セキュリティ テスト

Sitecore Content Hub™ または、定評のあるサードパーティ プロバイダーは、業界標準の方法論を使用して、顧客がホストするインスタンスに対してネットワーク セキュリティ侵入テストを実行し、レポートをレビューする必要があります。

ネットワーク セキュリティを確認するには:

• 顧客のインスタンスによって生成されたネットワーク トラフィックが、テナント ポート スキャンとパケット スニッフィングから保護されていることを確認します。

• 少なくとも 6 か月ごとと、システムに大幅な変更が加えられた後に、ネットワーク セキュリティ侵入テストを実行します。ネットワーク セキュリティ侵入テストの結果のエグゼクティブ サマリーをレビューします。

• 少なくとも年に 1 回、外部ネットワーク セキュリティ侵入スキャンを実行し、対応と改善のために、調査結果を Sitecore® に提出します。

Content Hub または、定評のあるサードパーティ プロバイダーは、業界標準の方法論を使用して、アプリケーション セキュリティ侵入テストを実行し、レポートをレビューする必要があります。

アプリケーション セキュリティを確認するには:

• 少なくとも年に 1 回、またはシステムに大幅な変更が加えられた後に、アプリケーション セキュリティ侵入テストを実行します。エグゼクティブ サマリーと詳細レポートをレビューします。Sitecore Content Hub は、アプリケーションのソフトウェア品質保証とソフトウェア開発ライフサイクルに関するドキュメントを提供します。

• アプリケーション セキュリティ侵入評価を毎年実行し、対応と改善のために、調査結果を Sitecore に提出します。

サードパーティ アプリケーションの相互運用性は、Content Hub によってホストされるデータに対して API を使用して操作を加えるアクセサリー ホスト アプリケーションとして定義されます。

サードパーティ セキュリティ テストに関して、Content Hub は次のことを行います。

• スーパーユーザーが、OAuth またはその他の API アクセスがアプリケーションごと、ユーザーごとに許可されるかどうかを制御し、API を介してアクセスされるコンテンツの種類を制限することを許可します。

• スーパーユーザーが、サードパーティ アプリケーションに対して時間制約のあるアクセス制御基準を作成するできるようにします。サードパーティ アプリケーションによって実行されるアクションはすべて、ログに記録されます。ログには、標準のログ データ要件に加えて、アプリケーションの識別子と、アプリケーションが承認されたユーザー コンテキストが含まれます。

データの損失を防ぐために、Content Hub は次のことを行います。

• アプリケーションが自身以外の送信元 IP または MAC アドレスでトラフィックを送信することを許可しないファイアウォールを使用します。

• PaaS/IaaS のボリュームレベルの暗号化をサポートして、スナップショットのクローン作成からデータを保護する、または各コンテンツを保護します。

• リクエストを IP によってフィルタリングする機能を提供し、顧客が信頼できるネットワークのみにトラフィックを制限できるようにします。

• データベースおよびファイル アクティビティのモニタリング、トラフィックおよび使用状況のベースライン化、定義されたしきい値またはプロバイダーが決定したベースラインを超えるトラフィック急増のアラートなど、堅牢なデータ損失防止メカニズムを備えています。

Content Hub クラウド サービス プラットフォームは、ユーザー認証、資格情報、データ転送にトランスポート層セキュリティ (TLS) を使用します。Secure Sockets Layer (SSL) v3 は無効です。