セキュリティチェックリストの確認
Pegaはアプリケーションとシステムのセキュリティについて真剣に考えています。 セキュリティに対する責任は、Pegaとクライアントで共有すべきものです。 Pega Platform™は、リリースを重ねながら、アプリケーションとシステムを不正アクセスから守り、アプリケーションが管理するデータを保護する各種のセキュリティ機能を強化しています。
セキュリティチェックリストには、アプリケーションのセキュアなデプロイを行うためのPegaのベストプラクティスが掲載されています。 セキュリティチェックリストのタスクの完了を追跡できるように、Pega PlatformはDev Studioのホームページ(Resources > Application Guides)に全体の完了状況を表示し、各タスクの状況を追跡するツールを搭載しています。
セキュリティチェックリスト:
- アプリケーションのセキュアなデプロイを行うためのPegaのベストプラクティスが掲載されている
- 本稼働中のアプリケーションの秘密性、完全性、可用性を保護できるよう役立つ
- 各タスクを実行すべきタイミングがわかる
- 開発開始時または開発開始直後
- 継続的に実行
- デプロイ直前
- 開発プロセスの後半に発生するコストの高い手直しを回避できる
セキュリティチェックリストには、コアタスクと追加タスクが掲載されています。 セキュリティチェックリストのコアタスクは、開発時と本稼働時に発生します。
開発時に実行すべきコアタスク
- セキュリティアラートに迅速に対応する。
- セキュリティアラートの例:
- SECU0001 - HTTPリクエストで予期しないプロパティを受信した
- SECU0019 - 不正なリクエストが検出された
- セキュリティアラートの例:
- サービスへのアクセス試行を安全に認証する。
- 認証プロファイルを作成し、各種コネクターとサーバールールでアプリケーションとの間で安全にメッセージを移動する。
- 適切なロールと権限を定義し、アクセスを制限する。
- データを適切に暗号化する。
- 暗号化は、Pega Platform™の機能に影響を与えることなく、アプリケーション内の秘密データを保護するセキュリティ対策の1つです。
- 暗号化では、暗号アルゴリズム用いて、解読可能なテキスト(平文)を解読不可能な秘密形式(暗号文)にします。 暗号文は、正しい暗号鍵を使用した場合にのみ復号化できます。
本稼働時に実行すべきコアタスク
- システムのProduction Levelを5に設定する
- ルールセットをロックする
- チェックアウトされたルールをデプロイしない
- 不要なロールやオペレータを本番環境からブロックする
- パスワードを保護する
- 本番環境にダイナミックシステム設定を構成する
- クロスサイトリクエストフォージェリ(CSRF)設定を構成する
- 適切なコンテンツセキュリティポリシーを定義する
- RESTサービスに適切なクロスオリジンリソース共有(CORS)を定義する
- ログレベルを適切に構成する
追加タスク
これらの設定は、すべてのアプリケーションに適用されるわけではありません。 設定は、クライアントのニーズやアプリケーションごとに異なります。
- パスワード形式ポリシー
- CAPTCHAポリシー
- セッションロックアウトポリシー
- ログイン試行監査ポリシー
- 多要素認証
- オペレーターアクセスポリシー
- 構成認証のタイムアウト
- データベースアクセスを保護する
- アプリケーションデータの変更を監査する
- セキュリティイベントのログ記録を構成する
トレーニングを実施中に問題が発生した場合は、Pega Academy Support FAQsをご確認ください。