2. OutSystemsのセキュリティ認証、ガバナンス、コンプライアンス
OutSystemsではレジリエンスを高めてあらゆる形式の情報を保護することで、ユーザーとの持続的な関係を構築し、成功へと導くことを目指しています。そこで、OutSystems Supportサービスで対象としている品質、情報セキュリティ、ビジネス継続性を実現するための総合管理システムを、米国、ポルトガル、日本、マレーシアの各オフィスに導入しました。
クラウドコンピューティングに関するセキュリティベストプラクティスへの取り組みの一環として、OutSystemsはCSAの会員として活動しています。また、CSA STAR自己評価を行い、評価結果をWebサイトで公開しています。
目次
関連するセキュリティ認証の概要
OutSystemsは多くの認証を取得しています。以下の代表的なものを含め、すべてをOutSystemsトラストセンターで随時ご確認いただけます。
業界標準と規制の遵守
OutSystemsは以下の業界標準と規制を遵守しています。
OWASP Top 10、OWASP Low Code Top 10、OWASP Mobile Top 10には、Web/モバイルアプリケーションの最もクリティカルなセキュリティリスクに関する幅広い見解が記載されています。OutSystemsで開発されたアプリケーションがOWASPで特定されたセキュリティ上の懸念からどのように保護されているかについては、オンラインヘルプをご覧ください。
OutSystemsはCenter for Internet Security(CIS)のメンバーであるため、その評価ツール、コンプライアンスベンチマーク、レポート機能にアクセスし、最新のセキュリティ保護をプラットフォームに組み込むことができます。また、内部テクノロジーやユーザーのクラウドベースシステムのコンプライアンスを監視し、積極的かつ柔軟なサイバーセキュリティアプローチを実施しています。CIS Benchmarks™はCISのSecureSuiteの重要なコンポーネントであり、業界の認めたシステム強化標準として推奨されています。これらの標準は、業界や政府機関によって義務付けられたコンプライアンス要件を満たすうえでの指針として活用されています。OutSystemsは折に触れこれらの標準を確認することで、プラットフォームの開発時や更新時に、サイバーセキュリティに関する最新の構成やベストプラクティスを組み込んでいます。
OutSystemsはAWS FoundationsおよびWell-Architected Frameworkに準拠することで、プラットフォームで開発されたアプリケーションの信頼性をさらに高めています。このフレームワークを導入することで、インフラをセキュアに構築し、様々なアプリケーションやワークロードで優れたパフォーマンス、回復力、効率性を発揮できます。また、クラウドでのアプリケーションの設計や実行のロードマップがより明確になるため、ユーザーが一般的なリスクを回避したり、潜在的なセキュリティの問題に事前に対処したりしやすくなります。
セキュリティ監査/評価プロセス
OutSystems ensures platform integrity through a continuous cycle of independent third-party audits, comprehensive vulnerability management, and penetration tests. This multi-layered approach validates our operational controls, infrastructure security, and data handling procedures against evolving threats. By maintaining rigorous internal oversight and external validation, we provide objective, verifiable assurance of our security posture.
Our global compliance framework is architected to meet stringent international, regional, and industry-specific regulatory requirements. We maintain a broad portfolio of certifications and attestations that cover data privacy, financial reporting, and specialized sector standards. This ongoing investment in rigorous validation minimizes the auditing and compliance burden for our customers, allowing teams to deploy applications with the confidence that the underlying infrastructure is secured to the highest global benchmarks.
脅威インテリジェンスとインシデント対応
OutSystemsセキュリティオペレーションセンター(SOC)は、サイバー攻撃や知的資産の損失からOutSystemsインフラを保護するためのセキュリティ監視サービスを提供しています。
OutSystems SOCの主なミッションは、コンピュータセキュリティインシデントを包括的に調査することで企業、システム、データの保護を支援し、こうしたインシデントの防止に貢献することです。そのためにも、プロアクティブな脅威評価、緩和計画、インシデントトレンド分析に取り組んでいます。
攻撃の可能性が報告された場合、OutSystemsの合同セキュリティチームやメカニズムは以下の対応を行います。
- 報告された動作のトリアージを行い、誤検出を排除します。
- 報告されたインシデントの重要度の分類と報告を行います。
- トリアージで特定された攻撃のタイプに応じて事前定義されたプレイブックを使用して攻撃を阻止し、被害の拡大を防ぎます。これには、侵害されたコンテナの隔離や攻撃者が使用したネットワークトラフィックのブロックなどが含まれます。
- 脅威を排除し、影響を受けたコンテナにバックドアのインストールが試行されていたりした場合は、追加されたコンテンツを削除します。
- 攻撃を受けたサービスを復旧し、同様の攻撃に対する防御を強化した新しいバージョンのデプロイなどを行います。
OutSystemsはこうした対策を実施することでセキュリティインシデントの検出・解決を迅速化し、ユーザーのアプリケーションやデータへの影響を最小化することを目指しています。また、収集した情報を利用して専用のフィードバックループで詳細な事後分析や根本原因の特定を行い、得られた貴重なインサイトを今後のインシデント管理に活かしています。