セキュリティ問題管理
招待制 SAP Bug Bounty プログラム
関連製品リストなど、招待プログラムの詳細をご覧ください。
セキュリティの問題点を報告する
SAP は、セキュリティプロセスの改善に継続的に取り組んでいます。セキュリティの潜在的な問題点をご報告いただく場合には、次のいずれかの方法でお知らせください。
強力なインフラストラクチャー保護、24 時間 365 日の継続的な監視、迅速なインシデント対応、組み込みの災害復旧により、お客様のビジネスを保護します。SAP は厳格なアクセス制御を適用し、安全な開発手法に従い、ISO 27001 や SOC 報告書などのグローバルな認定を維持しています。SAP Trust Center を介して、ポリシー、認定、月次セキュリティパッチを可視化しています。SAP はプラットフォームを保護しますが、お客様には共有責任モデルに基づいてユーザーアクセスと設定を管理していただき、システムの安全性維持に連携して取り組みます。
お客様以外
セキュリティ研究者など、SAP のお客様でない方は、SAP 製品(オンプレミスまたはクラウドを問わない)または SAP 所有ドメイン(SAP Help Portal など)で見つかったセキュリティの脆弱性をご報告いただき、責任ある情報開示にご協力ください。
報告されたセキュリティの脆弱性は、SAP Bug Bounty プログラムの Hall of Fame に掲載されます。
情報開示ガイドライン
報告書の以下の情報のうち、該当するものを含めてください。問題カテゴリー、サポートパッケージおよびパッチレベルと影響を受ける製品バージョン、エクスプロイト(脆弱性攻撃プログラム/ツール)が機能するのに必要な前提条件/事後条件、概念実証またはエクスプロイトコードによる説明、問題点が悪用された場合の影響。
SAP の顧客およびパートナー向け資料
有効な SAP ユーザー ID をお持ちの SAP のお客様とパートナー様は、My Trust Center(SAP Support Portal 内の 1 領域)を通して、パブリックオファリング以外の SAP セキュリティポリシー、フレームワーク、処理外注先一覧などを参照できます。
SAP セキュリティノート
SAP for Me ポータルは、顧客およびパートナー向けの一元的なアクセスポイントで、すべてのセキュリティノートのリストを含む、製品ポートフォリオに関する詳細情報を提供します。
SAP セキュリティパッチデー
SAP 製品で発見された脆弱性を修正する
毎月の SAP セキュリティパッチデーのメモを確認して、SAP 製品で発見された脆弱性をチェックし、パッチを適用して SAP ランドスケープを保護します。