Strategy ONE

Strategy セキュリティ保証プログラム

このページのみのPDF版を表示するには、ここをクリックしてください。

Strategy は、Cloud Managed Serviceオファリングまたはオンプレミスのいずれでデプロイされても、お客様のデータを保護することに重点を置いた包括的なセキュリティプログラムを持っています。エンジニアリングから脆弱性の修復まで、当社の製品がお客様のビジネスおよびセキュリティニーズを継続的に満たすことを保証することに取り組んでいます。

認証

  • Managed Cloud Enterprise のISO 27001認証
  • Managed Cloud Enterprise のSOC2 Type II監査
  • Privacy Shield準拠
  • PCI DSS準拠クラウドプラットフォーム
  • Strategy フルマネージドHIPAA準拠クラウドソリューション
  • 企業財務システムSOX準拠
  • 製品原産国:米国

個人セキュリティ

  • すべての従業員に対するバックグラウンドチェックの実施
  • 教育資格の検証
  • 財務/信用履歴のチェック
  • 犯罪歴のチェック

従業員向けセキュリティトレーニングおよび認証

  • セキュリティ原則
  • 脅威のモデリング
  • Webセキュリティおよび侵入テスト
  • モバイルセキュリティ

セキュリティ設計プロセス

  • STRIDEおよびその他の内部開発モデルに基づく脅威のモデリング
  • セキュリティ原則の適用(例:「多層防御」)
  • OWASP 10脆弱性の考慮
  • 専任のセキュリティエンジニアリングチームによる設計レビュー

組み込みセキュリティ機能

  • ユーザー認証
    • OIDC
    • SAML
    • SSO
    • LDAP/AD
    • 標準(ユーザー名/パスワード)
    • Kerberos
  • 転送中のデータのHTTPS/TLS保護
  • 保存データのAES 256ビット暗号化
  • ロールベースのアクセス制御
  • 行レベルセキュリティ
  • CSRF、クリックジャッキング、およびHTML出力エンコーディング(XSS防止用)

セキュアな開発

  • 使用されるすべての言語のセキュアコーディング標準
  • 複数レベルのコードレビュー
  • ソースコードの静的解析
  • Veracodeバイナリスキャナーを使用したコンパイル済みコードのバイナリスキャン
  • 手動侵入テスト

サードパーティコンポーネント管理

サードパーティコンポーネントの使用は厳重に管理されています。製品への新しいコンポーネントの導入には正式なプロセスが適用されます。製品に組み込まれたサードパーティコンポーネントの独立した確認は、Synopsys Black Duckツールを介して実施されます。セキュリティ脆弱性を持つコンポーネントは、積極的にアップグレードまたは置換のスケジュールが立てられます。

内部セキュリティテスト

開発サイクル全体を通じて、Strategy は、新規または変更された機能のセキュリティを検証し、既存の製品スイートのセキュリティを新しい脅威に対して再検証するために、内部侵入テストを実施します。このようなテストには、OWASP-10で特定されたリスクおよびその他の既知の脆弱性が含まれます。製品設計中に開発された脅威モデルは、このテストに追加のガイダンスを提供します。

独立侵入テスト

複数のセキュリティ企業と契約して、年次の侵入テストを実施しています。テストは包括的な範囲であり、ブラックボックステスト技術とホワイトボックステストの両方を使用し、製品ソースコードへの完全なアクセスを含みます。このテスト中に特定された問題は、リスク優先順位に基づいて製品での解決がすぐにスケジュールされます。その後、セキュリティ企業による再テストが実施され、問題が正常に解決されたことを検証します。

セキュアリリース

開発用に一元化されたコードリポジトリ(GitHub Enterprise)が維持されています。リポジトリチェックインは、エリア固有のコードレビュー手順を経ます。ビルドプロセスはDevOpsチームによって管理されます。製品を開発するすべてのマシンは、最新の署名で更新されたエンタープライズグレードのウイルススキャナーを使用しています。

セキュリティパッチとアップグレード

セキュリティはStrategyで最も重要です。脆弱性は最優先事項として扱われ、次のリリースで修正されます。したがって、ソフトウェアを最新の状態に保つことは、Strategy製品のセキュリティを維持するために取ることができる最も簡単ですが、最も重要なセキュリティ予防策の1つです。通常の更新サイクル外で重大なセキュリティ問題が発生した場合、Strategyは暫定パッチまたは回避策を発行する場合がありますが、デプロイメントをできるだけ安全に保つためには、アップグレードが引き続き必要になります。

セキュリティ問題の報告

現在のStrategyのお客様は、Strategy Technical Supportを通じて潜在的なセキュリティ問題およびクエリを報告できます。研究者は、当社の報告ページを介して問題を送信できます。

詳細については、担当のアカウント担当者にお問い合わせください。