ERPシステムをサイバー攻撃から守る

もし、みなさまの会社のERPシステムがサイバー攻撃に晒されたら、どうなるでしょうか？多くの企業にとって、その結末は壊滅的なものになるはずです。ERPシステムは、顧客、在庫レベル、オーダーエントリー、生産計画、契約といったビジネスに不可欠なデータを含んでいるだけでなく、受発注、生産計画、在庫管理といった業務プロセスなども管理しています。企業の基幹業務を支えるこのERPシステムは、ある意味、企業のオペレーティング・システム(OS)であり、それなしには企業は機能しません。

多くの企業では、既存のERPは安全のためにインターネットから切り離されているかもしれませんが、他のアプリケーションとのインターフェイスや統合ポイントは、数十に及ぶこともあります。また、ERPシステムは、サプライヤーのサプライチェーンや物流システムなどの外部のデータソースやシステムとの間で相互接続されていることも多いです。さらに、働き改革によって、従業員への自宅やモバイルからのアクセスの必要性が増しています。

要するにERPシステムへのサイバー攻撃は、常に念頭におく必要があるということです。現に、ドイツ政府は最近、年次報告書を発表し、サイバー脅威がデータの盗難からシステムの破壊へと顕著に変化していることを強調しました。また、米国国土安全保障省は、ERPシステムを標的としたサイバー攻撃に対して複数の警告を発しています。

ERPシステムのセキュリティを十分に確保できていない理由で、セキュリティが担保されているパブリッククラウド上のERPにアップグレードする企業が増えています。ただ、それだけでは不十分です。なぜなら、上記のように様々なアプリケーションやデータソースと相互依存しているからです。ERPシステムをアップグレードする企業は、サイバー攻撃に対抗するためにポリシーを見直し、セキュリティ体制を強化する時期に来ているのかもしれません。

また、セキュリティの懸念から、パブリッククラウド上のERPにアップグレードしない場合は、別の問題もあります。。ガートナー社のアナリストでディレクターの矢野 薫氏は、「セキュリティが理由でSaaSの活用が進まないと、単にSaaSのメリットを享受できないだけでなく、企業全体のデジタル化の推進自体が減速することになります。これは企業にとっては大きな問題です。自社の競争力強化のためにデジタル化を加速させたいという場合はなおさらです。SaaS利用というクラウド活用のファースト・ステップで立ち止まっていたり、後れを取ったりしている場合ではありません」と述べています。

サイバー攻撃からシステムを保護するために、確立された方法があります。しかし、ERPシステムの規模や複雑さにより、企業はその方法を調整する必要があるかもしれません。完璧に保護された環境は存在しませんが、サイバー攻撃をより適切に検知し、防御し、回復するために企業が考慮すべき活動があります。それらは、

1. 企業にとって最重要情報を特定する
2. 接続する他のシステムとのすべてのインターフェイスを特定する
3. データフローを監視する（そのためのアプリケーションや機能を使う）
4. 脆弱性とデータフローを可能な限り削減する
5. ERPチームをサイバー攻撃対応の演習を行う

です。

残念ながら人間が作るソフトウェアに完璧なものはありません。しかし、健全なサイバー対策を実施し、安全な環境でのERPシステム保護しながら積極的にデータの流れを監視することにより、企業は最も重要なビジネスシステムに対する脅威を軽減できる可能性があります。