ERPは“止められたら負け” 筆者の実体験から探る現実に即したセキュアな運用：半径300メートルのIT

「止まらない前提」で運用されてきたERPが、今や攻撃者にとって“最悪の人質”になっています。「インターネット非接続だから安全」「簡単にパッチは当てられない」――その常識が、決算や事業継続を一瞬で止める引き金になるとしたらどうでしょう。見過ごされがちな基幹領域のリスクに迫ります。

[宮田健，ITmedia]

　「基幹システム」が止まるとビジネスは止まります。基幹システムが止まってしまえば、直接的／間接的にシステムがつながっている工場の運営もままなりません。

　組織によって詳細は異なりますが自社で守らねばならないシステムは意外と幅広く、組織全体のセキュリティ強度とレジリエンス力を高めることが重要です。その“システム”の一つとして、会計システムも考えなくてはならないということも忘れてはなりません。今回はトレンドマイクロの報告からそれを考えてみましょう。

インターネットに接続されていないは通用しない　ERPという“最悪の人質”

　トレンドマイクロは2026年1月、「ERP（Enterprise Resource Planning）のサイバーリスク〜攻撃事例から学ぶリスク例と防御策とは」を公開しました。ERPとは企業の会計や人事など業務プロセスを回すための基盤であり、さまざまな情報を集約することで効率良くビジネスの見える化を実現する必須システムと言えるでしょう。

　ただ、このERPがサイバー攻撃者に狙われている、というのが上記記事の趣旨です。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の「既知の悪用された脆弱（ぜいじゃく）性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）には、「Oracle E-Business Suite」の「CVE-2025-61882」や「SAP NetWeaver Visual Composer」の「CVE-2025-31324」などが掲載されています。KEVとは、既に悪用が確認されている脆弱性がリストアップされるものであり、すぐに対処が必要なものであることが分かります。

　ERPには企業活動に必要な情報が集まっているため、ここが止まればビジネスそのものが停止します。つまり人質になりやすいシステムです。もし皆さんの組織で、会計システムが暗号化されれば大きな影響が生じるでしょう。期末に攻撃を受けてしまえば決算処理ができず、当局への報告もできなくなります。攻撃者はいかに「身代金を払わざるを得ない状況を作り出すか」を考えているため、ERPは格好の標的になっているわけです。

パッチを当てられなくても大丈夫？　ERPの脆弱（ぜいじゃく）性対応のリアル

　筆者は昔、とあるERPベンダーのサポートに従事していたことがあります。まだコンピュータウイルスがPCをターゲットとしていた時代であり、セキュリティを意識することはあまりなかった時代。主にはバグ対応へのパッチを提供していましたが、簡単にはパッチを適用できない、という日本企業を多く見てきました。求められるのは「今回のバグが治るだけのパッチを出せ。まとめたパッチは何が影響するか分からない」というもの。顧客の気持ちは分かりますが、なかなかそういった小さなパッチを切り出せないというのが本音でした。

　それがセキュリティパッチであったとしても、なかなか適用できないのが現実でしょう。それに加えて、特にERPについては「インターネットに接していないから攻撃されない」という、安心感があるのかもしれません。それなりに緊急度が高い脆弱性が出ていたとしても、組織に根深く関係するERPシステムのバージョンアップは難しく、結局は危険性を認識していながら「ウチは大丈夫」と思っている現場も多いでしょう。

　しかし緊急度が低かったとしても、内容によっては致命傷になり得ます。KEVに掲載され悪用が認められるほど攻撃者に注目されているということは、いくらインターネットから隔離されていたとしても、攻撃者が深く静かに社内に潜伏しているとしたならば、簡単にERPの使用痕跡を見つけられるはずだからです。

　攻撃者はシステムに脆弱性や弱いパスワードを持つアカウント情報をつかむなど、なんらかの方法で簡単に侵入してきます。その後、できる攻撃者なら、社内にどのようなシステムが存在するのかを把握するでしょう。

　たまたまできない攻撃者だったら安心でしょうか？　いや、その場合はできる攻撃者に情報を売るだけです。インターネットに接続されていないから安心していたとしたら、恐らく社内に入り込んでしまいさえすればもはやフリーパスで中を見学できるでしょう。そのとき著名なERPを使用していたなら、サーバ名や構成を基にKEVに乗るような脆弱性を活用し、中から攻撃を成立させ、データを暗号化したり、持ち出したりできるはずです。

　このとき問題となるのは脆弱性の性質です。外部からの直接攻撃ができないだけでスコアが低めに出ていたとしても、他の手法を組み合わせることで、内部から致命的な攻撃ができてしまうタイプの脆弱性も存在します。それを考えると、ERPベンダーが指示するように、メジャーバージョンアップによって既知の脆弱性を一気に無くすといった運用をしていなければ、攻撃者の格好のターゲットになり得るわけです。

　トレンドマイクロの記事でも、下記の点を対策として挙げています。特に「マイクロセグメントによるネットワーク分離」「特権アカウントの最小権限化」は、ERPに限らず対応が必要なポイントではないでしょうか。

• パッチ適用の優先順位付け
• 不要なコンポーネントや機能の洗い出し
• 特権アカウントの棚卸しと最小権限化
• インターネット露出の最小化
• ERP層・データベース層・バックアップ環境のネットワーク分離
• Webシェル／不審スクリプトの定期点検

運用とは「理想」と「現実」のギャップをなくすこと

　ERPシステムの運用やサポート側、利用者側、セキュリティ担当などさまざまな立場を経験した者として言えるのは、「セキュリティのためには常にパッチを適用すべき」という理想と、現場でそれを実現する難しさとの間で悩むしかないということです。結局のところ、理想論を可能な限り現実に近づけようと努力することが求められているのだと思います。それこそが「運用」なのでしょう。

　攻撃者が近づかない領域はもはやなく、特殊なプロトコルが使われる工場ですら攻撃の対象です。対象となってしまったエリアでは、地道にセキュリティレベルを向上させるしかありません。もちろん、多彩なソリューションがベンダーからも提供されていますが、上記のトレンドマイクロが提示した対策すらも、その一歩手前の、今すぐ着手しようとすれば可能なものでまとめられているのが印象的です。

　セキュリティ対策は組織やシステム、データの姿を知り、その範囲を可視化して、日々よりよくするとともに、穴が発生していないかどうかを確認する運用が求められます。そのために手作業でできる部分を把握し、追い付かないところにソリューションを適用する必要があるでしょう。これまであまりセキュリティを意識していなかったかもしれないERPも、今や戦場です。ぜひ、いま一度気を引きしめ、監視が行き届いていないところがないかどうかをチェックしてみてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。