ERP導入、セキュリティ対策はこれで万全!

公開日:
更新日:

1.はじめに

ERPシステムは、企業の機密情報や顧客情報など、重要なデータを大量に扱います。そのため、サイバー攻撃や内部不正による情報漏洩のリスクが常に存在します。
万が一、情報漏洩が発生した場合、企業の信用失墜、損害賠償請求、事業継続の危機など、甚大な被害をもたらす可能性があるので、ERP導入にあたっては、セキュリティ対策を適切に行い、情報漏洩のリスクを最小限に抑えることが重要です。
本コラムでは、ERP導入時に検討が必要なセキュリティ対策について、わかりやすく解説します。

2.ERP導入前に必ずチェック!セキュリティ対策の基本

まずは、ERPシステムを導入する前に、以下の基本的なセキュリティ対策を必ずチェックしておきましょう。

1)セキュリティポリシーの策定

セキュリティポリシーとは、企業が保有する情報を保護するための基本的な方針や行動規範をまとめたものです。まず、自社の情報(顧客情報、機密情報、従業員情報など)を洗い出し、それぞれの重要度を評価します。次に、情報漏洩した場合のリスクを想定し、具体的な対策を検討します。セキュリティポリシーを策定することで、従業員のセキュリティ意識を高め、組織全体で情報セキュリティに取り組む体制を構築することができます。

2)アクセス権限の管理

アクセス権限の管理とは、従業員ごとにアクセスできる情報を制限し、不要なアクセスを防止することです。ID・パスワード管理を徹底し、推測されにくいパスワードを設定するよう従業員に指導します。
また、近年、高度化したハッキング技術に対応するために、多要素認証(パスワードに加えて、指紋認証やワンタイムパスワードなどを組み合わせる認証方式)を導入することで、不正アクセスをより強固に防止することができます。

3)データの暗号化

データの暗号化とは、データを第三者が解読できない形式に変換することです。ERPシステムに保存されているデータだけでなく、通信中のデータも暗号化することで、情報漏洩のリスクを低減することができます。暗号化方式には、共通鍵暗号方式や公開鍵暗号方式などがあります。自社のセキュリティ要件に合わせて適切な暗号化方式を選択しましょう。

4)脆弱性対策

OSやソフトウェアには、セキュリティ上の脆弱性(欠陥)が存在する場合があります。これらの脆弱性を悪用されると、不正アクセスやマルウェア感染のリスクが高まります。OSやソフトウェアのアップデート、セキュリティパッチの適用を定期的に行い、常に最新の状態に保つことが重要です。

5)バックアップと復旧

万が一、情報漏洩やシステム障害が発生した場合に備え、定期的にデータをバックアップしておくことが重要です。バックアップデータは、安全な場所に保管し、復旧手順を確立しておきましょう。また、災害対策として、バックアップデータを遠隔地に保管するなどの対策も検討しましょう。

これらのセキュリティ対策は、ERP導入にかかわらず必ずチェックしておくべき基本的な項目です。実施できていない場合は、事前にこれらの対策を講じることで、情報漏洩のリスクを大幅に低減し、安全なシステム運用を実現することができます。

3.ERPシステム選定時のセキュリティチェックポイント

ERPシステムは、企業の重要な情報を一元管理する基幹システムです。そのため、システム選定時にはセキュリティ対策が十分であるかを確認することが非常に重要です。
ここでは、ERPシステム選定時にチェックすべきセキュリティポイントを一つずつ解説します。

1)クラウド型ERP vs オンプレミス型ERP

ERPシステムの導入形態には、大きく分けてクラウド型とオンプレミス型があります。クラウド型ERPは、ベンダーが提供するクラウド環境でERPシステムを利用する形態。オンプレミス型ERPは、自社のデータセンターやプライベートクラウド環境(IaaS)といった、サーバーやネットワークなどのインフラを構築し、ERPシステムを導入する形態です。

それぞれのメリット・デメリットを比較し、自社のセキュリティ要件に合った形態を選択することが重要です。

2)セキュリティ機能の確認

ERPシステムには、様々なセキュリティ機能や対策が搭載されています。セキュリティ機能が、自社のセキュリティ要件を満たしているかを確認しましょう。
また、ファイアウォール、侵入検知システム、ウイルス対策ソフトなどについては、別な製品で対応する必要があるので、ERPが対応しているかを確認する必要があります。

(ERPに標準で搭載されているセキュリティ対策)

セキュリティ対策 内容
アクセスログ監視 システムへのアクセス状況を記録し、不正アクセスを監視する仕組み
データ暗号化 データを暗号化し、情報漏洩を防止する方法
脆弱性診断 システムの脆弱性を定期的に診断、対策を講じている

(その他のセキュリティ製品)
ファイアウォール:不正なアクセスを遮断する
侵入検知システム:不正な侵入を検知し、アラートを発する
ウイルス対策ソフト:マルウェア感染を防止する

3)ベンダーのセキュリティ対策

ERPベンダーのセキュリティ対策も、システム選定の重要なポイントです。これらの点を評価し、信頼できるベンダーを選定しましょう。

(評価ポイント)

評価項目 評価ポイント
セキュリティ実績 過去に情報漏洩事故を起こしたことがないか
セキュリティ認証 ISO27001などのセキュリティ認証を取得しているか
サポート体制 セキュリティに関する問い合わせに迅速に対応してくれるか
アップデート セキュリティ脆弱性に対応したアップデートを定期的に提供しているか

4)第三者認証

第三者認証とは、独立した機関が、企業のセキュリティ対策を評価し、認証を与える制度です。これらの認証を取得しているベンダーは、一定水準以上のセキュリティ対策を講じていると判断できます。

(情報セキュリティに関連する、主な第三者認証)

第三者認証 説明
ISMS認証(ISO27001) 情報セキュリティマネジメントシステムの国際規格
SOC2 クラウドサービスのセキュリティ、可用性、処理の整合性、機密性、プライバシーに関する保証報告書
プライバシーマーク 個人情報保護マネジメントシステム(PMS)が、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合しているかを評価

(参考)

4.企業ならではのセキュリティ対策のポイント

セキュリティ対策にかけられる予算や人材が限られている場合が多く、サイバー攻撃の標的になりやすい傾向があります。
ここでは、企業がERP導入時に考慮すべきセキュリティ対策のポイントを一つずつ解説します。

1)まずはシンプルなセキュリティ対策から取り組む

高度なセキュリティ対策は、専門知識や多大なコストが必要となる場合があります。まずは、一番身近な、ID・パスワード管理の徹底、データの暗号化、定期的なバックアップなど、基本的なセキュリティ対策を確実に行うことが重要です。

2)リスクアセスメントの実施

自社の情報資産と、それらが漏洩した場合のリスクを洗い出すリスクアセスメントを行いましょう。リスクの高いものから優先的に対策を講じることで、限られた予算と人材を有効活用することができます。

3)外部専門家やサービスの活用

企業の場合、セキュリティ対策に十分な予算や人材を割けない場合があります。
そのような場合は、外部のセキュリティ専門家を活用したり、セキュリティ対策が組み込まれたクラウドサービスを利用したりすることを検討しましょう。

(参考)企業向けのセキュリティ対策のヒント

  • 情報セキュリティ対策ガイドライン
    IPA(独立行政法人情報処理推進機構)が、情報セキュリティ対策ガイドラインを公開しています。参考にしてみましょう。
     https://www.ipa.go.jp/security/guide/sme/about.html
  • セキュリティセミナーや相談窓口
    各地の商工会議所やIT企業などが、セキュリティセミナーや相談窓口を開設しています。活用してみましょう。
    (参考)IPA情報セキュリティセミナーのコースと関連資料のご案内
    https://www.ipa.go.jp/security/seminar/isec-semi/standard_course_guide.html
  • セキュリティ保険
    セキュリティ保険(サイバーリスク保険)とは、サイバー攻撃や情報漏えいなどのサイバーセキュリティ事故によって発生した損害を補償する保険です。
    万が一、情報漏洩が発生した場合に備え、セキュリティ保険への加入も検討しましょう。

(セキュリティ保険で補償の対象となる損害)

  • 顧客や取引先から請求された損害賠償費用
  • 争訟費用
  • システムの復旧費用
  • システム停止による営業休止・阻害に伴う喪失利益
  • 営業継続費用
  • 事故調査費用
  • 再発防止策策定費用

※保険の種類や保障の範囲などによって異なりますので、詳しくは保険会社、代理店に確認するようにしてください。

5.まとめ

企業におけるセキュリティ対策は、決して難しいものではありません。
まずは、自社のリスクを把握し、基本的な対策を徹底することから始めましょう。
また、セキュリティ対策には経営トップの理解が必要不可欠です。経営者の皆様には、セキュリティ対策を経営課題として捉え、積極的に取り組んでいただきたいと思います。

※記事の内容は、制作時点に一般公開されている情報に基づいています。また、記載されている会社名・製品名・システム名などは、各社の商標、または登録商標です。