セキュリティの基本について
Pega Platform™は、偶発的なものであれ悪意のあるものであれ、さまざまな有害なセキュリティリスクからお客様を保護します。 認証、権限、監査に関連する機能を使用して、アプリケーションの使用を保護し、モニタリングできます。
アプリケーションとデータのセキュリティは、IT企業にとって大きな関心事となっています。
セキュリティに不備があると、組織としての信用の低下、顧客離れ、顧客の信頼の喪失、法的処罰や罰金が生じる可能性など、深刻な事態を引き起こすおそれがあります。
セキュリティの目標は、可用性、完全性、秘密性を維持することです。 この目標は、主に認証、権限、監査機能を実装することで達成できます。 秘密性が損なわれると、権限を持たないユーザーがシステムやデータにアクセスできるようになります。 完全性が損なわれると、権限を持たないユーザーがシステムやデータを変更できるようになります。 可用性とは、権限を持つユーザーが必要に応じてシステムやリソースにアクセスできることです。 短時間でもシステムにアクセスできなくなると、収益の損失、顧客の不満、信用の失墜につながりかねません。 また、可用性が損なわれると、サービス拒否(DoS)攻撃やネットワーク侵入などの悪意ある行為により、アプリケーションのダウンタイムや、データにアクセスできなくなるといった事態が発生しやすくなります。
アプリケーションレベルのセキュリティとTLS(Transport Layer Security)の比較
SSL(Secure Socket Layer)は、現在はTLS(Transport Layer Security)といい、ポイントツーポイントのセキュリティを提供できます。 TLSは、データが転送されている間のみセキュリティを確保しますが、常にセキュリティを確保しているわけではありません。 エンドツーエンドのセキュリティを確保するには、アプリケーションレベルのセキュリティが必要です。 アプリケーションレベルのセキュリティによってTLSを補完するためです。
アプリケーションレベルのセキュリティの構成は、そのアプリケーションの構築に使用されるソフトウェアに依存します(たとえば、アプリケーションデータにアクセスするためにXML署名(ユーザーID)を使用するなど)。
Pega Platformのアプリケーションセキュリティのレベル
Pegaのアプリケーションセキュリティは、3つのレベルで設定されています。
- 転送中データ
- 保存データ
- 表示データ
転送中のデータは、ブラウザーベースのセッションではトランスポートレベルの暗号化、コネクターやサービスでは認証プロファイルによって保護されます。
保存データは、データベースベンダー/プロバイダーが提供する暗号化メカニズムによって保護されます。 Pegaは、データベース列ごとの暗号化もサポートしています。Pegaには、高度な暗号化規格を使用したデータ暗号化機能が内蔵されています。
表示データは、役割や属性に基づいてアクセス制御ポリシーを定義することで保護されます。
このトピックは、下記のモジュールにも含まれています。
- 認証スキームの定義 v3