関連記事一覧

最新の ERP セキュリティ機能は、日々進化し、改善されています。では、なぜ企業はかつてないほど危険にさらされていると感じているのでしょうか。その一因は、デジタルテクノロジーとクラウドテクノロジーの急速な進化にあります。IDC によれば、IoT デバイスの数は 2025 年までに 300 億を超え、指数関数的な増加が続くと予測されています。これらのデバイスの多くは、企業のインダストリアル IoT (IIoT) ネットワークの一部となっているため、通常は中央の ERP システムにデータを送信します。最近では、最新のクラウド ERP はほとんどの企業にとってミッションクリティカルなものとなり、すべての業務オペレーションが 1 つのシステムに統合されるようになっています。しかし、このコア機能は、多くの重要な情報へのワンストップポータルとなっており、サイバーセキュリティに関しては弱点となる可能性があります。

現代の ERP とソフトウェアにおけるセキュリティ上の課題

サイバーセキュリティに対する従来のアプローチでは、もはや全く対応できません。特定の IT 資産やデータベースの周りに安全な境界を設定し、アクセスを制限して制御するという考え方は、クラウドで接続されたエコシステムでは効果がありません。

クラウド ERP 環境では、組織はパブリッククラウドプロバイダーと多くの点で責任を共有することになるため、セキュリティへのアプローチを再定義しています。そして、企業は、インフラよりもアプリケーションに対する責任により重点を置くようになっています。

ランサムウェアやフィッシング攻撃は、急速に問題を複雑化しています。ERP が多くの部門をまたがって統合されるにつれて、アクセス権限を持つユーザーの数も増加しています。これはハッカーにとって、フィッシング対象が豊富な絶好の攻撃場所を提供していることになります。また、より広範に ERP が統合されることは、ERP に含まれる貴重なデータの領域と範囲が広がることも意味し、ハッキングの標的としての価値も高まります。さらに、旧式の ERP システムで、新しい部門への ERP 統合を拡大しようとすると、多くの場合、ボルトオンとカスタムコーディングが必要になり、それが潜在的な攻撃対象領域を広げることになります。つまり、より多くの場所により多くの弱点が存在するようになります。この状況は、外部アクセスポイントを必要とするリモートワーカーとギグワーカーの増加によって拍車がかかっています。

サイバー犯罪者は、窃盗や恐喝、さらには、基幹システムをシャットダウンして運営全体を機能停止に追い込むといったことも行います。長い間、規模の大きな組織（金融や保険、製造、ビジネスサービス、ヘルスケアなどのセクター）が標的になってきましたが、中小企業も攻撃を受けるケースが増えています。セキュリティ関連のリソースや専門知識が不足していることが狙われる原因になっています。

サイバー犯罪者が標的にする ERP データの種類

ハッカーはさまざまな動機からあらゆる種類のデータを盗みます。しかし、ほとんどの場合、企業を標的にするサイバー犯罪者は、ERP データなどのデータを狙っています。これらのデータは、標的となった企業を恐喝したり、盗んだデータに記載された顧客や個人に詐欺を働いたり損害を与えたりすることで、現金化しやすいデータだと言えます。例えば、クレジットカードの不正利用や振替を通じて現金を直接手に入れることができます。しかし、財務や ERP のデータベースは最も堅固に保護されていることが多く、ハッカーは通常、よりアクセスしやすい他の種類のデータにアクセスしようとします。

企業にとってのさらなるリスクは、自らの利益、評判、顧客にもたらされる損害だけでなく、盗まれたデータに記載されていた個人が集団訴訟を提起する可能性からも生じます。このデータに、個人の機密情報、法的情報、医療情報などが含まれている場合、訴訟による損害は取り返しのつかないものになる可能性があります。

ERP セキュリティに関する上位 7 つの問題とその修正方法

1. 古くなったソフトウェア

優れた ERP プロバイダーは、新たに出現するセキュリティリスクとの戦いを絶え間なく続けています。リスクが特定されるたびに、セキュリティパッチが作られ、顧客へと配布されます。過去、長期間にわたってこれらの更新を無視したりその適用を遅らせたりしてシステムの脆弱性をそのままにしてきた企業もいます。多くのカスタマイズやワークアラウンドを適用してきた古い ERP の場合は特にそのような傾向にあり、パッチ適用を管理するのがより困難です。

対策：新たな脅威は常に発生するため、停止やダウンタイムのリスクがあるとしても、更新プログラムとセキュリティパッチは定期的に適用する必要があります。オンプレミス ERP にパッチと更新プログラムを適用する場合は、セキュリティへの影響が最も大きいものを優先するリスクベースのアプローチが必要です。簡単ではなく、また停止を伴うプロセスですが、リスクを軽減する上で重要です。これは、ハイブリッド ERP ランドスケープを持つ企業にも当てはまります。

クラウド ERP ソフトウェアでは、パッチの配布と適用は、サービスプロバイダーによってビジネスを中断することなくバックグラウンドで行われるシームレスなプロセスです。さらに、クラウド ERP デプロイメントに付属する自動パッチ管理により、絶えず変化するコンプライアンスとガバナンスルールを確実に遵守することができます。

2. 権限の問題

今日のビジネス環境では、人事、IT、その他のチームマネージャーは、新規ユーザーをできるだけ早く稼働させなければならないという圧力にさらされています。そのため、ERP 権限を付与するときや、従業員の退職時にユーザーを無効化するときも、厳密性を欠く可能性があります。従来の ERP システムでは、多くの場合、認証機能が古く、権限配布をサポートする自動ワークフローが欠けているため、このような状況のリスクは大きくなります。

対策： 最新の ERP システムには、独自のプロビジョニング機能や認証機能、洗練されながらも使いやすいワークフローなど、リスクを念頭に置いた機能が組み込まれています。さらに、企業は ID アクセスガバナンスツールにより、より広範なエンドツーエンドのセキュリティを導入することもできます。

3. 不適切なセキュリティトレーニング

公式のフィッシング対策ポリシーが記載されたトレーニングメモを回覧させることは、定期的なインタラクティブ学習セッションを全部門用に調整することと同じではありません。実際、最近の調査では、自社のトレーニングでフィッシングリスクに十分に対応できていると考えていた組織の 78% が、自社の従業員の 31% が基本的なフィッシングテストに合格しなかったことに驚いていました。脆弱なパスワードを使用したり、フィッシングの知識が欠如していたり、セキュリティプロトコルの理解が不足していれば、最も忠実で勤勉な従業員でさえも無意識のうちにビジネスを危険にさらす可能性があります。

対策：多くの従業員は単純に、自分の無邪気な行動がいかにリスクや損害をもたらすかということを認識していません。サイバーセキュリティトレーニングを間違った人に任せたり、アジェンダ内でその優先度を下げるようなことはしないでください。専門家を入れて、ビジネス全体でリスク監査を実施し、セキュリティが脆弱な場所を見つけてください。さらにチームリーダーとともに、特定のニーズに対応した定期的なトレーニング計画を作成してください。各部門で、テスト日程、証明書の更新、補習トレーニングコースを含む自動化されたスケジュールを設定してください。

4. 経験豊富な ERP セキュリティスタッフの不足

従来の ERP ソフトウェアを使っている企業では、IT 担当部門が、自社独自の無数の ERP セキュリティリスクを完全に理解し、水準の高いセキュリティプラクティスを実行できる必要があります。これには、脅威の特定、脆弱性スキャンと侵入テストの実施、インシデント対応計画の作成、最新のサイバーセキュリティ監視ツールの古いシステムへの統合が含まれます。今日の環境では、熟練した専門家を見つけて維持することが困難であるだけでなく、IT 担当部門がデジタルセキュリティの急速な発展に対応するために、増え続けるトレーニングセッションを用意し続けるのは、費用も時間もかかります。

対策：クラウド ERP は、この増大する懸念を大幅に軽減します。24 時間 365 日の監視や災害復旧など、高負荷で過酷なセキュリティ機能は、すべてベンダーによってシームレスにクラウド内で処理されます。さらに、パッチ管理、テスト、アップグレードなど、時間のかかる日常的な IT タスクは、クラウドで自動化され、目に見える中断なしに実行されます。

5. セキュリティとガバナンス標準への非準拠

多くの部門間で ERP システムが統合されるにつれて、製品情報、医療記録、知的財産など、脆弱なデータ対象はますます多様化しています。データ（金融、医療、法務など）の機密性が高ければ高いほど、独自のセキュリティとストレージプロトコルを持つ可能性が高まります。これらのプロトコルを遵守しない、または認識していない場合、そのデータの潜在的な侵害だけでなく、コンプライアンス違反に対する罰則や法的な影響につながる可能性があります。

対策：最新のデータベースを備えた今日の最適な ERP では、さまざまなデータ型に対する広範なコンプライアンスプロトコルの集中的な自動化と管理が容易です。つまり、最初に IT チームが社内の各分野の専門家と協力して適切なセキュリティ標準を決定し、次にシステムとユーザーダッシュボードを自動化することで、適切なプロトコルが確実に守られるようになります。

6. 1 要素認証

1 要素認証（単一のパスワードまたはパスコードだけの認証）では不十分です。最近では、ほとんどの企業がこの事実を認識していますが、それでもまだ 40% 以上の組織が、すべての潜在的な ERP エントリーポイントで 2 要素認証を採用できていません。つまり、IoT デバイスや部門別アプリケーションといったネットワークに接続されたものが 1 ステップパスワードで脆弱なままになっている場合、重要なデータを 2 要素認証 (2FA) で保護しても意味がありません。

対策：どんな規模の企業でも、潜在的な全 ERP エントリーポイントに 2FA プロトコル（セキュリティトークンや生体認証スキャンを含む）を今すぐ導入することが不可欠です。これは、非常に重要な、シンプルで低コストの対策です。

7. データのエクスポート

正式なプロトコルがあるにもかかわらず、ユーザーはスプレッドシートへのデータ入力や、他のフォーマットでの保存をしたがるため、データエクスポートのリスクはビジネス上の課題として残っています。

対策：企業は Excel のダウンロードをブロックしたり、データベース内のユーザーアクションを追跡したりすることで、これを一部制御できます。しかし最終的に、データのエクスポートを防ぐ最善の方法は、脆弱なデータにアクセスできる人数を制限することです。最新の ERP を利用すれば、部門リーダーは、誰が何を参照できるかだけでなく、アクセスして表示できるデータセットの要素を簡単に決定して設定できます。また従来のシステムとは異なり、クラウド ERP には統合セキュリティ機能があり、通知の送信を自動化したり、ダウンロードやデータエクスポートなど権限のないコマンドを自動的に阻止したりできます。

サイバー ERP セキュリティのベストプラクティス

ここまで説明した問題と対策の多くは、サイバー犯罪世界に対して人的リソースと技術リソースを最適化するための、より広範なセキュリティ戦略に基づくものでした。ここでは、クラウド ERP のセキュリティ機能に関連するサービスとメリットを最大限に活用するための基本的なベストプラクティスを紹介します。

• 事業継続性、災害回復、およびアップタイムについてサービスレベル契約が締結されていることを確認しましょう。クラウドベースのツールによって、このような契約をグローバルに一元管理して、更新を自動化することができます。
• ハイパースケーラーや第三者機関による監査を実施しましょう。このような独立した第三者機関による監査は、全段階において事業横断的なコンプライアンスを確保し、サイバーセキュリティ成熟度モデル認定 (CMMC) やゼロトラストの取り組みなどをサポートする上で不可欠です。
• すべてのデータを暗号化し、ERP セキュリティプラクティスに関わるすべてのチームのプロセス、プロトコル、およびプロジェクト管理を集中的に強化しましょう。特に、パッチ管理、セキュリティ設定、脆弱性スキャン、脅威管理の分野を重視します。
• 世界レベルの外部のサイバーセキュリティエキスパートにコンサルティングを依頼して、すべてのチームがリスク軽減のために各自の役割と責任を十分に理解できるようにしましょう。
• 24 時間 365 日の監視とプロアクティブなセキュリティ管理を全社的に浸透させ、インシデントへの対応力を高めましょう。監視対象は、ERP、およびハッカーがアクセスする可能性があるシステム、デバイス、IoT 資産です。
• ドメインベースの ERP テストアプローチを採用して、攻撃対象全域で一般的なアクターベクトルに対応する、一貫性のある複製可能なテストプロセスを提供しましょう。

ERP セキュリティを向上させるための次のステップ

サイバー犯罪は私たち全員に影響を及ぼします。企業がサイバー犯罪と戦うには、多面的なアプローチを取らなければなりません。クラウド ERP は最高のスタート地点です。企業に、強力で効果的な防御策を調整し自動化するための統一的な基盤を提供します。

しかし最終的には、サイバーセキュリティへの取り組みは人に始まり、人で終わります。チームリーダーや従業員はソリューションの一部ですが、自分たちだけでサイバーセキュリティを理解しなければならないわけではありません。ERP サイバーセキュリティへの取り組みの第一歩は、関心分野のエキスパート、実践的な学習、視覚的で実用的なレッスン計画、さらには問題発生時に起こり得る実例を盛り込んだ、コミュニケーションとトレーニング計画を策定することです。個々のトレーニングや資格は重要ですが、関心を高め、気付きを与えるためにも必要です。

デジタルセキュリティは今や、私たちの生活に関わる大きな意味を持つものになっています。サイバーセキュリティに対する学びを魅力的で興味深い体験にしてみませんか。