セキュリティーチェックリスト

セキュリティーが不十分な場合、アプリケーションのデプロイができない可能性があります。

• ほとんどのクライアントは、プロジェクトチームがアプリケーションを本稼働に移行することを許可する前に、アプリケーションのセキュリティーを確認するITセキュリティーチームの承認を必要とします。
• Deployment Managerは、セキュリティーチェックリストが完了していない場合にアプリケーションが本稼働にデプロイされるのをブロックします。 

各セキュリティーエリアの詳細については、各画像をクリックしてください。

Pegaはアプリケーションとシステムのセキュリティーについて真剣に考えています。 セキュリティーに対する責任は、Pegaとクライアントで共有すべきものです。 Pegaとクライアントの間に共通の目標があることで、アプリケーションの可用性（A）、完全性（I）、秘密性（C）であるAICトライアドが確保されます。

承認されていないユーザーは、アプリケーションや、アプリケーションが作成および保存するデータにアクセスしたり変更したりすることができません。 承認されたユーザーは、業務の遂行に必要なアプリケーション機能とデータにのみアクセスできます。

次の画像で「+」のアイコンをクリックすると、各セキュリティー目標の詳細が表示されます。 

セキュリティーチェックリストはPegaプラットフォームの重要な機能で、クライアントのアプリケーションやシステムの強化をサポートします。 Pegaプラットフォームは、チェックリストにあるタスクの完了の追跡をサポートするため、アプリケーションの各バージョンに対し、セキュリティーチェックリストにあるタスクを含むアプリケーションガイドラインルールインスタンスを自動的にインストールします。 詳細については、「Assessing your application using the Security Checklist」を参照してください。

次の画像で「+」アイコンをクリックすると、セキュリティーチェックリストがアプリケーションのセキュリティー保護にどのように役立つかについて詳細を表示できます。 

Pegaプラットフォームアプリケーションで最も重要なセキュリティー要件は、ガードレールコンプライアンスを維持することです。 Pegaプラットフォームのセキュリティー機能は、カスタムコードを使用した場合に必ずしも正常に適用されるとは限りません。

アプリケーションを保護するには、Pegaプラットフォームに組み込まれたセキュリティー設定機能を使用してください。 セキュリティーのエキスパートではないデベロッパーが作ったカスタムコードには頼らないでください。

セキュリティーチェックリストのタスクは、各タスクが実行されるタイミングと、関係する重要なセキュリティーエリアによって構成されています。 重要なエリアの例として、モニタリング、認証、承認、監査、本番稼働テストが挙げられます。 「Security Checklist core tasks」を確認する場合には、アプリケーションの性質、使用されているPegaプラットフォームの機能、アプリケーションがどのように、誰に対してデプロイされるかを理解することが重要です。

すべてのセキュリティータスクがすべてのアプリケーションやリリースで必要なわけではありません。 使用するタスクは、アプリケーションが使用するPegaプラットフォームの機能、Pegaアプリケーションをどの程度カスタマイズするか、アプリケーション内で作成および保存される秘密データの量など、多くの要因によって異なってきます。

セキュリティーは、外部公開されたアプリケーションのための特別な考慮事項のうちの1つです。 詳細については、「Basic requirements for deploying public-facing applications」を参照してください。

次の問題に答えて、理解度をチェックしましょう。