HID は、当社のソリューションが業界のセキュリティ基準やベストプラクティスに準拠していることを明確にするため、組織だけでなく、すべての HID Origo プラットフォームコンポーネントについて定期的に内部および外部のセキュリティ監査を受けています。
HID Global では、以下の保証プログラムの認定を受けた Amazon によるサービスを利用しています:SOC、PCI、ISMAP、FedRAMP、DoD CC SRG、HIPAA BAA、IRAP、MTCS、C5、K-ISMS、ENS High、OSPAR、HITRUST CSF、FINMA、GSMA。詳細については、Amazon のコンプライアンスのページで確認できます:https://aws.amazon.com/compliance/services-in-scope/
| HID Origo サービス | |||||
|---|---|---|---|---|---|
| API | ゲートウェイ | DynamoDB | ElastiCache for Redis | RDS | S3 Glacier |
| VPC 接着剤 | システムマネージャー | Athena | EBS | GuardDuty | システムエンジニアリングサービス (SES) |
| 仮想プライベートクラウド (VPC) | ACM | アイデンティティ管理 (IAM) | アプリケーションロードバランサー (ALB) | Aurora | EC2 |
| Kinesis Data Firehose | SNS | ACM | 設定 | IoT Core | ネットワークロードバランサー (NLB) |
| CloudFront | ECR Kinesis | データストリーム | SQS の設定 | ダイレクト接続 | キー管理サービス (KMS) |
| CloudWatch + ログ | ECS | MSK S3 | ダイレクト接続 | Fargate | Lambda |
HID Global は、ISO / IEC 27001 規格に従って認証された情報セキュリティマネジメントシステムを維持し、HID Origo サービスの開発および継続的な運用のために、以下のようなセキュリティ制御を統括しています:
- HID Origo クラウドプラットフォームおよびサービス:
- HID Origo モバイル ID
- HID Origo 管理ポータル
- HID Origo コネクテッドアーキテクチャ
- HID 認証サービス (AaaS)
- HID Approve
CSA STAR Level 2:認定
クラウドセキュリティアライアンス (CSA) は、「クラウドコンピューティング内でセキュリティ保証を提供するためのベストプラクティスの使用を促進し、他のすべての形式のコンピューティングのセキュリティ保護を支援するためにクラウドコンピューティングの使用に関する教育を提供する」ことを使命とする非営利団体です。
HID Global は、クラウドセキュリティアライアンスの企業メンバーであり、CSA Security, Trust & Assurance Registry (STAR) 認証に参加してクラウドセキュリティのベストプラクティスを遵守しています。
2023 年 10 月 15 日、HID PACS は以下の範囲において評価され、CSA Star 2 認定を受けました。詳細については以下のリンクからご覧いただけます:https://cloudsecurityalliance.org/star/registry/hid-global。
CSA STAR 認証の範囲は情報セキュリティ管理システム (ISMS) の範囲に従っています。ISMS の範囲は、対象アプリケーションおよびサービスの開発、提供、保守、および運用に関連する活動の情報セキュリティフレームワーク (下に一覧あり) をカバーしており、また、2022 年 12 月 21 日付の適用宣言バージョン Q に準拠しています。 ISMS は、HID Global の情報資産とプロセスの機密性、完全性、可用性 (CIA)、およびプライバシーを以下のサービスで保持します。
HID Origo クラウドプラットフォームおよびサービス:
- HID Origo モバイル ID
- HID Origo 管理ポータル
- HID Origo コネクテッドアーキテクチャ
HID Origo Mobile Identities は、SOC 2 Type 2 への準拠を達成しています。
- 国際公認会計士協会 (AICPA) が発行する SOC (サービスおよび組織管理) 規格は、評価された一連のサービスに関するセキュリティ、可用性、処理の完全性、機密性、プライバシーを対象としています。
- この認証は、HID Origo Mobile Identities が、セキュリティおよび可用性に関連する AICPA Trust Services Criteria の観点から、サービスコミットメントを実現できることを独自に検証したことを意味します。
- SOC 2 Type 2 を達成したことにより、HID Origo Mobile Identities が、定義されたプロセスと業界のベストプラクティスの準拠、インフラストラクチャの維持、システム保護の要件を満たしていることが証明され、さらに、製品がエンタープライズレベルまでのあらゆるタイプの展開を確実に行える保証があることも認められます。
HID Origo Mobile Access & Origo Connected Architecture は、SOC 2 Type 1 準拠を達成しています。
- これは Association of International Certified Professional Accountants (AICPA) が発行し、セキュリティに関する Trust サービス基準に照らして評価するものです。
- SOC 2 Type 1 ではある時点での組織の内部統制の設計がレビューされます。 ここでは組織の SOC 2 コンプライアンス体制が評価され、実装した制御がフレームワークの要件を満たしているかどうかが判断されます。
- SOC 2 Type 1 を達成したことにより、HID Origo Mobile Access & Origo Connected Architecture が、定義されたプロセスと業界のベストプラクティスの準拠、インフラストラクチャの維持、システム保護の要件を満たしていることが証明され、さらに、製品がエンタープライズレベルまでのあらゆるタイプの展開を確実に行える保証があることも認められます。
フレームワーク
OWASP Top 10 は、開発者と Web アプリケーションセキュリティのための標準的な啓発文書です。 これは、Web アプリケーションの最も重大なセキュリティリスクに関する幅広いコンセンサスを表しています。
セキュアソフトウェア開発フレームワーク (SSDF) は、BSA、OWASP、SAFECode などの組織によって確立された、セキュアソフトウェア開発実践文書に基づく、基本的で健全かつ安全な、ソフトウェア開発実践のセットです。
Software Alliance は、このギャップを埋めるために、安全なソフトウェアのための BSA のフレームワークを開発しました。 このフレームワークは、開発者、ベンダー、顧客、政策立案者などのソフトウェア業界の関係者が特定のソフトウェア製品およびサービスに関連するセキュリティの成果を伝え、評価するのに役立つ、成果を重視した標準ベースのリスク管理ツールを提供します。
セキュア開発成熟度モデル (BSIMM) は、現在のソフトウェアセキュリティの取り組みやプログラムを研究するものです。 業種、規模、地域を問わず、さまざまな組織のアプリケーションセキュリティ (appsec) の実践を定量化し、各組織の独自性を高めるバリエーションを特定します。