ソフトウェア開発のセキュリティガイドライン

組織内のセキュリティを向上させ、リスクを軽減するためには、セキュリティポリシーと手順の作成および施行が不可欠です。これらのポリシーは従業員が従うための指針として機能し、機密情報、システム、および資産を保護するための適切なセキュリティ対策が整備されていることを保証します。Flosumの従業員は定期的にセキュリティ意識に関する研修を受けています。 Flosumは、開発プロジェクトのためのシステム開発ライフサイクル（SDLC）の策定、維持、および参加に責任を負います。システムまたはソフトウェア開発活動に従事するすべての従業員は、FlosumのSDLCに従わなければなりません。Flosumの認証および監査レポートは、要請に応じて入手可能です。 本番システム向けに開発されるすべてのソフトウェアは、SDLC基準に従って開発されなければなりません。最低限、当社のソフトウェア開発計画は、予備分析または実現可能性調査、リスクの特定と軽減、システム分析、一般設計、詳細設計、開発、品質保証および受入テスト、実装、実装後の保守およびレビューの分野を扱います。 この方法論により、ソフトウェアが重要かつ/または機密情報と連携して使用される前に、十分に文書化およびテストされることが保証されます。すべての開発作業は、本番、開発、およびテスト環境を分離して示すものとし、少なくとも開発/テスト環境と本番環境の間に定義された分離が存在する必要があります（例外が認められない限り）。これらの分離により、本番システムの管理およびセキュリティが向上するとともに、前段階の環境ではより大きな柔軟性が確保されます。 これらの環境分離が確立されている場合、開発およびQA/テスト担当者は、それぞれの職務記述により絶対に必要とされる場合を除き、本番システムへのアクセスを許可されません。正式なユーザーアクセス経路以外で開発またはテストに利用されたすべてのアプリケーション／プログラムのアクセス経路は、ソフトウェアを本番に移行する前に削除または無効化されなければなりません。すべてのリリースは、本番インフラを反映したステージング環境でテストされてから、ライブの本番環境にリリースされる必要があります。テスト段階では、ペネトレーションテスト、脆弱性アプリケーションスキャン、アプリケーションコードスキャン、手動レビュー、機能的セキュリティテストなど、さまざまな種類のテストが実施されます。これらのテストはアプリケーションのセキュリティ上の弱点を特定し、展開前に対処できるようにするのに役立ちます。静的コード解析ツール（Fortify）も脆弱性をチェックするために使用できます。 文書は、開始フェーズから実装および継続的な保守フェーズに至るすべての開発段階で保持および更新されなければなりません。さらに、セキュリティに関する考慮事項はすべての段階で記録され、対処される必要があります。情報を作成、管理、使用、または送信するすべてのソフトウェアおよびウェブアプリケーションは、Flosumのソフトウェアエンジニアによってのみ開発および維持されなければなりません。

FedRAMPおよびGovCloudの顧客

顧客がホストするバージョンのFlosum Backup & Archiveでは、Gov Cloudの顧客が自社のプライベートクラウド（DoD/DHA AWS、Google Cloud、Azure）または自社の物理サーバー（仮想Linuxサーバー）にBackup & Archiveをインストールできます。したがって、Flosum Backup & Archive自体がFedRAMP認証を取得する必要はありません。当社のソリューションは政府のAWS環境で動作するように構築されており、現在複数の政府系顧客が自社のプライベートクラウド上でFlosum Backup & Archiveを利用しています。