OutSystemsのセキュリティの概要
デジタルトランスフォーメーションの進展やサイバー攻撃の脅威の高まりを受け、OutSystemsは組織のセキュリティを最重要事項として位置付けています。OutSystemsの高性能ローコード開発プラットフォームだけでなく、組織全体、さらにはユーザーによって開発されたアプリケーション群を保護することの重要性を認識しています。OutSystemsのセキュリティへの取り組みは、OutSystemsのオペレーションの完全性をエンドツーエンドで確保することにとどまらず、機密性の高いユーザーデータの保護にまで及びます。OutSystemsプラットフォームを使用すると、セキュリティに関する高度な技術的専門知識がなくても、OutSystemsのテクノロジーやクラウドベースのサービスを活用してセキュアなアプリケーションを開発できます。
こうしたセキュリティに対するOutSystemsの厳格な姿勢は、ローコード開発プラットフォームのあらゆる側面に表れています。エンドツーエンドの優れたセキュリティを実現することでデジタルポートフォリオを保護し、組織が安心してデジタルランドスケープで発展していけるよう支えているのです。OutSystemsのセキュリティポスチャでの重要ポイントを以下に示します。
目次
セキュリティ認証
クラウドコンピューティングのセキュリティを確固たるものにするため、OutSystemsはクラウドセキュリティアライアンス(CSA)に加盟しています。また、Center for Internet Security(CIS)のSecureSuiteのメンバーであるため、その評価ツール、コンプライアンスベンチマーク、レポート機能にアクセスし、最新のセキュリティ保護をプラットフォームに組み込むことができています。また、内部テクノロジーやユーザーのクラウドベースシステムのコンプライアンスを監視し、積極的かつ柔軟なサイバーセキュリティアプローチを実施できています。
OutSystemsの社内プロセスとローコード開発プラットフォームは、いずれも幅広い業界標準の認証を受けています。以下はその一例です。
- GDPR
- HIPAA
- ISO 22301
- ISO 27001
- ISO 28001 SoA
- ISO 27017
- ISO 27018
- ISO 9001
- PCI DSS
- SOC 2
- TISAX
OutSystemsの認証、ガバナンス、コンプライアンスの詳細
インシデント対応
OutSystemsプラットフォームを厳格に保護するため、OutSystemsはセキュリティ部門を設置し、ネットワークや共有インフラを脅かす脅威の監視、分析、対応にあたらせています。この部門は、包括的な調査、プロアクティブな脅威評価、インシデントトレンド分析を実施して、インシデントを防止し、OutSystemsプラットフォーム、システム、データの完全性を維持しています。
OutSystemsの脅威インテリジェンスとインシデント対応アプローチの詳細
アプリケーションのセキュリティ
OutSystemsはセキュアなアプリケーション開発の重要性をよく理解しています。そのため、最新のセキュリティ機能や修正を含むプロアクティブなプラットフォームアップグレードを、すべてのユーザーアプリケーション向けに提供しています。また、データ暗号化やID管理連携などのセキュリティ関連タスクを簡素化できる多様なビルド済みコンポーネントを用意しています。さらに、多くのセキュリティ対策を実施し、OWASPで特定された上位のセキュリティ脅威に対する保護を実現しています。
- ロールベースのアクセス制御によって、アプリケーションの変更やデプロイを適切なチームメンバーが行えるようにします。
- SQLインジェクションやJavaScriptインジェクションといった一般的な脅威に対する保護を備えたコードを生成します。
- 回帰テスト中に高度な脆弱性スキャンを行い、OutSystemsが生成するコードのセキュリティを継続的に検証します。
- コードインジェクション、クロスサイトスクリプティング、未検証のリダイレクト、データ分離違反などのリスクを検出し、IDE(OutSystemsのビジュアルIDE)の警告によって危険なアプリケーションパターンを開発者に知らせます。
セキュアなモバイルアプリケーション開発
OutSystemsのプラットフォームは、モバイルアプリケーションが最新の厳格なモバイルセキュリティガイドラインを遵守できるようにするための専用のメカニズムとベストプラクティスを提供しています。OutSystemsでは最新のサイバー攻撃の脅威への対応にAppShieldを使用しています。AppShieldはAndroidおよびiOSのネイティブアプリの保護を強化する専用機能です。デプロイ時にセキュリティのレイヤーを追加し、侵入、改ざん、リバースエンジニアリングの影響を受けにくくします。AppShieldを使用すると、デバイスのセキュリティ侵害、リパッケージアプリ、コードインジェクション、デバイスの紛失や盗難による不正アクセスからもOutSystemsユーザーを保護することができます。AppShieldはシンプルなアドオンであるため、コーディング知識がなくても簡単に実装できます。
OutSystemsによるセキュアなモバイルアプリケーション開発の詳細
アクセス制御
OutSystemsのIDサービスはシームレスな認証と認可により、保護された画面、データ、ロジックフローへのロールベースでのアクセスを提供します。管理者は権限を自由に制御して、開発者、DevOpsエンジニア、アーキテクトがそれぞれの役割を果たすうえで必要なツールのみにアクセスできるようにすることができます。OutSystemsの正式な論理アクセス手順では、リクエスト、承認、プロビジョニングの各プロセスにおいて固有のユーザーIDを割り当て、権限のある従業員によるアクセスを保証しています。OutSystemsはシームレスなログインエクスペリエンスを各アプリで提供するため、シングルサインオン(SSO)や外部認証方式をサポートしています。
OutSystemsプラットフォームにおける簡単なアクセス制御の実装の詳細
データ保護
ユーザーのデータを保護し、損失、不正アクセス、悪用、開示、改変、破壊を防ぐことは、OutSystemsの最優先事項です。OutSystemsは様々なセキュリティ対策を採用することで、ユーザーが任意の地域を選択し、データ所在地の規制遵守に対応できるようにしています。
OutSystemsにおいてユーザーのデータにアクセスできるのはOutSystems Supportチームのみです。使用できるのは、必要不可欠なサービスのプロビジョニング時に限られています。また、データ損失の可能性を最小限にするため、OutSystemsは本番データベースを自動的にバックアップし、災害発生時にデータベースを保存期間内の任意の時点に復元できるようにしています。OutSystemsプラットフォームは、アクセスを適切に制御できるように配慮したうえでデータを分類します。また、厳格な暗号化のプラクティスにも従っています。
OutSystemsプラットフォームのデータ保護の仕組みの詳細
ネットワークセキュリティ
OutSystemsは堅牢な侵入検知テクノロジーによってアプリケーションやデータを保護します。サイバー攻撃に対する保護を追加するため、OutSystemsではAWS Shieldやコンテンツ配信ネットワーク(CDN)などの最新テクノロジーを駆使しています。また、最大限のデータプライバシーとセキュリティを確保できるよう、ユーザーのインフラを完全に分離し、セキュアなクラウド環境で処理を行っています。オンプレミスインフラをOutSystems Cloudと連携させ、データフローの効率化と保護を図ることもできます。
デプロイとインフラ
クライアントとブラウザでセキュアな通信を行うため、OutSystemsで構築されたアプリケーションは、保護されたAPIエンドポイントを持つセキュアなアプリコンテナ内で実行されます。また、OutSystemsではInfrastructure as Code(IaC)のアプローチに従ってプロシージャが自動化されるため、手作業に伴うエラーがなくなります。インフラのソースファイルについてはスキャンを行い、セキュリティやコンプライアンスに影響を及ぼす設定ミスやポリシーの問題を洗い出します。さらに、インフラのセキュリティを物理面でも確保するため、OutSystemsの運用はAmazon Web Services(AWS)を利用してセキュアな認定データセンターで行われています。運用面と物理面でのセキュリティを何層も実装したこれらのデータセンターは、データの安全性と完全性を保証します。