セキュリティ

成功は信頼の上に築かれます

セキュリティは義務であり、心の持ち方であり、企業文化であって、チェックボックスではありません。それが貴社に関わる人たちについての情報であればなおさらです。

Sabaは、成功は信頼の上に築かれることを理解しています。そのため当社のアプローチは、セキュリティ・バイ・デザインの基本理念に基づいています。当社は業界におけるベストプラクティスのセキュリティとコンプライアンスサービスを提供できるように全力で取り組んでいます。そのため当社のセキュリティプログラムが持つ強みを持続的に検証するとともに、データ保護とプライバシーの最も厳格な要件を満たす、堅牢でスケーラブルかつ安全なプラットフォームを提供しています。

お問い合わせ

包括的なセキュリティとコンプライアンス

Sabaは、最高のコンプライアンスおよびアップタイム基準を備えた、クラス最高のマルチテナント、マルチデータベースアーキテクチャを維持。最も厳しいグローバルなデータ保護要件に対応しています。

Sabaセキュリティプログラムは、業界で認められた実践への適合と、それを上回ることに焦点を合わせた、マルチビジネスのレビュープロセスを導入します。 システム開発ライフサイクル全体へのセキュリティの組み込みに加え、Sabaはグローバルなプライバシー要件を遵守。適切なコントロールを提供し、顧客プライバシー要件に従って個人情報(PII)の安全なデータ処理、保持と削除、移動に取り組みます。

業界基準と規制の遵守

As new security frameworks, standards and regulatory requirements are developed and gain traction in the cloud industry, Saba reviews them and adopts the ones that are relevant to our customers and help improve our security program and reduce our security risk. Depending on the focus of a particular service offering, Saba and/or its service partners may comply with, or help customers to comply with, some or all of the following certifications, standards and best practices:

ISO/IEC 27001:2013

SOC 1 Type 2

SOC 2 Type 2

ISAE 3402 Type 2

EU-US Privacy Shield

CSA Star

FDA 21 CFR Part 11

PCI DSS

OWASP Top 10

TRUSTe Cloud Privacy

TRUSTe APEC

ISO/IEC 27001:2013

SOC 1 Type 2

SOC 2 Type 2

ISAE 3402 Type 2

EU-US Privacy Shield

CSA Star

FDA 21 CFR Part 11

PCI DSS

OWASP Top 10

TRUSTe Cloud Privacy

TRUSTe APEC

ISO/IEC 27001:2013

SOC 1 Type 2

SOC 2 Type 2

ISAE 3402 Type 2

EU-US Privacy Shield

CSA Star

FDA 21 CFR Part 11

PCI DSS

OWASP Top 10

TRUSTe Cloud Privacy

TRUSTe APEC

バリデーション実施済み環境マネージドサービス(VEMS)

製薬会社、医療機器メーカー、バイオテクノロジー関連企業、生物製剤開発業者、ライフサイエンス企業、食品メーカーなど、厳しい規制を受ける業界で営業している企業は、営業している国の規制機関によって示された厳格なコンプライアンス要件に従う必要があります。

Sabaは米国FDA 21 CFR Part 11の準拠に対する業界固有の機能性とバリデーション保証を提供。独自のバリデーションとドキュメンテーションを行う必要のある顧客のサポートに尽力します。当社は独立した第三者監査人が行う業界全体監査と認証を通じて、プラットフォームのセキュリティを検証します。こうした監査により、設計と運用の有効性の両方でSabaのセキュリティコントロールの独立した評価が可能になります。

独立した保証に対する約束

当然ながら当社の顧客が期待するのは、Sabaで採用する手法がセキュリティ基準およびコントロールに対応し、効果的に機能し、必要な場合にさまざまな産業の特定の要件をサポートするという、独立した第三者による検証です。顧客がコンプライアンスとセキュリティの要件を満たせるように、当社は持続的にリソースへの投資を実施。当社のセキュリティコントロールと全体的なセキュリティ有効性に対する独立した評価・査定を顧客が入手できるようにしています。第三者評価は、AICPA SOC 2 Type 2監査レポート、ウェブアプリケーション脆弱性レポート、ネットワークおよびホスト脆弱性スキャン結果を含めて、請求に応じて提供可能です。

専門のセキュリティおよびコンプライアンス組織

当社の専門のSabaセキュリティチームは、業界のリーダーとセキュリティベストプラクティスの認定エキスパートによって構成されています。彼らが身に付けているリスクマネジメントの思考は、変化を続ける脅威の現状、新たなデータ保護、コンプライアンス、データプライバシー要件に基づいています。Sabaのセキュリティ組織は職務分離を実践し、独立して上級経営陣に直属。IT、クラウド運用、製品開発の各チームとともに働いて、当社の製品とサービスが顧客の視点からセキュリティを備えた設計となっているように取り計らうと同時に、Sabaのクラウド運用活動を持続的に監視します。専門のセキュリティとプライバシーに関するノウハウと協調的アプローチにより、貴社と提携して貴社の事業のために信頼性の高い環境を確保します。

クロスボーダー

データのロケーションをコントロールすることは、データプライバシーとコンプライアンスの極めて重要な要素です。Sabaは北米、ヨーロッパ・中東・アフリカ、アジア太平洋にデータセンターを展開しています。北米とヨーロッパのデータセンターはSSAE–16/AT101 Type 2またはSOC 2 Type 2、あるいは両方の監査を受け、ISO 27001認証を取得。他にも多くの規制要件に対応可能です。プライバシー規制を確実に満たすために、顧客データは各地域のプライマリおよびセカンダリデータセンター内だけにホストされています。

当社データセンターへの物理的および論理的アクセスは厳しくコントロールされ、事前に認められた職員と多層アイデンティティ管理システムのみにアクセスを制限。ここにはカードキーと生体認証システムが含まれ、さらに必須の事前承認済み顧客リストとサインイン/サインアウト手続きが徹底されています。サービスの可用性と品質に対するサービスレベルは厳格に定められ、広範なアプリケーションによる持続的な監視を実施。サービスの可用性、パフォーマンス、品質についてレポートが行われます。すべてのデータセンター施設には冗長な環境保護機能を搭載。ここには冷却、電力、物理的セキュリティ、ネットワークの接続性、自然災害に対する配慮が含まれます。

セキュリティ・バイ・デザイン

多層防御セキュリティモデルによって設計されたSabaでは、インフラとサービスの設計と運用におけるセキュリティコントロールの導入に対して細心の注意が払われています。 Sabaにおけるゴールはセキュリティ・バイ・デザイン。可能な限り最も効率的な方法で、世界中の顧客に強固なセキュリティを確実に提供します。 

機能

Sabaセキュリティ評議会

セキュリティ評議会は合意に基づくフォーラムを提供し、最高情報セキュリティ責任者をサポートして次の点に協調して取り組みます。

  1. 優先度の高いセキュリティおよびプライバシーイニシアティブを特定します。
  2. ポリシー、手続き、基準に対する助言を策定。こうしたイニシアティブが、Sabaとその顧客ネットワーク、情報、情報システムに提供されるセキュリティ体制と保護を実際に強化したことを確認します。
  3. 既存規制と顧客要件への準拠を評価します。

システムおよびデータアクセス制御

Sabaのセキュリティモデルは、定められた職務分離(SoD)、運用の職務と責任(RACI)、「知る必要」の原則に従い、システムとデータ両方へのアクセスを制限します。 当社システムへの論理アクセスはセキュリティポリシーと手続き、固有のユーザ名/パスワードによる2要素認証、制限的なローカルホストのパーミッションによって制限されています。 システム管理アカウント(ルートなど)への直接アクセスは禁止されています。 データ分類基準では、Sabaが認めたシステムを使用した場合のみ顧客データにアクセス可能であることが求められています。

ネットワークセキュリティ

ネットワークセキュリティは、多層化されたファイアウォールの利用、高度なネットワーク設計とネットワークセグメンテーションによって実現します。高可用性のファイアウォールは、ウェブ、アプリケーション、データ層間のトラフィックをフィルターにかけるために使用されます。ファイアウォールはディープ・パケット・ステートフル・インスペクション、異常パケットのドロップ、サービス拒否攻撃からの保護、スプーフィングの監視、アンチウイルスフィルタリングに対応します。SabaネットワークはvLANとサブネットセグメンテーション、ポート制限、アクセス制御リスト、アドレスおよびポート変換をサポートするように設計されています。すべての物理データ接続は高可用性のメッシュトポロジーで設定され、各システムとサービスは2つ以上のコミュニケーション経路を持っています。Sabaのネットワークコミュニケーションメッシュにより、ネットワーク全体でデータの完全性と中断のないフローが保証されます。Sabaのファイアウォールはアメリカ国立標準技術研究所(NIST)の基準に一致する設計で、すべてのエンドポイントへの接続が当社の「最小限の権限」ポリシーをますます効果的なものにします。すべてのセキュリティデバイスとファイアウォールは年中無休の24時間体制で監視されています。モニターは所定の閾値を超えると警告を発するように定義されています。

グローバルなデータセンター

北米とヨーロッパ・中東・アフリカのデータセンターはSSAE–16/AT101 Type 2またはSOC 2 Type 2、あるいは両方の監査を受け、ISO 27001の認証を取得しています。厳しい規制要件を満たすために、追加機能が用意されています。

環境保全

すべてのデータセンターは冗長で高密度の電気系統を持ち、自動化された監視装置付きの設備制御を備えます。すべてのデータセンターの発電装置は定期的にテストされ、複数の燃料供給装置を備えているため、災害発生時にも途切れることなく確実に稼働します。

物理的セキュリティ

当社のデータセンターへの物理的アクセスは厳重にコントロールされ、事前に認められた職員と多層アイデンティティ管理システムのみにアクセスを制限。施設自体や内部の保管室、ケージエリアへの個人のアクセスは、カードキーと生体認証システムによって管理され、必須の事前承認済み顧客リストとサインイン/サインアウト手続きが徹底されています。すべてのサーバーとインフラは鍵のかかったラック内で保護されています。サーバーにアクセスできるのは認められた職員のみです。

多層の物理的セキュリティシステムでは管理者の事前承認も必要とされ、認められた個人は政府発行の写真付き身分証明書を有人のセキュリティデスクに提出する必要があります。さらに、データセンターのサーバールームフロアと、安全が確保されたSabaの専用ケージにアクセスするには、管理されたマントラップと2要素認証(生体認証を含む)を通過する必要があります。

ペネトレーションテスト

Sabaは別の第三者セキュリティコンサルタントと協働し、メジャーリリースごとにアプリケーションのグレーボックスセキュリティ評価を実施しています。ここにはSabaのウェブとモバイルのアプリケーション両方のテストと、ネットワークに対するペネトレーションテストが含まれます。

ウェブアプリケーションスキャニング

システム開発ライフサイクルの一環として、またアプリケーションを評価するために、Sabaは業界をリードする動的スキャニングソリューションと静的コード解析を活用。OWASPを含む既知のセキュリティ脆弱性に対する評価を行っています。サンプルテストには以下の内容が含まれますが、これに限定されません。

  • 認証
  • 承認
  • 構成
  • Cookieの不正操作
  • クロスサイトスクリプティング
  • 非表示フィールドの不正操作
  • インプット/アウトプット検証
  • 論理脆弱性チェック
  • パラメータの改ざん
  • 権限昇格
  • 極秘データ処理
  • セッション管理

専門的な資格

当社の専門家チームは、関連分野の知識と手腕を証明する専門的な資格を維持しています。こうした資格には、Certified Systems Engineers(認定システムエンジニア)、Cisco Certified Network Associates(CCNA、Cisco認定ネットワークアソシエイト)、Certified Information Systems Security Professionals(CISSP、公認情報システムセキュリティ専門家)、Certified Information System Auditors(CISA、公認情報システム監査人)、Certified Information Security Managers(CISM、公認情報セキュリティマネージャー)、GIAC Web Application Penetration Testers(GWAPT、GIACウェブアプリケーションペネトレーションテスター)、Certified Information Privacy Professional(CIPP、公認情報プライバシープロフェッショナル)が含まれます。さらに当社の技術者はさまざまなインフラとオペレーティングシステムソフトウェア製品について認定またはトレーニング、あるいはその両方を受けています。

バリデーション実施済み環境マネージドサービス(VEMS)

製薬会社、医療機器メーカー、バイオテクノロジー関連企業、生物製剤開発業者、ライフサイエンス企業、食品メーカーなど、厳しい規制を受ける業界で営業している企業は、営業している国の規制機関によって示された厳格なコンプライアンス要件に従う必要があります。Sabaは米国FDA Title 21 CFR Part 11などのコンプライアンス要件に対応しています。ここには電子記録と関連電子署名をバリデーション実施済みのコンピュータ化されたシステム内に保存する方法が含まれます。

Sabaは当社が求めていたソリューションです。その大きな理由は、これが安全なプラットフォームだということです。

— Gavin Hoover、トレーニング担当バイスプレジデント、Go Wireless

オンデマンド・デモ

See Saba's solutions in action, no commitment required.

動画を見る

是非、弊社ソリューションをご覧ください

お問い合わせ