SAP HANA のセキュリティ

データベースのセキュリティとは

ビジネスイノベーションに向けて、データおよびデータ管理の重要性が増すにつれ、データベースのセキュリティを理解する必要性が高まっています。

データベースセキュリティは、本格的な 360 度アプローチを必要とする複雑な取り組みです。SAP HANA および SAP HANA Cloud には、固有の性質として包括的で強力かつ堅牢なセキュリティフレームワークが装備されています。これにより、企業はセキュリティ関連の規制やポリシーに準拠し、不正なアクセス/非合法な権限/制御ポリシーの欠如などの一般的な脅威を回避して、データの機密性/完全性/可用性を保護することができます。

データは、今日のデジタル化経済の中核であり、その量だけでなく、ビジネスにとっての価値と重要性も増加の一途をたどっています。企業の重要データを不正アクセスから保護し、増え続けるセキュリティ/法律/規制要件 (GDPR など) に対するコンプライアンスを確保することは、ビジネスリーダーにとって最大の懸念事項です。

データベースのセキュリティは、安全なデータアクセスやアプリケーションなど、すべてのセキュリティ面に対応する必要があり、認証とユーザー管理、承認、マスキング、匿名化、暗号化、監査の機能が求められます。

システムを保護し、今日のデジタル世界の規制要件に準拠させるための手順を実装しながら、サイバーセキュリティに関する課題に対処し、確信を持ってイノベーションを起こすことができます。

ホワイトペーパーを読む

認証およびユーザー管理

SAP HANA と SAP HANA Cloud は、統一されたユーザー管理および ID 管理を提供します。SAP HANA は、ユーザー管理やロール割り当てのツールだけでなく、既存のユーザープロビジョニングインフラへの統合を可能にする SAP Identity Management および SAP Access Control 用のアダプターも提供します。

クラウドのコンテキストでは、SAML、JWT トークン、X.509 証明書、または Cloud コネクター経由の SAP ログオンなど、最先端のシングルサインオン認証メカニズムを使用します。さらに、Kerberos を介して SAP HANA をサードパーティーのシステムに接続することができます。社内で両方の世界を組み合わせるには、LDAP ディレクトリサービスを介して接続することもできます。

承認およびロール管理

SAP HANA と SAP HANA Cloud の包括的な承認フレームワークにより、きめ細かなアクセス制御が実現します。ユーザーは、定義されたクライアントインターフェースを使用した場合のみ SAP HANA データベースにアクセスできます。データベースオブジェクトに対する操作は、その権限とロールによって決定されます。

ロールは、特定のユーザーの職務やタスクに必要な権限をまとめて、構造化するために使用されます。権限は、標準の SQL オブジェクト権限およびビジネスアプリケーション用の SAP HANA 拡張に基づいています。

暗号化

SAP HANA は、幅広い暗号化機能を提供します。SAP HANA Cloud では、通信の暗号化、保存データの暗号化、ならびにバックアップの暗号化が常に有効化されており、SAP HANA のコア機能セットに含まれています。オンプレミスの SAP HANA インストールでも、同様の暗号化オプションを設定できます。どちらのデプロイメントタイプでも、SAP Data Custodian KMS との統合により、暗号化キーを完全に制御することができます。

データプライバシー

リアルタイムのデータ匿名化とセキュリティにより、プライバシーと信頼を維持しながら、データから価値を引き出しましょう。データを複製することなく、安全かつコンプライアンスに準拠したデータアクセスをリアルタイムで取得でき、データは常に保護されます。保存中でも移動中でも、セキュリティ違反やプライバシー違反のリスクが軽減され、GDPR などの規制へのコンプライアンスが簡素化されます。

データの匿名化

SAP HANA のリアルタイムデータ匿名化はビューレベルで実行されるため、テーブルレベルのデータは変更されません。匿名化の方法として、k-匿名性と差分プライバシーの 2 種類を用意しました。さらに、匿名化ビューへのカステム定義の追加、レポートビューへのアクセス、SAP の認証フレームワークへの統合も可能です。

顧客は個人のプライバシーを類推することなく、個人データを利用可能
匿名化された個人データのアナリティクスおよび機械学習シナリオが実現可能
これまでアクセスできなかった企業データの価値を活用することで、顧客の ROI を強化

ソリューション概要を読む

マスキング

SAP HANA および SAP HANA Cloud では、SAP HANA ネイティブの動的データマスキングを使用できます。この機能では、テーブルおよびビューでのデータマスキングにより、行レベルでデータを保護します。権限のないユーザーがアクセスした場合、データは複製されず、即座にマスキングされます。

データマスキングに関するビデオを見る

SAP HANA でのデータ匿名化と SAP HANA でのデータマスキングの違いとは

SAP HANA での (データセットの) データ匿名化

複雑なデータセット内の個人のプライバシーを保護するための構造化されたアプローチ
匿名化されたデータに対するリアルタイムのアナリティクスにより、事前に活用できなかったデータに対するインサイトを獲得

SAP HANA での (属性の) データマスキング

幅広いアクセス権を持つ DBA およびパワーユーザーの機密情報を選択的に非表示
ユーザーのロール (コールセンターの従業員など) に応じて、機密情報を表示または非表示

監査

監査により、SAP HANA Cloud および SAP HANA プラットフォーム、SAP HANA データベースで実行される選択したアクションを監視および記録することができます。適切に設計された監査では、さまざまな方法でデータベースのセキュリティを強化することができます。たとえば、特定ユーザーに過剰な権限が付与された場合にセキュリティ脆弱性を検出する、セキュリティ侵害の試みを暴露する、セキュリティ違反やデータの不正使用からシステムオーナーを保護する、システム所有者がセキュリティ基準を満たせるようにする、などが可能です。

SAP HANA には、ロールやデータベース設定の変更など重要なシステムイベントに対する詳細に設定可能なポリシーベースの監査ログがあります。また、機密データへのアクセス（テーブルやビューなどのオブジェクトへの書き込み/読み取りアクセスやプロシージャの実行）も記録できます。高い特権を持つユーザーが重要なシステムへの一時的アクセスを必要とする状況では、firefighter ロギングを有効化できます。また、SAP HANA Cloud では、クラウドオペレーターアクションの包括的なロギングを利用できます。

ソフトウェアの保護

SAP HANA 開発の基盤となっているのが、SAP の安全な開発ライフサイクルです。これは、すべての SAP ソリューションのアーキテクチャー、設計、および実装を保護するためのプロセス、ガイドライン、ツール、およびスタッフトレーニングの包括的なフレームワークです。安全な開発ライフサイクルは脅威ベースのアプローチであり、リスクおよびデータ保護の評価、自動テストとマニュアルテストを含む包括的なセキュリティテスト、ペネトレーションテストを含む包括的なセキュリティテスト、および個別のセキュリティ検証フェーズを含みます。

毎月第 2 火曜日にリリースされる最新のセキュリティ更新により、SAP HANA のデプロイメントを最新の状態に保つことができます。SAP では、SAP ランドスケープを保護するために、Support Portal にアクセスし、優先度に従ってパッチを適用することを強くお奨めします。

SAP の安全なソフトウェア開発ライフサイクルによって SAP 製品の最高レベルのセキュリティを確保する方法を確認する

クラウドのセキュリティ

クラウドへの移行に伴い、SAP が提供するソリューションも運用モデルという点で変化しています。HANA はクラウド上のマネージドサービスであり、SAP がサービスのセットアップおよび運用を担当します。お客様はセルフサービスまたはサービスリクエストによって設定オプションを選択し、データレイヤー全体に対して責任を負います。このように SAP は、お客様がデータを最大限に活用しながら、常時稼動するマネージドサービスのメリットも享受できるよう支援します。

SAP は、最も重要かつ最高水準のソリューションを運用しています。SAP HANA はこうした広範なソリューションの一部であるため、詳細については、コンプライアンス検索ページの SAP Trust Center にアクセスし、Business Technology Platform でフィルタリングしてください。ISO、SOC、EU CCoC など、SAP の認定および認証が掲載されています。