セキュリティ体制
BioStar Airは、Supremaの安全なクラウドベースのモバイル入退室管理ソリューションです。 Supremaのハードウェア、ソフトウェア、ファームウェアのエンジニアリングチームは「設計時のセキュリティ」原則に基づいて作業します。 システムアーキテクチャの全レイヤーおよびすべての通信接点は、プライバシー保護とデータ完全性を維持するように設計されています。
主な対策:
-
BioStar Air管理ポータルおよびデータベースのデータ保護と暗号化
-
BioStar Air APIとクライアント間のデータ送信時の暗号化と保護
-
スマートフォンに保存されたモバイルカードデータの暗号化
-
スマートフォンとリーダー間の通信保護(Suprema Pass)
-
モバイル資格情報の改ざん防止(Suprema Pass)
ISO 27001認証
SupremaはISO 27001認証を取得しており、データ保護管理、セキュリティ統制、および個人情報管理に関する国際基準を満たしています。 2019年8月に取得されたISO 27001準拠は、一般データ保護規則(GDPR)やカリフォルニア消費者プライバシー法(CCPA)などの類似の法律とも整合しています。
エンドツーエンド(End-to-End)セキュリティのための検証済み技術
ポータルアクセスおよびデータ保護
BioStar Air管理ポータルは、AES-256以上の暗号化を使用するAWS Amazon RDS暗号化DBインスタンス上で実行されます。 すべての個人データには追加の暗号化が適用されます。
BioStar Air APIとの暗号化通信
BioStar Air REST APIとのすべての通信はHTTPS経由でTLS 1.2を使用して暗号化され、アクセストークン(デフォルトで1時間有効)が必要です。 AWS API Gatewayはブルートフォース攻撃を防ぐためにAPIリクエストを制限します。
暗号化およびハッシュ処理されたモバイルカードID
モバイルカードID番号はAES-256で暗号化され、サードパーティのサーバーで露出するのを防ぎます。 カードデータには真正性確認のためにデジタル署名が行われます。
モバイル機器に保存されたモバイルカードの安全な保存
Suprema Passのモバイル資格情報および関連データはAES-256で暗号化されます。 暗号化キーはモバイル機器のトラステッド実行環境(TEE)、例えばSecure Enclave(Apple)やTrustZone(ARM)に保存されます。
モバイル機器とリーダー間の安全な通信
Bluetooth Low Energy(BLE)を介した「リプレイ攻撃」を防ぐため、BioStar Airは各接続に対してワンタイム暗号化キーを使用し、送信直後に接続を終了して中間者攻撃(MITM)を防ぎます。
モバイルカード改ざん防止
各Suprema Passのモバイルクレデンシャルは、各BioStar Airサイト固有のPKIベースのデジタル署名で保護されます。 独自の検証プロセスは改ざんや不正な変更の試みを検出します。
脆弱性管理
Supremaの情報セキュリティチームが脆弱性管理を主導し、外部のセキュリティ専門家が支援します。
-
継続的な自動化された脅威スキャン
-
全システムレビューを含む年次ISO 27001更新監査
-
主要リリース前のペネトレーションテストおよびリスク評価
-
パスワード管理、ソーシャルエンジニアリング耐性、および手順遵守のためのチェック
-
すべての脆弱性および修正措置に関する包括的な文書化および報告
リスク評価アプローチ
資産は機密性、完全性、可用性の評価に基づいて分類されます。 脅威が特定され、脆弱性が評価され、リスクは発生可能性と影響に基づいて評価されます。 緩和策はリスクの重大度に応じて優先順位付けされます。
多要素認証(MFA)
多要素認証(MFA)は段階的に実装されています。
-
管理者アカウントに対するメールベースの2FA
-
BioStar Airアプリに対するパスコードベースの2FA
-
90日後に非アクティブな管理者アカウントを自動ロック
-
パスワードの有効期限設定が可能(30、60、90日)
主なセキュリティポリシー
-
送信中データの暗号化: TLS 1.2
-
保存中データの暗号化: AES-256
-
DoS保護: AWS API Gatewayによるリクエスト制限
-
サービス可用性: 99.9% 稼働時間(SLA基準)
-
APIセキュリティ: トークンベース認証、HTTPS専用、厳格なエンドポイント検証
-
ポータルアクセス:グローバル管理向けのクラウドベースのサービスで、プライベートクラウドのオプションは現在開発中です