OutSystems Cloudのセキュリティおよびプライバシー
目次
- データセンターのセキュリティおよびコンプライアンス
- OutSystems Cloudのアプリケーションセキュリティ
- セキュアなソフトウェア開発ライフサイクル
- SSL/TLS暗号化
- VPC(仮想プライベートクラウド)およびVPN
- 脆弱性管理
- プライバシーおよびデータ保護
OutSystemsは、セキュリティのベストプラクティスを適用してセキュリティを管理することで、お客様がビジネスに集中できるようにします。OutSystems Cloudは、お客様のアプリケーションとデータを分離し、かつ全レイヤーにセキュリティ制御を適用して、お客様を脅威から本質的に保護します。
OutSystemsでは、お客様自身のクラウドインフラ内での実施に限り、すべてのお客様によるOutSystems Cloudのセキュリティ監査とペネトレーションテストを認めています。
データセンターのセキュリティおよびコンプライアンス
OutSystems Cloudの物理インフラは、Amazon Web Servicesの安全な認定データセンターで運用されています。AWS(Amazon Web Services)データセンターに用意された何層ものオペレーション上のセキュリティと物理的セキュリティにより、データの整合性と安全性が保証されます。データセンターは24時間体制で有人対応しています。AWSシステムのセキュリティには以下のものが含まれます。
- 侵入検知デバイス
- DDoS(Distributed Denial-of-Services)軽減サービス
- 確実に業界基準に準拠するための定期的なリスク評価
詳細については、https://aws.amazon.com/security およびhttps://aws.amazon.com/compliance/をご覧ください。
OutSystems Cloudのアプリケーションセキュリティ
OutSystemsで構築されたアプリケーションには、アプリケーションのコード自体のセキュリティレベルが高いというメリットがあります。たとえば、プログラムの記述方法の脆弱性を狙う様々な一般的な脅威(SQLインジェクションなど)があります。OutSystemsの生成する標準コードは、ここうした脅威を明示的に阻止します。
さらにOutSystemsは、WebおよびモバイルWebアプリケーション向けに生成されたコードのセキュリティを体系的に検証します。OutSystemsの研究開発チームは、静的コード解析ツールを使用して、回帰テスト中にOutSystemsが生成したコードに対して高度な脆弱性スキャンを行います。また、重大なものから中程度のレベルのあらゆる脆弱性を排除するため、生成されたコードすべてのWebセキュリティに関してキー承諾基準を設けています。
これにより、OutSystemsで生成されたコードのセキュリティレベルを向上させることができます。パッチやアップグレードを適用するだけでお客様のアプリケーションの新たなセキュリティ課題を自動的に解決できるため、究極的にはメンテナンス費用の削減にもつながります。
セキュアなソフトウェア開発ライフサイクル
アプリケーションのライフサイクルとプロモーションをサポートするセキュリティモデルは、シンプルなソフトウェア開発インフラと複雑なソフトウェア開発インフラの両方に対応できるよう調整されています。管理者は、特定のアプリケーションを適切な環境にステージングする許可を与えるユーザーについて制限を設定できます。
ITチームの役割は、ロールで定義されます。ユーザーは、各環境でそれぞれのロールが何を許可されるかを指定できます。たとえば、開発者のロールではアプリケーションの本番環境への移行は許可されず、運用担当のロールでは許可されるように指定できます。
ロールには、アプリケーションごとに特定の権限を設定することができます。もしくは、複数のアプリケーションの担当としてチームを定義し、そのチームが管理するすべてのアプリケーションで有効なロール権限を割り当てることもできます。このモデルでは、ソフトウェア開発インフラのセキュリティ管理方法をマッピングできるため、複数のアプリケーションやユーザーチームの管理を簡素化できます。
SSL/TLS暗号化
OutSystemsアプリケーションのセキュリティとユーザーの信頼を高めるために、すべてのアプリケーションにデフォルトでSSL/TLS証明書が設定されています。これらの証明書により、機密データを送信するアプリケーションに欠かせない、ブラウザとアプリケーション間のエンドツーエンド暗号化が実現します。
ユーザーの信頼とブランド認知をさらに高めるために、任意のドメイン名を定義して、自社のSSL証明書をOutSystems管理コンソールにアップロードすることもできます。
VPC(仮想プライベートクラウド)およびVPN
OutSystems Cloudは、各お客様/テナントの環境を他のテナントと完全に分離するため、企業のお客様それぞれに専用の仮想プライベートクラウドを用意しています。各テナントには専用の仮想マシンと専用データベースインスタンスが存在します。これらはいずれも、専用の仮想プライベートクラウド上で実行しています。
仮想プライベートクラウドは、ITインフラとOutSystems Cloud環境をつなぐセキュアでシームレスなブリッジも提供します。この技術を使用することで、クラウド環境はVPNトンネルを通じてオンプレミスシステムと通信できます。逆方向の通信も可能です。これにより、コアシステムデータを安全な方法で連携させ公開することができます。
さらに、OutSystemsプラットフォームの特定のエディションでは、ルーティングを定義し、セキュリティポリシーをアップデートすると、VPN経由でクラウドにアクセスできます。OutSystems Cloudは、セキュリティを犠牲にしたり管理手法を変えたりすることなく、企業のデータセンターを拡張できます。
VPN接続は、業界標準のIPsecトンネルモード(IKEPSK、AES-128、HMAC-SHA-1、PFS)を使用してVPN接続の両端を認証し、送信中のデータを傍受や改ざんから保護します。IPsec は、トラフィックストリームに最低限のオーバーヘッドを追加します。
追加のVPNをサブスクライブすると、複数の地理的な場所を接続したり、フェイルオーバーが可能な冗長VPN接続を作成したりすることが可能です。
脆弱性管理
OutSystemsは、信頼できる業界ソースに掲載されるセキュリティ脆弱性の情報を積極的に監視し、標準的なリスク評価方法を使用して適切な対応を計画します。
さらに、OSとアプリケーションサーバーに定期的にパッチを適用しています。
プライバシーおよびデータ保護
OutSystemsは、OutSystems Cloudで運用されているアプリケーションが保存しているデータの機密性を保護するため、業界標準の手順を採用しています。たとえば、OutSystems社員との連絡は、クラウドサービスの提供に最低限必要な場合のみに制限されます。
各お客様/テナント向けにVPCを用意することで、テナントをまたいだアクセスを防ぎ、お客様のデータのプライバシーとセキュリティを保証します。
複数のバックグラウンド確認とHRプロシージャに加え、保存データを暗号化することにより、データセンターの従業員の違法行為を防止することが可能です。
本番データは自動的にバックアップされ、過去15日間以内であればどの時点にでも復元できるため、データ破損が発生した場合でも問題なく復帰できます。
OutSystemsセキュリティモデルでは、すべてのアプリケーションで同じOutSystems Cloudインフラを共有している場合であっても、各アプリケーションの本番データに対するユーザーや開発者のアクセスを制限できます。