組織がアプリケーション・ポートフォリオと重要なデータを統合し、それを管理するプロセスを自動化しようとすればするほど、セキュリティの重要性は高まる。そして、GenAIがより高速で効率的なソフトウェアプラットフォームを強化するにつれて、セキュリティは統合と自動化プラットフォームのDNAに組み込まれる必要がある。このブログでは、認証とガバナンスの重要性を取り上げる。
エンタープライズiPaaS セキュリティ認証
サイバーセキュリティリスクの急速な増大は言うに及ばず、絶えず変化する業界標準や規制要件により、統合プラットフォームのセキュリティは特に重要となっています。統合プラットフォームは、データとアプリケーションをつなぐパイプであり、テクノロジーアーキテクチャのバックボーンとして機能します。プラットフォームのセキュリティを確保する一つの方法は、認証です。セキュリティ認証は、ベンダーの主張に対する独立した検証と検証を提供するため、ベンダーのセキュリティ対策に関する説明を鵜呑みにするのではなく、データが安全であることを確実に知ることができます。
データへのアクセス、変更、転送を行うプラットフォームは、以下の認定を受ける必要がある:
標準認証
- ISO認証:この認証は、企業のプライバシーとセキュリティの実践を評価する第三者監査人によって実施されます。ISO監査は、個人識別情報(PII)の安全な取り扱いを評価します。
- SOC I/SOC II: SOC 1は財務報告に関する内部統制を審査し、SOC 2はサービス組織の業務とコンプライアンスに関連する統制を審査する。
- コンセンサス・アセスメント・イニシアチブ質問票 (CAIQ)である:CAIQは、クラウドサービスプロバイダー、バイヤー、監査人がプロバイダーの実務を評価する際に使用する質問票を提供する。CAIQとCloud Controls Matrixのバージョン4が統合された。これらは自己申告によるセキュリティ評価であり、クラウドサービス利用者固有のニーズに焦点を当てたものである。ISOやSOCほど厳密ではないが、それでも検証には重要である。
- PCI-DSS: この認証は、ペイメントカード取引環境におけるあらゆる重要な金融データについて、盗難や不正行為から保護するための適切な保管および処理方法が実施されていることを保証するものです。
専門資格
- FedRAMP/StateRAMP:米国では、iPaaS などのクラウド・サービスを政府機関が利用することを許可する認証で、クラウド・サービス・プロバイダーが義務付けられたセキュリティおよびコンプライアンス・ポリシーを遵守していることを保証する。これらの認証は、政府の厳しいセキュリティ要件により、取得が最も困難な認証のひとつである。
- 連邦情報処理標準(FIPS):FIPSは、米国国立標準技術研究所(NIST)が、非軍事の米国政府機関および請負業者のコンピュータシステムで使用するために開発した、公に発表された標準のセットです。Boomi 、暗号技術の標準を定義したFIPS 140-2に準拠しています。
- HIPAA/HITECH:HIPAA(HealthInsurance Portability and Accountability:医療保険の 相互運用性と説明責任)法およびそれに続くHITECH(Health Information Technology for Economic and Clinical Health:経済的および臨床的健康のための医療情報技術)法は、電子的に保護された医療情報(ePHI)を保護するために必要な方針、手順、およびプロセスを定義している。
これらの認証要件をBoomi がどのように管理しているかについては、https://boomi.com/compliance/をご覧ください。
統合プラットフォーム・ガバナンスに必須の5つのツール
企業には、iPaaS のデータ処理、転送、保存、およびユーザー管理を高度に制御する必要がある、内部データ・セキュリティおよび暗号化プロセスがあります。これらの5つの必須ツールにより、開発者は社内のセキュリティおよびコンプライアンスポリシーに適合するようにプラットフォームの機能をカスタマイズすることができます:
- 役割ベースのアクセス制御(RBAC): おそらく、統合プラットフォームのセキュリティを保護するための最も基本的なツールは、役割ベースのアクセス制御です。最小特権の原則に従い、Boomi RBAC管理者は、職務の遂行に必要なアプリケーションとデータへの最小レベルのアクセス権を与えるロールにユーザーを割り当てます。
- ユーザー認証情報の暗号化: 機密データやアプリケーションへのアクセスを保護するため、Boomi ユーザー資格情報は、オンプレミスかクラウドかに関係なく、一意のキーで暗号化されます。このセキュリティ対策により、重要な保護レイヤーが追加されます。権限のないユーザーがシステムにアクセスした場合でも、暗号化された認証情報は復号化キーがなければ役に立たず、データの漏洩や不正アクセスのリスクを大幅に低減します。
- データの暗号化: Boomi を経由して他のプラットフォームに渡されるデータは、例えばファイアウォールを越えてクラウドストレージに移動する場合など、転送中に暗号化されるべきである。Boomi にはPGP 暗号化のためのプロセスが組み込まれており、TLS/SSL 接続で送信されるデータはすべて暗号化される。開発者は、 Boomi でAES対称暗号化を実装することもできます。一部の統合プラットフォーム・プロバイダは暗号化の手法を「所有」しているが、Boomi の顧客は、外部キーストアを使用してソース間を移動するデータの暗号化/復号化プロセスを制御することができる。
- 鍵管理: Boomi は、データ保護とユーザー認証のために、Boomi- 制御されたHashiCorp保管庫による鍵管理サービスを提供します。また、保管庫の持ち込みや秘密管理も可能です。
- 展開の柔軟性: オンプレミスでもクラウドでも、Boomiの分散ランタイムは、機密データをオンプレミスで処理し、機密性の低いワークロードをクラウドに分散させることで、顧客がデータをどこに置いてもセキュリティを維持できるようにする。
エンタープライズ・データ・コントロール
セキュリティは「1つのサイズですべて対応できる」ものではないため、Boomi 、開発者と管理者は自社のセキュリティ基準、プロセス、期待に合わせてプラットフォームをカスタマイズできる。Boomi統合・自動化プラットフォームは、統合されたすべてのアプリケーション、ビジネスプロセス、データフローを制御するレイヤーを認定ユーザーに提供する。このレイヤーは、ビジネスの進行中のオペレーションの上に位置し(抽象化され)、以下を提供します:
- 可視性。 アプリケーションとデータのトラフィックを監視し、異常なアクティビティを迅速に検出、緩和します。
- コントロール データやアプリケーションへのアクセスをきめ細かくロールベースで制御(RBAC)し、不正アクセスやデータ漏洩のリスクを最小限に抑えます。
- 監査可能性。 PIIやその他の高度に規制されたデータ・トランザクションのデータ証跡は、コンプライアンスへの取り組みを簡素化し、セキュリティ・インシデントが発生した場合のフォレンジック分析を可能にします。
Boomiクラウド、オンプレミス、またはハイブリッド構成など、最も合理的な場所にアプリケーション、データ、およびプロセスを自由に移動することができます。
Gartner® 社が2024年2月、Magic Quadrant™ for Integration Platform as a Serviceにおいて、Boomi 「実行能力」を最高位に位置付けた理由をご覧ください。