ERPシステムとは、企業経営における業務改善を可能とするシステムの総称です。

ERPの導入にはメリットを感じているものの、一方で、情報の集約したERPのセキュリティ面に不安を感じてはいないでしょうか。企業のさまざまな情報がシステム内で管理されているからこそ、ERPのセキュリティ面の強化は重要な課題といえます。

この記事では、ERPのセキュリティ問題とどのようなリスク対策ができるか、具体的に見ていきましょう。

【サイバー攻撃のリスク】企業のERPが抱えるセキュリティ問題

企業の情報は、常にサイバー攻撃のリスクにさらされています。

まず、ネットワーク接続によるリスクです。OSやソフトウェアには、セキュリティの抜け道となる脆弱性（ぜいじゃくせい）があります。脆弱性は、ソフトウェアのアップデートで改善されるものの、完全にはなくなりません。

コンピューターウイルスやワームは、OSやソフトウェアの脆弱性をついて侵入しますので、脆弱性がアップデートでカバーされていないと感染につながります。ネットワークに常時接続している状態だと、脆弱性をねらったサイバー攻撃のリスクに常にさらされるということです。

そして、問題なのは、時代の変化とともにサイバー攻撃が増加し、さらに巧妙化しているということ。

近年では、標的型サイバー攻撃によるセキュリティ事故も見られるようになってきました。標的型サイバー攻撃とは、ターゲットを定めてウイルス感染を狙うサイバー攻撃の方法です。

不特定多数を狙うウイルス感染とは異なり、標的型サイバー攻撃はターゲットを熟知した手法のため、従来よりもサイバー攻撃を防ぐことが難しくなります。

ここまでで、企業がさまざまなセキュリティリスクにさらされていることがお分かりいただけたかと思います。では、なぜERPのセキュリティに特に注意しなければならないのでしょう。理由は、ERPには企業の情報が集約しているためです。

もしERPを利用していて、ウイルス感染や不正アクセスで情報が流出すれば、会社の重要なデータが一気に流出する可能性があります。ERPでネットワークを利用しているなら、さらにセキュリティリスクは高まるでしょう。

ERPで管理している企業の大切な情報を守るためにも、従来のセキュリティソフトによる対策だけでなく、より効果的な対策を取る必要があります。

自社のERPのセキュリティを高める！具体的なリスク対策

ERPのセキュリティの問題を見直し、セキュリティをより強固にするにはどうするべきか、4つの具体的なリスク対策を解説していきます。

エンドポイント対策を徹底する

エンドポイントは末端のことです。セキュリティにおいては、PCやスマートフォンなどのネットワークに接続される末端の機器をエンドポイントといいます。

近年発生しているセキュリティトラブルは、外部端末やWebサイトなどのエンドポイントを起点にしたものが増えているため、エンドポイント対策の徹底がセキュリティ向上のカギです。

また、働き方改革によって、企業内部に限らず、外部から企業内部のシステムにアクセスするケースも増えてきました。外部からでも安全にアクセスできるようにするためにも、エンドポイント対策は重要性が高いといえるでしょう。

エンドポイント対策において重視したいのは、単純なウイルス対策だけでなく、情報端末そのものを保護することです。

たとえば、サンドボックスが対策のひとつに考えられるでしょう。サンドボックスとは、メールに添付されたファイルを仮想空間で展開することによって、事前に不正を検知する技術のことです。端末に影響を及ぼす前に怪しいファイルを排除できます。

ほかにも、次世代エンドポイントセキュリティ対策ソフト、ID管理など、さまざまな対策がありますので、必要なものを組み合わせて端末を保護できるようにしましょう。

内部対策を実施する

さまざまな対策を組み合わせてセキュリティリスクを抑えることはできますが、サイバー攻撃が巧妙化している中で、完全にリスクは排除できないといわれています。

可能性が低くてもサイバー攻撃の可能性があるのなら、予防策だけでなく、実際にマルウェアに感染したり、情報をもちだされたりしたときの対策も行っておくべきです。

内部対策とは、サイバー攻撃を受けたことによるマルウェアの感染を想定した対策のことをいいます。内部対策で重要なのは、早期にマルウェア感染に気づける仕組みを構築することです。

方法としては、ログの自動収集によりマルウェアの侵入や拡散情報を把握できるログ監視、情報が持ち出されても中身を簡単に見られないようにする暗号化などがあります。

ほかに、社内ゲートウェイを経由させるネットワーク制御、仮想ブラウザで外部からのインターネットアクセスを防ぐネットワークなども対策にあげられるでしょう。

マルウェアに感染しても、早い段階で感染がわかれば、必要な対策をすぐに講じることができますし、被害も少なく抑えることができます。情報漏えいリスクを低減できる意味で内部対策は有効です。

社員のセキュリティ意識向上を図る

セキュリティ対策を十分に行ったつもりでも、情報を扱う社員のセキュリティへの意識が高くないと、思わぬところから情報が漏えいすることもあります。

システムや技術面でセキュリティを強化することはもちろん、情報を扱う社員のセキュリティ意識の向上を図ることも重要です。

たとえば、近年増えている標的型サイバー攻撃は、メールの添付や安全性の低いアプリケーションの利用を介してマルウェアに感染するケースが見られます。メールの場合は、公式のメールとは異なり文面に違和感があったり、マークなどが少し違ったりするものです。

見分け方さえ理解していれば、セキュリティ事故の増えている標的型サイバー攻撃であっても見破ることができます。社員全体のセキュリティ意識を高めるためにも、定期的にセキュリティ教育を実施するようにしましょう。

セキュリティ教育だけでなく、社内用にセキュリティポリシーを策定し、社員全員に共有することもできます。いずれの方法を採用するにせよ、社員がセキュリティリスクのある行動をとらないよう、セキュリティについて情報を周知させることが大切です。

サイバー攻撃の対応マニュアルを作る

マルウェア感染に早期に気づける仕組みとして内部対策の重要性を説明しましたが、システム上の対策だけでなく、人的な対策も講じておく必要があります。

マルウェア感染後の行動、対応の手順など、サイバー攻撃対応のためのマニュアルを社内で作成しておきましょう。マニュアルがあれば、いざというときに素早く対応できますし、対応の遅れによる被害の拡大を防ぐことができます。

対応マニュアルは、セキュリティ対策に通じた専門家と連携して作成するのがおすすめです。

ERPの導入支援を行うBlue Tiger Consulting（BTC）（https://btcjp.net/）では、ERPの保守支援サービスも実施しています。豊富な知識とノウハウにより、セキュリティ問題を解決する最適なサポートが可能です。

ERPのセキュリティ問題やセキュリティリスクの対策に頭を悩ませているなら、まずはBTCへご相談ください。

まとめ

ERPは、会社のさまざまな情報を一元管理できることから、業務を効率化することに役立ちます。

便利なシステムではありますが、情報がシステムに集約されていること、情報共有でネットワークアクセスがあることから、セキュリティ面に十分に気を配らなくてはならない点に注意が必要です。

ERPの利用でマルウェアに感染すると一気に情報が流出する可能性があることから、従来のセキュリティ対策ではリスクを思うように低減できません。この記事でも紹介したように、エンドポイント対策、内部対策など、セキュリティの強化を実施する必要があります。

ERPのセキュリティ対策について不安がある場合は、ERPやセキュリティ対策に精通した専門家の力を借りるのも良いでしょう。