MicroStrategy ONE

MicroStrategy セキュリティ保証プログラム

このページのみのPDF版を表示するには、ここ

MicroStrategy には、当社の製品がクラウド マネージド サービスで提供されているか、オンプレミスで提供されているかに関わらず、お客様のデータを守るための包括的なセキュリティ プログラムがあります。エンジニアリングから脆弱性の修正に至るまで、製品が継続的にお客様のビジネスおよびセキュリティのニーズに応えられるよう力を尽くしています。

認定

  • ISO 27001 認定取得済みの MicroStrategy Cloud Environment
  • SOC2 Type II 監査完了済みの MicroStrategy Cloud Environment
  • Privacy Shield 準拠
  • PCI DSS 準拠の Cloud Platform
  • MicroStrategy フルマネージド HIPAA 準拠クラウド ソリューション
  • SOX 準拠の企業会計システム
  • 製品の原産国: アメリカ

個人のセキュリティ

  • 全従業員に対して身元調査を実施済み
  • 学歴を検証済み
  • 金融 / クレジットの利用履歴をチェック済み
  • 犯罪歴のチェック済み

従業員に対するセキュリティトレーニングおよび認定

  • セキュリティ原則
  • 脅威モデリング
  • Web のセキュリティおよび侵入試験
  • モバイルのセキュリティ

セキュリティ設計プロセス

  • STRIDE やその他の内部開発モデルをベースにした脅威モデリング
  • セキュリティ原則(「多層防御」など)の適用
  • OWASP 10 の脆弱性の考慮
  • 専任のセキュリティ エンジニアリング チームによる設計レビュー

組み込みのセキュリティ機能

  • ユーザー認証
    • 国際データセンター
    • サムエル
    • シングルサインオン
    • LDAP/AD
    • 標準(ユーザー名/パスワード)
    • ケルベロス
  • 転送中のデータの HTTPS/TLS 保護
  • 保存データの AES 256 ビット暗号化
  • ロール ベースのアクセス制御
  • 行レベル セキュリティ
  • CSRF、クリックジャッキング、HTML 出力エンコーディング(XSS 防止用)

セキュアな開発

  • 全言語についてセキュアなコーディング標準
  • マルチレベルのコード レビュー
  • ソースコード統計分析
  • Veracode バイナリ スキャナーを使用したコンパイル済みコードのバイナリ スキャン
  • 手動侵入試験

サードパーティ コンポーネントの管理

サードパーティ コンポーネントの使用は綿密に管理されます。新しいコンポーネントを製品に導入する際には正規のプロセスに則る必要があります。製品に組み込まれるサードパーティ コンポーネントの個別の検証は、Synopsys の Black Duck ツールで実施されます。セキュリティ脆弱性のあるコンポーネントは、アップグレードまたは置換が積極的に計画されます。

内部セキュリティ試験

MicroStrategy は、開発サイクル全体を通して内部侵入試験を実施し、新機能または変更された機能のセキュリティを検証し、既存の製品スイートの新しい脅威に対するセキュリティを再検証します。このような試験には、OWASP-10 で特定されたリスクやその他の脆弱性が含まれます。製品設計中に開発された脅威モデルが、この試験に追加的な指針を与えます。

独立侵入試験

当社では、複数のセキュリティ企業と契約し、年に 1 回の侵入試験を行っています。試験の範囲は包括的で、ブラックボックス試験テクニックと、製品のソースコードへの完全なアクセスを含むホワイトボックス試験の両方を利用します。この試験で見つかった問題は、リスクを優先して即座に製品上で解決が計画されます。その後、セキュリティ企業により再試験が実施され、問題が解決されたことが確認されます。

セキュアなリリース

開発用に一元化されたコード リポジトリ(GitHub Enterprise)が維持されています。リポジトリにチェックインする際には、エリア固有のコード レビュー手順が行われます。ビルド プロセスは、DevOps チームによって管理されています。製品の開発に使用されるすべてのマシンは、最新のシグネチャにアップデートされたエンタープライズ グレードのウイルス スキャンが搭載されています。

セキュリティ パッチおよびアップグレード

MicroStrategy はセキュリティを何よりも大切にしています。脆弱性は最優先事項として扱われ、次のリリースで修正されます。そのため、ソフトウェアを常に最新に保つことが、MicroStrategy 製品のセキュリティを維持するためにお客様が取ることができる簡単かつ最も重要なセキュリティ対策になります。定期アップデート サイクル外でクリティカルなセキュリティ問題が発生した場合、MicroStrategy は暫定的なパッチや回避策を出すことがあります。その場合でも、お客様のデプロイメントをできる限り安全に保つため、アップグレードは必須です。

セキュリティ問題のレポート

現行の MicroStrategy のお客様は潜在的な問題やクエリを MicroStrategy テクニカル サポートにレポートすることができます。研究者は、報告ページ

詳しくは、担当営業にお問い合わせください。