 年初頭、スペクター(およびメルトダウン)によって新たな種類の脆弱性が公開されました。その後の数カ月間で、同じ仮名のバリアントが発見され、公開されてきました。新たな脆弱性や攻撃の継続的な研究と公開から、このトピックは今後も重要なものになると推定されます。このような脆弱性に共通する特徴は、これらのほとんどが CPU のアーキテクチャー(ハードウェア)の設計が原因となっていることで、これは過去 20 年間に製造されたほぼすべてのコンピューターチップに影響します。
 
この脆弱性につけ込むことで攻撃者は、これまで保護されていると見なされてきたデータにアクセスできるようになります。これを利用する攻撃として、サイドチャネル攻撃と呼ばれる攻撃があります。これは、特定の操作の実行速度(タイミング)により、通常ではアクセスできないメモリー内容が削除可能になる攻撃です。セキュリティの観点での懸念事項として、仮想化された環境内での境界の突破が挙げられます。
SAP は該当するベンダー、プロバイダー、オープンソースコミュニティと緊密に連携して、これらの脆弱性の影響を徹底的に検証しています。SAP は、SAP のプラットフォーム、データベース、アプリケーション、クラウド運用のどの部分がどのような影響を受けるのかについて、調査を進めています。
 
SAP は、事前対処的なアプローチで、ハードウェアのサイドチャネル攻撃を原因とする潜在的な欠陥を遅滞なく修正しています。SAP のクラウド環境のパッチ適用の進捗状況については、こちらをご覧ください(登録が必要です)。SAP も、影響を受けるソフトウェアおよびハードウェアの利用者であることから、対策の大部分は対応するベンダー、プロバイダー、オープンソースコミュニティからのパッチの提供を待つ必要があります。適切なパッチの適用スケジュールは、ほとんどの場合、それらが公開される時期で決まります。
お客様においては、ハードウェアおよびオペレーティングシステムの提供元からの情報に注意していただき、セキュリティパッチが公開された時点で、適用に関するアドバイスに速やかに従っていただくことをお勧めします。また、SAP も、SAP クラウドインフラストラクチャーに対して、これらのパッチを遅滞なく適用していきます。SAP Global Security は、状況を継続的に監視しています。
各バリアントには、それぞれ独自の CVE 番号が付けられています(2018 年 11 月 6 日更新)。

 

上記の脆弱性の種類はCPUやカーネルメモリーなどの機密データを読み取るために悪用される可能性があります。重要度のレベルと利用可能性は、各バリアントによって異なります。
 
上記のセキュリティの脆弱性、リソース、対応に関するベンダーからの情報は、以下をご覧ください。
SAP は、これらの外部サイトのコンテンツに関して一切責任を負いません。
先頭に戻る