HID Global は、当社のソリューションが業界のセキュリティ基準やベストプラクティスに準拠していることを明確にするため、組織だけでなく、すべての HID Origo プラットフォームコンポーネントについて定期的に内部および外部のセキュリティ監査を受けています。
HID Global では、以下の保証プログラムの認定を受けた Amazon によるサービスを利用しています:SOC、PCI、ISMAP、FedRAMP、DoD CC SRG、HIPAA BAA、IRAP、MTCS、C5、K-ISMS、ENS High、OSPAR、HITRUST CSF、FINMA、GSMA。詳細については、Amazon のコンプライアンスのページで確認できます:https://aws.amazon.com/compliance/services-in-scope/
| HID Origo サービス | |||||
|---|---|---|---|---|---|
| API | ゲートウェイ | DynamoDB | ElastiCache for Redis | RDS | S3 Glacier |
| VPC 接着剤 | システムマネージャー | Athena | EBS | GuardDuty | システムエンジニアリングサービス (SES) |
| 仮想プライベートクラウド (VPC) | ACM | アイデンティティ管理 (IAM) | アプリケーションロードバランサー (ALB) | Aurora | EC2 |
| Kinesis Data Firehose | SNS | ACM | 設定 | IoT Core | ネットワークロードバランサー (NLB) |
| CloudFront | ECR Kinesis | データストリーム | SQS の設定 | ダイレクト接続 | キー管理サービス (KMS) |
| CloudWatch + ログ | ECS | MSK S3 | ダイレクト接続 | Fargate | Lambda |
HID Global は、ISO / IEC 27001 規格に従って認証された情報セキュリティマネジメントシステムを維持し、HID Origo サービスの開発および継続的な運用のために、以下のようなセキュリティ制御を統括しています:
- HID Origo クラウドプラットフォームおよびサービス:
- HID Origo モバイル ID
- HID Origo 管理ポータル
- HID Origo コネクテッドアーキテクチャ
- HID 認証サービス (AaaS)
- HID Approve
また、HID Origo Cloud Services は、Cloud Security Alliance の Cloud Controls Matrix に基づく自己評価を行っています。 テクニカルレポートの対象領域は以下の通りです:
- アプリケーションとインターフェイスのセキュリティ
- 監査保証とコンプライアンス
- 事業継続管理とオペレーション ResilienceChange 管理およびコンフィグレーション管理
- データセキュリティと情報ライフサイクル管理
- データセンターのセキュリティ
- 暗号化とキー管理
- ガバナンスとリスクマネジメント
HID Origo Mobile Identities は、SOC2 type 1 への準拠を達成しています。
- 国際公認会計士協会 (AICPA) が発行する SOC (サービスおよび組織管理) 規格は、評価された一連のサービスに関するセキュリティ、可用性、処理の完全性、機密性、プライバシーを対象としています。
- この認証は、HID Origo Mobile Identities が、セキュリティおよび可用性に関連する AICPA Trust Services Criteria の観点から、サービスコミットメントを実現できることを独自に検証したことを意味します。
- SOC 2 Type 1 の取得は、HID Origo Mobile Identities が業界のベストプラクティスに従い、企業レベルまでのあらゆる展開に対応できるプロセス、インフラストラクチャ、保護システムに基づいていることを証明します。
フレームワーク
OWASP Top 10 は、開発者と Web アプリケーションセキュリティのための標準的な啓発文書です。 これは、Web アプリケーションの最も重大なセキュリティリスクに関する幅広いコンセンサスを表しています。
セキュアソフトウェア開発フレームワーク (SSDF) は、BSA、OWASP、SAFECode などの組織によって確立された、セキュアソフトウェア開発実践文書に基づく、基本的で健全かつ安全な、ソフトウェア開発実践のセットです。
Software Alliance は、このギャップを埋めるために、安全なソフトウェアのための BSA のフレームワークを開発しました。 このフレームワークは、開発者、ベンダー、顧客、政策立案者などのソフトウェア業界の関係者が特定のソフトウェア製品およびサービスに関連するセキュリティの成果を伝え、評価するのに役立つ、成果を重視した標準ベースのリスク管理ツールを提供します。
セキュア開発成熟度モデル (BSIMM) は、現在のソフトウェアセキュリティの取り組みやプログラムを研究するものです。 業種、規模、地域を問わず、さまざまな組織のアプリケーションセキュリティ (appsec) の実践を定量化し、各組織の独自性を高めるバリエーションを特定します。