セキュリティ評価

Optimizely は安全な製品とサービスを提供することに尽力しています。 この取り組みの一環として、脆弱性評価、リスク評価、サードパーティの侵入テストなどのセキュリティ評価を継続的に実行し、Optimizely が提供する製品やサービスに脅威や脆弱性が存在するかどうかを確認します。 この記事の目的は、Optimizely がどのような種類のセキュリティ評価を実施しているか、顧客としてどのような種類のセキュリティ評価を実施できるかを伝え、結果を Optimizely に送信する方法について説明することです。

Optimizelyの取り組み

Optimizely は、Optimizely のすべての製品とサービス内の脆弱性とリスクを特定するために、定期的なセキュリティ評価を実施しています。 すべての発見事項は、Optimizely の脆弱性管理プロセスを通じて評価されます。 この評価は、現実世界のリスクを判断するために重要であり、Optimizely が検出結果の修復戦略に割り当てる優先順位に直接影響します。 Optimizely は、実施するセキュリティ評価の詳細を一切公開せず、代わりに信頼できる第三者が実施した監査を参照して、セキュリティ評価が行われていることを保証いたします。

評価ガイドライン

クラウド顧客

セキュリティ評価が Optimizely 環境の整合性と可用性に影響を及ぼす可能性があるため、実稼働サイトに対して独自のセキュリティ テストを実行する予定がある場合は、テストのかなり前にサポートに連絡してください。 スキャンを実行するテストの日付と時刻を指定します。

オンプレミスのお客様

オンプレミスのお客様は、独自の管理環境内で完全にホストされている Optimizely 製品に対して、あらゆる種類のセキュリティ評価を実施できます。 SDK のお客様は、セキュリティ評価の範囲に Optimizely によってホストされている SDK 部分が含まれていないことを確認する必要があります。

提出プロセス

セキュリティ評価を通じて発見事項が判明した場合は、カスタマー サポート ポータルを通じて Optimizely にその発見事項を伝えることができます。 その後、Optimizely は脆弱性管理プロセスを通じて発見事項を評価し、次のステップを決定します。 これには、バグ修正や製品機能強化リクエストの提出が含まれる場合があり、Optimizely は特定されたリスク レベルに基づいて優先順位を決定します。 

注記

セキュリティ侵入テストは、最新バージョンのコードに対してのみ実行する必要があります。

考慮事項

• Optimizely はさまざまなセキュリティ評価を定期的に実施し、脆弱性管理プロセスに従って特定された問題を解決します。 これにより、重要な製品やサービスに対するセキュリティ評価の実施に関して必要なほとんどの要件が満たされるはずです。
• 特定の検出結果は、必ずしも Optimizely 製品またはサービスに直接関連しているわけではなく、環境内に存在する固有の構成または統合に関連している場合があります。 このような状況では、Optimizely は推奨事項を提供することがありますが、検出結果をどのように修正するかは最終的にユーザーが決定する必要があります。
• 特定の発見のリスクを軽減するためのさまざまな方法は常に存在します。 これには、発見事項が悪用される影響や可能性を軽減するセキュリティ制御の導入が含まれる場合があります。 Optimizely は、常に現実世界のリスクに基づいてセキュリティの検出結果を評価し、リスクを軽減するように設計されたさまざまな修復戦略を推奨しますが、必ずしも検出結果の根本原因を完全に排除するように設計されているわけではありません。