1. OutSystemsのエンタープライズセキュリティポスチャ

OutSystemsでは、ユーザーがWebアプリケーションやモバイルアプリケーションの開発に使用するプラットフォームに、OutSystemsのセキュリティポスチャすべてを反映させています。OutSystemsのローコードプラットフォームは、OWASPで特定された上位のセキュリティ脅威に対するビルトインの保護だけでなく、アプリケーションのセキュリティを強化する追加の対策も提供しています。これらの補完的なメカニズムを以下に示します。

• プラットフォームのアップグレード。セキュリティ機能や修正をすべてのアプリケーションで利用できるようにします。
• ビルド済みコンポーネント。保存データの暗号化やID管理システムとの連携といったセキュリティ関連タスクを簡素化できます。
• ロールベースのアクセス制御。適切なチームメンバーにアプリケーションの変更やデプロイを許可します。
• AIベースのセキュリティツール（AI Security Mentor）。コードをレビューし、開発プロセスにおいて生じた脆弱性を特定します。

目次

• 組織レベルのセキュリティ
• OutSystemsにおけるソフトウェア開発のベストプラクティス
• プラットフォームのセキュリティの概要
• プラットフォームのコンプライアンスの概要

組織レベルのセキュリティ

OutSystemsは組織としてセキュリティを重視しています。このことは、全社的にセキュアな基盤を確立するために包括的かつ全体的なアプローチを実践していることにも表れています。

OutSystems SupportサービスはISO 27001認証を取得しており、Information Security Officeが組織内のサイバーセキュリティやインシデント対応に関する以下のような活動をすべて担っています。

• OutSystemsのスタッフ、ポリシー、プロセス、プラクティス、テクノロジーは、企業をサイバー攻撃の脅威からプロアクティブに保護・防御し、サイバーセキュリティインシデントの発生を防止します。
• OutSystemsのスタッフ、ポリシー、プロセス、プラクティス、テクノロジーは進行中の操作を監視し、敵対的な行為を積極的に調査・検出して、疑わしい不正なイベントのインスタンスをできる限り迅速に報告します。
• 影響が最小限になるようにインシデント対応を調整し、OutSystemsのスタッフ、ポリシー、プロセス、プラクティス、テクノロジーによる対応を迅速に行って、アセットの運用をできる限り速やかに通常の状態に戻します。
• OutSystemsのスタッフ、ポリシー、プロセス、プラクティス、テクノロジーは、あらゆるサイバーセキュリティ活動の継続的な監督、管理、パフォーマンス測定、軌道修正を行います。
• コンプライアンス管理やリスク管理を行い、セキュリティ脅威への適切な対応を継続します。

また、OutSystemsは、堅牢性に優れたオペレーションプロセスも導入しています。

• 採用プロセス: 短期雇用であれば採用時、長期雇用であれば採用前に、本人をよく知る人物に問い合わせたりソーシャルネットワークを閲覧したりして本人の素性を確認します。
• 身元調査: 内定前に、財務状況や犯罪歴などの身元調査を行います。この調査は、従業員の役職やアクセスレベルに合わせて毎年繰り返し行われます。
• オンボーディング/トレーニングプログラム: 各従業員に課されるセキュリティ面の責任を記載した国ごとの様式、文書、確認書類を準備して、新規採用プロセスで使用します。こうしたプログラムによって新しい従業員が職場環境に完全に適応できるようにします。OutSystems Supportチームは、特別なセキュリティトレーニングプログラムとしてセキュリティ認識トレーニングを受けます。
• 正式な職務記述書を管理し、従業員がそれぞれの役割や責任を認識できるようにします。
• 退職/異動手続き: OutSystemsは正式な退職手続きに従って、退職した従業員がOutSystemsのシステムにアクセスできなくなるようにします。

OutSystemsはローコード開発プラットフォーム分野のベンダーでは唯一、専用のトラストセンターを提供しています。ユーザーおよび見込み客は、OutSystemsプラットフォームのセキュリティ認証をここですべて確認できます。また、コンプライアンスは企業の最優先事項であるという認識のもと、幅広いセキュリティ認証と、その根拠となる技術ドキュメントを自由に閲覧できるようにしています。

OutSystemsにおけるソフトウェア開発のベストプラクティス

高度にセキュアなソフトウェア開発プラットフォームを提供するため、OutSystemsは長年にわたり厳格な開発プラクティスを採用しています。以下に例をいくつか示します。

プラットフォームのセキュリティの概要

昨今のクラウドネイティブな環境では、アプリケーションをセキュアに保つ方法がますます複雑化しています。アプリケーションが多くの外部エンドポイントに公開されるようになったことで、クラウド内の機密情報を保護する際に多くの課題が生じているのです。

OutSystemsは単なる高性能ローコードアプリケーション開発プラットフォームではありません。最新のエンドツーエンドのセキュリティ機能やコンプライアンス機能で企業を支援する設計になっています。OutSystemsプラットフォームのセキュリティ機能を利用することで、最高水準の業界標準に適合した堅牢でセキュアなアプリケーションを自信を持って開発できます。

OutSystemsは先進的なテクノロジー導入アプローチを採用し、ユーザーが常に最新の機能を利用できるようにしています。テクノロジーの進化に合わせてプラットフォームを進化させ、新しい機能をすばやく利用できるようにするとともに、開発ライフサイクルのセキュリティも確保しています。

OutSystemsはアプリケーションのセキュリティを優先事項として扱っており、アプリケーションとデータの暗号化やID/アクセス管理のほか、各種セキュリティ機能をプラットフォームに直接組み込んでいます。これらの堅牢なセキュリティ対策によってデータの機密性、完全性、可用性を確保し、不正アクセスから保護して、業界の規制を遵守しています。

社内向けの戦術的アプリケーションに適した基本的なセキュリティ機能を提供しているローコードプラットフォームは多くありますが、OutSystemsはそれらのベンダーとは一線を画します。高性能ローコードはOutSystemsを支える原動力です。「高性能」とは、ミッションクリティカルなアプリケーションを開発する際に必要となる、包括的なエンタープライズレベルのセキュリティ機能を提供するローコードプラットフォームであることを意味します。OutSystemsはエンタープライズレベルのガバナンス機能やコンプライアンス機能も備えているため、従来の開発と同じポリシーやプラクティスをローコード開発プロセスにもシームレスに適用できます。

OutSystemsでは、セキュリティ、コンプライアンス、イノベーションという基盤の上にアプリケーションを構築することになるので、クラウドネイティブのアプリケーション開発も安心して導入することができます。OutSystemsで開発されたアプリケーションが厳格なセキュリティ要件を満たしている理由としては、以下のようなものが挙げられます。

• 多彩なセキュリティ機能を備えた設計。設計時から実行時にかけて何百種類ものセキュリティチェックを実行します。
• AIベースのコード解析。開発プロセスにおいて生じたコードの脆弱性を特定します。
• モバイルアプリに特化した追加のセキュリティアドオン。

OutSystemsは実用的なコードを生成できる唯一のローコードプラットフォームであるため、標準的なエンタープライズセキュリティスキャンツールを使用して静的コード解析を行うこともできます。

プラットフォームのコンプライアンスの概要

OutSystemsプラットフォームには、アプリのライフサイクル全体を保護するためのセキュリティ機能が多く組み込まれています。OutSystems Sentryを追加すると、機密データや基幹データ、顧客データを取り扱う企業・組織に特化したセキュリティ機能により、ローコードにおける標準を高めることができます。セキュリティの管理と監視はOutSystemsが行うため、チームはその他の重要な活動に集中できます。

OutSystems Sentryは、以下のような企業の要件を満たすために追加のセキュリティ、リスク管理、監視を提供する重要なアドオンです。

• 機密データ、個人を特定できる情報（PII）、保護対象の電子医療情報（ePHI）を取り扱う企業。
• クラウドファーストのアプローチが必須である企業。
• ネットワーク外で利用されるアプリを保有する企業。
• 基幹システムをリプレース中の企業。
• 規制の厳しい業界で事業を行う企業。
• アプリの急速な増加に対応するために必要なセキュリティリソース、スキル、可用性が不足している企業。

OutSystems Sentryは幅広いセキュリティ規制に対応しており、以下の認証を取得しています。

• SOC 2 Type II
• ISO 27001
• ISO 22301
• HIPAA
• PCI DSS
• TISAX