Saba Cloudのセキュリティー

 

Sabaは、一般的なクラウドサービスの標準的なセキュリティー以上の高水準なセキュリティープログラムを実施しています。このプログラムには複数の監査プロセスや、システム開発のライフサイクル全体におけるセキュリティ施策等が含まれています。これらの取り組みにより、お客様が求める個人情報の安全な管理、登録・削除、移動等に対する高いセキュリティー要件に対応しています。

 

 

Saba セ キ ュ リ テ ィ ー カ ウ ン シ ル

 

セキュリティーカウンシルは、情報サービス部門の役員と、セキュリティー部門のトップによる、コンセンサスベースの会議体です。

 

  1. 優先度の高いセキュリティおよび個人情報の管理に関する課題を特定します。
  2. Saba、お客様、各種情報およびそれを管理するシステムに関するセキュリティ保護のための取り組みの方針、手順および基準を開発します。
  3. 既存 の 業界 規 制 や お 客 様 の 必要 と す る 各種 要件 (Safe Harbor、FISMA-Moderate、その他業界・地域固有の要件)に対する適合性を評価します。

 

シ ス テ ム と デ ー タ へ の ア ク セ ス 管理

 

Sabaのセキュリティーモデルにおいては、システムおよびシステムに保存されているデータへのアクセスは、業務分掌、システム運用における役割と責任、および必要性に応じて制限されています。Saba Cloudへの物理的なアクセスはセキュリティー保護方針とセキュリティー保護手順、すなわち、二重のユーザ認証と限定的なシステムアクセス権限管理により制限されています。またシステム管理アカウント(例:Rootアカウント)への直接のアクセスは禁止されており、定義済みのエイリアスアカウントでのみアクセスできるよう構築されております。さらに、お客様のデータに対するアクセスは、Sabaが承認したシステム・端末のみから可能な仕組みを実現しております。

 

ネ ッ ト ワ ー ク セ キ ュ リ テ ィ

 

Sabaのネットワークセキュリティは、複数層から構成されたファイアーウォール、高度なネットワークデザインとネットワークセグメント化により構築されています。高い可用性を備えたファイアーウォールにより、WEB、アプリケーション、データの各層の間のトラフィックはフィルタリングされています。ファイアーウォールは、ディープパケットインスペクション、SabaのファイアーウォールはNational Institute of Standards and Technology (NIST)による標準に対応して構築されております。全てのセキュリティー関連機器とファイアーウォールは24時間監視されており、万が一、設定された閾値を超えた値が検出された場合にはただちに警報が発せられる仕組みとなっております。 

デ ー タ セ ン タ ー

 

Saba Type II の 監 査 を 実 施 し て お り, お よ び Safe Harbor FISMA-Moderate ISO ま た は

 

災害 対 応

 

全てのデータセンターは、冗長で自動で設備制御を監視する高密度電力システムを備えています。すべてのデータセンターにある発電機は定期的に試験を行い、複数の電力供給会社から災害時にも運転が継続されるようサポートされております。

 

物理 的 セ キ ュ リ テ ィ

 

データセンターへの物理的なアクセスは、階層化されたID管理システム等により厳しく制御されており、あらかじめ権限が付与されている従業員のみがアクセスできます。建物内部やケージで囲まれたエリアへの立ち入りは、事前登録が必要なカードキーと生体認証システムで管理されています。すべてのサーバーと機器は施錠されたラックで管理されており、権限を付与されている担当者のみがサーバーにアクセスできます。

 

侵入 テ ス ト

 

第三者による主たるサービスと関連システムに対するブラックボックス評価を行っています。このアセスメントはSabaウェブアプリケーションのソフトウェア品質保証(SQA)のためのスキャンとネットワーク侵入テストが含まれます。

 

ウ ェ ブ ア プ リ ケ ー シ ョ ン ス キ ャ ン

 

Sabaでは、製品開発ライフサイクルの一部として、Qualys社のウェブアプリケーションスキャン(WAS)を行い、またVeracodeを用いた動的・静的なコード分析による検証を行っております。

 

Qualys お よ び Veracode を 用 い て 行 う 検 証 項目 の 例:

 

  • ク ロ ス サ イ ト ス ク リ プ テ ィ ン グ
  • SQL イ ン ジ ェ ク シ ョ ン
  • セ ッ シ ョ ン 管理
  • OS コ マ ン ド イ ン ジ ェ ク シ ョ ン
  • デ ィ レ ク ト リ ト ラ バ ー サ ル

 

有 資格 者 に よ る 管理 体制

 

Saba 製品 開 発 · の シ ス テ ム 運用 は Cisco Certified Network Associate (CCNAs) や Certified Information Systems Security Professionals(CISSPs)の有資格者、および各種インフラやOS等の製品に関する有資格者または十分な教育を受けたシステムエンジニアのチームにより行われております。

 

結論

 

Saba 弊 社 で はCloudをはじめとした各種製品・サービスに関するインフラとシステム設計、運用についてセキュリティー管理には細心の注意を払っております。弊社では情報セキュリティーを最重要項目としてとらえており、それゆえお客様に対して最も効果的で安全なサービスをご提供することを目指しております。Sabaは複数の第三者検査機関によるセキュリティー対策や監査を継続的に実施しております。弊社のセキュリティープログラムの詳細については、営業担当または下記よりお問い合わせください。

info-jp@saba.com