Syniti のセキュリティへの取り組み

保存中および転送中の顧客システムとデータをどのように保護し、分離しますか?

• システムとデータは、分離されたクラウド オペレーション ホスティング環境内で、他のすべての Syniti 運用システム、エンド ユーザー、開発者から分離されています。アクセスは、クラウド オペレーション管理者と、移行やその他のビジネス主導のアクションを促進するために顧客と連携しているコンサルタントに、必要に応じて間接的に制限されます。
• テナントには独自の分離された環境があり、他の顧客環境にアクセスしたり、他の顧客環境からアクセスしたりすることはできません。
• クラウド運用環境との間で顧客に転送される顧客データは、業界標準の暗号化プロトコルを使用して転送中に暗号化されます。
• システムでは、業界標準の暗号化により、保存中のデータがディスク レベルで暗号化されます。
• クラウド運用管理者による顧客環境へのアクセスは、安全な Web ポータルを通じて行われるため、Syniti ラップトップ、デスクトップ、モバイル デバイス、ワイヤレスなどのセキュリティ体制に関するほとんどの懸念が軽減されます。
• すべてのクラウド オペレーション管理者は、ID を確認するために多要素認証 (MFA) が有効になっています。
• 権限の承認は PAM (権限アクセス管理) テクノロジーを通じて管理され、アクセスが必要に応じてのみ提供され、最小権限の原則が遵守されていることが保証されます。
• すべての外部脅威は、次世代ファイアウォールの機能によって境界自体で制御されます。

あなたのインフラストラクチャは SOC 2 に準拠していますか?

• Syniti は、SOC 2 コンプライアンスを維持している世界的に有名な IaaS ハイパースケーラーと提携しています。
• Syniti のクラウド オペレーション ホスティング環境は、SOC 2 タイプ 1 に準拠し、SOC 2 タイプ 2 認定を受けています。

顧客システム自体にはどのようなエンドポイント セキュリティを実装していますか?

• 当社は、ホストベースのファイアウォール、EDR ソフトウェア、その他の保護機能を運用し、以下を保証します。
  • 検証済みのソフトウェアがインストールされ、実行されている
  • 検証済みのプロセスが顧客のシステムで実行されている
  • 顧客システムのウイルスおよびマルウェアの評価は最新かつ正確です。
  • ホストベースのファイアウォール。
  • ファイル整合性管理
  • ホスト侵入検知
  • 脆弱性管理
  • Syniti は、すべてのエンドポイントからのイベントを収集/保存して、説明責任をさらに強化するための監査を実施しています。

セキュリティ インシデントをどのように追跡し、対応しますか?

• Syniti クラウド オペレーションは、セキュリティ イベントを集約して相関させ、実用的なセキュリティ インシデントを特定するための SIEM ソリューションを中心に構築された 24 時間 7 日の NOC を維持します。
• Syniti は、統合インシデント対応計画と専用の SIRP (セキュリティ インシデント対応計画) を維持しており、IRP/使用済みケースをカバーしているため、セキュリティ インシデントの解決に役立ちます。

顧客データはバックアップされていますか?

• すべての顧客データは毎日バックアップされます。

パスワードの保存とローテーションはどのように管理されますか?

• 顧客関連のパスワードの保存とローテーションはすべて、安全なウォレット機能を備え、資格情報をクリアテキストで公開することなく、承認された担当者へのリモート接続を可能にする当社の PAM ソリューションによって管理されています。
• パスワードのローテーションが有効になっているため、パスワードは 90 日ごとに自動的に変更されます。

Syniti はどのようにして最新の脅威や脆弱性について最新情報を入手しているのでしょうか?

• 当社は、市場をリードするベンダーの脆弱性管理ソリューションを活用し、すべての新規および既存の脆弱性を定期的にチェックしています。
• 当社では、発見された脆弱性を修正するための脆弱性管理プログラムを導入しています。
• さらに、当社の SOC サービス プロバイダーは、脅威ハンティング プログラムを活用して、最高レベルの注意力を保証します。

Syniti は顧客データの機密性、整合性、可用性 (CIA) をどのように保証しますか?

• 当社では、推奨される暗号化プロトコルを使用して、顧客データのすべての入出力を暗号化します。
• 当社には、生産データへの不正な変更を監視する FIM (ファイル整合性監視) 機能があります。
• Synitiはネットワークベースのデータ損失防止プラットフォームを維持しています
• また、既存のセキュリティ体制を常に最新の状態に維持するクラウドおよびコンテナ セキュリティ監視ツールも導入しています。
• 当社の CSP は市場リーダーであり、T2 レベルのデータ センターで 1n+4 レベルの冗長性を提供しています。

Syniti はデータを暗号化しますか?

• はい。転送中は https を強制し、データベースに保存中は AES256 暗号化を使用します。SQL Server Transparent Data Encryption (TDE) もサポートしています。

アプリケーションのセキュリティ上の脆弱性を確認していますか?

• 当社では、ソフトウェア開発ライフサイクル (SDLC) 全体を通じて、独立したサードパーティの静的および動的スキャン ツールを使用してコードをスキャンし、セキュリティの脆弱性を探します。また、重大な問題はリリース前に解決されます。

あなたのアプリケーションは多要素認証をサポートしていますか?

• 当社はシングル サインオン (SSO) をサポートしています。SSO では、アプリケーションがユーザー認証を顧客の企業 ID プロバイダーに委任します。これにより、顧客は確立されたユーザー認証ポリシーと手順を使用して、Syniti アプリケーションにアクセスできるユーザーを直接制御できます。

システム/ソフトウェア開発ライフサイクル (SDLC) のセキュリティを組み込むために、業界標準 (OWASP ソフトウェア保証成熟度モデル、ISO 27034 など) を使用していますか?

• Syniti の情報プライバシーとセキュリティ ガバナンスおよび SDLC プロセスは、国際標準化機構 (ISO) 27001 および 27002 セキュリティ標準、および米国国立標準技術研究所 (NIST) の特別刊行物 800 シリーズに準拠しています。Syniti の安全な SDLC プログラムは、OWASP フレームワークによって設定されたガイドラインに従います。

SaaS 製品の稼働時間 SLA とは何ですか?

• 99.5% の稼働率を保証します。

ソフトウェアのアップデートはどのくらいの頻度でリリースされますか?

• 当社の SaaS 製品は CI/CD モデルに従っており、変更はすべての SDLC チェックポイントを通過するとすぐに本番環境に展開されます。
• 当社のオンプレミス ソフトウェアは次の頻度でリリースされます。
  • サービスパック – 4～6 週間ごと
  • マイナーバージョン – 四半期ごと
  • 1～2年ごとのメジャーバージョン