Blue Yonderでは、お客様のデータ保護を徹底しています。そのため、米国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)および国際標準化機構(ISO)の規格に基づいたサイバーセキュリティプログラムおよび関連するセキュリティ実務とポリシーを運用しています。Blue Yonderサイバーセキュリティプログラムのチームは次のとおり構成されています。サイバーセキュリティ啓発、トレーニングと教育、サイバーセキュリティガバナンス、リスクとコンプライアンス、サイバーセキュリティ脅威と脆弱性管理、サイバーセキュリティアーキテクチャとエンジニアリング、サイバーセキュリティ運用。
- セキュリティに関するベストプラクティス
組織のセキュリティ
セキュリティ意識
Blue Yonderでは、全従業員が新たなリスクの認識を含むサイバーセキュリティとデータプライバシーに関する研修を毎年受講することを義務付けています。この研修は、家庭や職場でデータを保護し、情報システムを安全に保つためのベストプラクティスを強化するものです。
アクセス管理
Blue Yonderでは、承認された個人が職務を遂行するために必要なアクセスレベルごとに、どのようにアクセスが許可されるかを管理する正式なプロセスをサポートしています。アクセス権は、役割と必要最小限の原則によって付与されます。当社では、多要素認証の要件、固有のID、強力なパスワードにより、セキュリティーを管理しています。また、アクセス管理プロセスと管理の有効性を継続的に監視しています。
ガバナンスとリスク管理
Blue Yonderは、セキュリティ、プライバシー、コンプライアンス管理について独立した外部機関から検証を受けています。また、サイバーセキュリティのリスク管理に対してリスクベースのアプローチを採用しており、その方法論で計画、緩和、対策をサポートしています。当社の正式なリスク管理プログラムでは、評価を実施し、その影響を理解することで、資産や資源に対する脅威に対処することができます。また、サイバーセキュリティ目標の遵守を確認するために、ベンダーのセキュリティレビューを含む正式なベンダー管理プログラムも実施しています。
データ保護
Blue Yonderは、サイバーセキュリティポリシー、アクセス管理ポリシー、許容使用ポリシー、情報分類標準を維持し、データ保護に関する組織の責任と実践を規定しています。当社は製品開発基準の改善に継続的に注力しており、セキュリティ管理の有効性を定期的に監視しています。その一環として、すべての情報システム資産を棚卸し、追跡し、管理することを実践しています。保存中および転送中のデータを保護するために、さまざまな業界標準の暗号化技術が環境全体で使用されています。
製品/アプリケーションセキュリティ
リスクを最小限に抑えるには、安全なソフトウェア開発が極めて重要です。Blue Yonderではセキュリティに関する最新のベストプラクティスに関するトレーニングセッションを毎年受講することを開発者全員に義務付けています。設計段階では、リスクベースの脅威モデリングを使用してセキュリティ問題の芽を特定します。アプリケーション分析では複数層にわたるテストを実施しており、例えば、内部セキュリティテストはコードレベル(静的分析)とアプリケーションレベル(動的分析)で行われます。内部テストを実施し、外部の侵入テストを管理することで、潜在的な脅威に効果的に対処できます。さらに、構造化されたオープンソーススキャン(OSS)管理プロセスも導入しています。セキュリティのベストプラクティスは、脆弱性を定期的に特定、管理、評価、軽減、および/または修復することを目的としており、開発ライフサイクルに組み込まれています。
脆弱性管理
Blue Yonderは、確立されたポリシーと手順で定義された文書化された頻度に従って、脆弱性スキャンとパッチ適用を実行します。また、脆弱性評価、パッチ管理、脅威保護テクノロジー、スケジュールされた監視手順が、特定されたセキュリティ脅威、ウイルス、その他の悪意のあるコードを特定、評価、軽減、保護するように設計されています。
セキュリティオペレーションセンター(SOC)
Blue Yonderには、ネットワーク、エンドポイント、アプリケーションにおける潜在的なインシデントの検出に適したさまざまな技術的管理機能があります。また、セキュリティイベントへの対応を管理するため、NIST標準に基づいたセキュリティインシデント対応計画を維持しており、少なくとも年に1回はテストされています。さらに、データセンターのロケーションを分け、集中型のセキュリティ情報・イベント管理(SIEM)ソリューションを活用して、(システムファイルやセキュリティファイルなどの)ログを集約・関連付け、環境のセキュリティに対する洞察力を高めています。24時間、年中無休で動作する脅威検知機能により、ログは継続的に監視されています。