セキュリティおよび信頼性
Workdayを支える信頼性の基盤
Workdayは,信頼を得るための取り組みを組織の隅々にまで浸透させています。データの安全性とプライバシーを確保するために,業界をリードする保護手段をデプロイし,常にシステムを監視しています。最も機密性の高いデ,タをクラウドで常時保護しているので,安心してご利用いただけます。
※本ペ,ジ内に英語リンクが含まれている場合がございますので,予めご了承ください。
セキュリティ
Workdayは,お客様のデ,タのセキュリティ確保を最優先に考えています。お客様のデータ,アプリケーション,インフラストラクチャを安全に保つために,組織,アーキテクチャ,業務の各レベルで厳格なセキュリティ対策を実施しています。
組織のセキュリティ
セキュリティは,Workday社員にとって基本中の基本です。当社の一員になったその瞬間から全員が例外なく,セキュリティ,プライバシー,コンプライアンスの研修を受けます。社員全員が,それぞれの役割に応じた責任を持ってセキュリティに取り組んでいます。
セキュリティへの真摯な取り組みは,エグゼクティブも同じです。社内各部門のエグゼクティブをメンバーとする工作日セキュリティ協議会を設置して,セキュリティプログラムを策定したり各部門のエグゼクティブ間の意識をすり合わせたりするほか,セキュリティの認識や取り組みを社内に浸透させるよう徹底しています。
ア,キテクチャのセキュリティ
処理と管理の分担
デ,タを管理するのはお客様であり,Workday,はあくまでデ,タの処理に徹します。お客様は,工作日のサービスに取り込むデータを全面的に管理できることに加えて,セットアップと各種設定もすべて自社の裁量で選択できます。デ,タはお客様が管理し,Workdayはそれを処理しているだけです。以下のような日常的なタスクを実行する際には,当社に依頼する必要はありません。
- セキュリティ権限の割り当て,ロ,ルの調整
- レポ,トやワ,クレットの新規作成
- ビジネスプロセスフロ,アラ,ト,ル,ルなどの設定
- Workdayユティリティや現行ルとの新たなンテグレション
- 組織構造の変更や新規作成
- すべてのビジネストランザクションのモニタリング
- すべての履歴デ,タおよび設定変更の確認
デ,タの暗号化
Workdayは,デ,タベ,スに格納する前にお客様デ,タの全属性をすべて暗号化します。これは工作日テクノロジ,の根幹をなす設計上の特徴となっています。工作日はディスクベースのRDBMSアプリケーションではなく,インメモリのオブジェクト指向アプリケーションであるため,最高水準の暗号化を実現できます。工作日では米国の新暗号規格である鍵長256ビットのAES(高级加密标准)アルゴリズムを採用し,お客様ごとに独自の暗号キーを適用しています。
インターネット経由で工作日にアクセスする場合,通信はTLS(传输层安全)によって保護されるため,メッセージの受動的な傍受や意図的改ざん,もしくはメッセージ偽造から,ネットワークトラフィックを守ることができます。ファイルベースのインテグレーションは,PGP(工作日によって生成される公開鍵と秘密鍵)とユーザーが生成した証明書を使って暗号化できます。Webサービスと工作日APIを統合する場合はws - securityも使用できます。
論理的セキュリティ
工作日のセキュリティアクセスはロールベースで,LDAP委譲認証,シングルサインオン機能のためのSAML,およびユーザー管理とWebサービスの統合のためのx509証明書認証にも対応しています。
シングルサ▪▪ンオンのサポ▪▪ト
SAMLを使うと,お客様の社内网络ポータルと工作日の間でシームレスなシングルサインオンが可能になります。社内のユーザー名とパスワードを使って社内网络ポータルにログインすると,工作日へのリンクが表示されます。これにより工作日へのアクセス権限が自動的に付与されるため,再度ログインする必要がありません。工作日はOpenID连接にも対応しています。
Workdayへのネaapl . exeティブログaapl . exeン
社内ポータル用のユーザー名とパスワードを使用せず,ネイティブログインつまり直接工作日にログインした場合,工作日はパスワードのみ通常のプレーンテキスト形式ではなくハッシュ形式で保存します。成功したログ▪▪▪ン/ログアウトの履歴だけでなく,失敗したログ▪▪ンの履歴も監査情報として記録されます。アクティブでないユーザーのセッションは,指定の時間が経過した後にタイムアウトとなり自動的に切断されます。切断までの時間をユ,ザ,ごとに設定することもできます。
またパスワードの長さ,複雑さ,有効期限,パスワードを忘れた場合の質問といったパスワードルールの設定も可能です。
多要素認証
Workdayでは,お客様に多要素認証(MFA)をお使いいただくことをお勧めしています。お客様は,タイムベースワンタイムパスワード(你觉得)アルゴリズムを採用しているMFAプロバイダをご自由に選択できます。この設定を行うと,お客様は工作日へのネイティブログインとMFAプロバイダを簡単に組み合わせることができます。工作日ではさらにEメールからSMSへのゲートウェイを介してエンドユーザーにワンタイムパスワードを配信することが可能です。追加のメカニズムとして,ユ,ザ,本人であるか証明するための確認用の質問にも対応しています。
ステップアップ認証
認証タイプとしてSAMLをお使いのお客様は,ログオフされず放置された場合や,同一の端末から複数のユーザーが工作日にアクセスする場合の不正アクセスを防止することができます。防止するには,Workday内の重要なア,emcテムを指定するだけです。これにより,こうした重要なアイテムにアクセスする場合,ユーザーに第2の認証要素を義務付けることが可能になります。
業務のセキュリティ
物理的セキュリティ
工作日アプリケーションは,完全な冗長化を施したサブシステムとコンパートメント化されたセキュリティゾーンを備えた,ミッションクリティカルなシステムの保護を念頭に設計された最先端のデータセンターに置かれています。さらにデ,タセンタ,には,たとえば次のような極めて厳重な物理的対策が施されています。
- サ,バ,エリアへの立,入りには,複数の認証が必要
- クリティカルエリアへの立入りには,2種類の生体認証が必要
- 内部·外部の重要な出入口には監視カメラシステムを配置
- セキュリティ担当者による24時間365日体制の監視
デ,タセンタ,への出入りは,すべて厳重に制限され,厳しく規制されています。
ネットワ,クのセキュリティ
当社は,工作日環境の総合的な品質とインテグリティを確保するための詳細な運用ポリシー,手順,プロセスを策定しています。さらに,境界防御システムやネットワーク侵入防止システム(IPS)といった積極的なセキュリティ保護対策も実施しています。
ネットワークIPSは,お客様の環境内の重要なネットワークセグメントをモニタリングして異常なネットワークパターンを検出できるほか,階層やサービス間のトラフィックのモニタリングも可能です。また,セキュリティオペレーションセンターが24時間365日体制で全世界に対応しています。
アプリケ,ションのセキュリティ
工作日は,工作日アプリケーションのセキュリティを確実に維持するために,セキュアなソフトウェア開発ライフサイクル软件开发生命周期(SDLC:)を全社的に導入しています。
SDLCプログラムでは,工作日の各機能について詳細なセキュリティリスク評価とレビューを行います。さらに,開発ライフサイクルにエンタープライズレベルのセキュリティを組み込むためにソースコードの静的/動的解析も実施します。工作日では開発プロセスをさらに強化すべく,開発者を対象としたアプリケーションセキュリティ研修やアプリケーションのペネトレーションテストを実施しています。
脆弱性の評価
工作日は,内部/外部ネットワーク,システム,アプリケーションの脆弱性に関する独立評価を第三者の専門企業に依頼しています。
アプリケ,ション
工作日はWeb /モバイルアプリケーションのメジャーリリースの前に,アプリケーションレベルのセキュリティ脆弱性評価を第三者の大手セキュリティ企業に依頼しています。この脆弱性評価では,Webアプリケーションの一般的または複雑なセキュリティ脆弱性を洗い出すためのテストを実施します。これにより,以下の項目をはじめとするさまざまな脆弱性を検知しています。
- Flash, Flex, AJAX, ActionScriptに関連したセキュリティの弱点
- クロスサ屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏屏
- 不適切な入力処理(クロスサイトスクリプティング,SQLインジェクション,XMLインジェクション,クロスサイトフラッシングなど)
- Xml / soap攻撃
- 貧弱なセッション管理
- デ,タバリデ,ションの欠陥,デ,タモデル制約の矛盾
- 不十分な認証または認可
- HTTPレスポンス分割
- Ssl / tlsの誤用
- 安全でないHTTPメソッドの使用
- 暗号化の誤用
ネットワ,ク
外部の脆弱性評価では,インターネットに接続しているアセット(ファイアウォール,ルーター,Webサーバーなど)を1つ残らずスキャンし,ネットワークへの不正アクセスを許しかねない潜在的な脆弱性を洗い出します。さらにネットワークとシステムについて,認証を受けた脆弱性診断を社内で実施することで,システムのセキュリティポリシー全般に関する潜在的な弱点や矛盾点を洗い出しています。
プラバシ
デタプラバシに関する規制は複雑で,国によって異なり,厳しい要件が課せられます。企業が人財管理や財務などのアプリケーションを選ぶ際は,そのアプリケーションが自社のデータ保護義務を遵守できるか,自社データのプライバシーを守れるかを考慮しなければなりません。工作日なら,先進のプライバシー保護機能を利用できるだけでなく,プライバシーに関する義務を履行するための取り組みを実施できます。
さらに,御社に課されたプライバシーおよびコンプライアンスの要件を理解し検証するために必要な資料と情報もご利用いただけます。また,お客様のコンプライアンスの取り組みを推進するための工作日のサポートについての詳しい情報もございます。
厳格なプラ▪▪バシ▪▪プログラム
工作日のプライバシープログラムは,お客様のデータへのアクセス,利用,開示,移転について定めた厳格なポリシーおよび手順を土台にしています。契約上の合意またはお客様からの指示がない限り,工作日社員がお客様のデータにアクセスしたり,それらのデータを利用,開示,または移転したりすることはありません。これは,当社のプラバシプログラムの根幹をなすルルです。
デ,タ保護に関わる問題や国際法は絶え間なく変更され,ますます複雑化しています。そうした中,工作日の企業文化に根付き,サービスに組み込まれたプライバシープログラムが重要なものであることを工作日は考えています。これは,当社が設計時にプライバシーを考慮するというプライバシーバイデザインの理念を掲げ,お客様のデータのプライバシーおよび保護を保証していることからご理解いただけると思います。
工作日では,プライバシー,倫理,コンプライアンスを管轄するチームを設け,チーフプライバシーオフィサーの指揮の下でプライバシープログラムの管理とその有効性の監視を行っています。このチ,ムの責任範囲は以下のとおりです。
- 工作日社員または工作日の委託を受けたパートナーが扱う個人データのプライバシー保護を目的とした社内のプライバシーポリシー,手順,ツールを作成,管理,更新する
- お客様に表明しているプライバシーポリシー(第三者による監査を毎年実施)が遵守されているかどうか監視する
- お客様,パトナ,社員に対して表明しているプラバシの取り組みが実施されていることを確認する
- Workdayの認定および規制遵守義務を管理する
- 工作日社員に対してプライバシープログラム研修を実施するとともに,世界各地のデータプライバシー関連法が改正されていないか常に確認し,必要に応じて当社のプライバシープログラムの更新および修正を行う
プラバシとデタを保護するためには,1日も警戒を緩めることはできません。Workdayは,お客様と社員の個人デ,タを保護することに真摯に取り組んでいます。Workdayがプラaapl . exeバシ. aapl . exeこら(英語)ご確認ください。
お客様の情報の管理体制および保護体制にいては,Workdayのプラaapl .バシ.ポリシ.をご確認ください。
プラ▪▪バシ▪バ▪▪デザ▪▪ン
工作日では,サービスの初期設計からリリースに至るまでの工程全体にプライバシープログラムを組み込んでいます。このプライバシープログラムはプライバシーバイデザインの理念に基づくもので,製品の開発やサービスの運営を行う際の指針となっています。
デ,タの透明性
Workdayは,お客様のデ,タを保存および処理している地域の情報を公開しています。
グロバルプラバシ
グロバルデタプラバシ
工作日と当社のお客様においては,プライバシーに関する複雑な国際的な法令を遵守しなければなりません。Workdayは,もとより国際的なプラ。包括的なグローバルデータ保護プログラムは,お客様データへの不正なアクセス,利用,開示を防御するよう設計されており,技術面および管理面でのセーフガードとなるものです。Workdayは今後も、グロ、バルのプラ、バシ、標準への取り組みをお約束いたします。そのことは,プライバシーシールド(隐私保护),拘束的企業準則(BCR)の策定,アジア太平洋経済協力会議のプロセッサー向けプライバシー識別(APEC PRP)などに対する熱心な取り組みからもお分かりいただけるはずです。そして,当社のアプリケーションは,設定の微調整ができるように設計されており,各国特有の法律に準拠できます。
Euのデタプラバシ
2018年5月25日の一般データ保護規則(GDPR)の施行により,ヨーロッパのデータプライバシーを取り巻く環境は大きく変化しました。GDPRにより、欧州各国でばらばらだったデ、タ保護法が1に統一されたのです。Workdayでは,GDPRに準拠したかたでお客様の個人デタを処理いたします。
工作日の厳格なプライバシーとセキュリティの施策がどのようにGDPRを準拠するのかについて,以下いくつかをご紹介します。
- セキュリティおよびプラバシの施策に関する定期的なロルベスの社員研修
- 十分に開発されたプロセスによるプラ▪▪バシ▪▪影響評価の把握
- 欧州経済領域外に個人データを適法に移転するためのデータ移転メカニズムの提供(工作日のBCRなど)
- 処理実施の記録の保持
- お客様にて設定可能なプラ▪▪バシ▪▪およびコンプラ▪▪アンス機能の提供
工作日のサ,ビスは,プラ▪▪バシ▪バ▪▪デザ▪▪ンとプラ▪▪バシ▪▪バ▪▪デフォルトの理念に基づいて設計されています。今後も欧州監督当局によるガイドラインが更新されていないか常に確認し,コンプライアンスプログラムを常に最新のものに更新いたします。
当社がデ,タ処理者としてGDPRを遵守することだけが重要なのではありません。工作日サービスを通してお客様の社内コンプライアンス要件を満たせるようにサポートすることも同様に重要であると認識しています。だからこそWorkdayは,GDPRの義務を履行できるように支援するルを提供しています。WorkdayがGDPRの義務の履行をどのように支援しているかをご確認ください。
デ,タ移転メカニズム
Workdayは,お客様に多種多様なデ,タ移転メカニズムを提供します。工作日の契約には欧州委員会の標準契約条項 (SCC) が含まれているため、個人データを欧州経済領域 (EEA) から米国に移転することが可能です。さらに Workday は追加の移転メカニズムとして、お客様にプロセッサー拘束的企業準則 (BCR) を提供します。WorkdayのBCRにいては,こらでご確認いただけます。
その他のコンプラ@ @アンスコミットメント
米国商務省がプライバシーシールド認定手続きを開始した初日に,工作日はその登録を行いました。当社がプライバシーおよびお客様のデータ保護に対して積極的かつ継続的に取り組んでいる証が,ここにあります。プラバシシルドは、データ移転の有効な枠組みではなくなりましたが、Workday は「プライバシー シールドの原則」に引き続き遵守しているとして、米国商務省から認証を受けています。プライバシー シールドへの準拠については企業による自己認証も可能ですが、Workday は TRUSTe を第三者検証機関として使用することで、Workday のコンプライアンスに対する高い意識を実証しています。プラバシシルドに対する当社のTRUSTeタスをご確認ください。
工作日は,欧盟クラウド行動規範(CCoC:クラウドサービスプロバイダ(CSP)がGDPRへの準拠を示すための要件)への準拠を宣言した初のクラウドサービスプロバイダになりました。年次評価は独立した監視機関によって行われます。WorkdayのCCoCの準拠にいて確認する。
工作日は,アジア太平洋経済協力会議の越境プライバシールール(亚太经合组织《跨境隐私规则体系》)およびプロセッサー向けプライバシー識別(APEC PRP)の両方の認証を取得しています。亚太经合组织の認証は,それぞれデータ管理者とデータ処理者向けに策定された自発的なプライバシー基準であり,亚太经合组织加盟国間のデータ移転を円滑にすることを目的としています。これらの認証は,アジア太平洋地域全体においてプラ。
工作日は2014年3月にいち早く亚太经合组织《跨境隐私规则体系》の認証を取得し,APEC PRPについては2018年9月に認証企業の第1号となりました。工作日は,米国のAPEC認証機関(アカウンタビリティエージェント)であるTRUSTeから第三者認証を受けています。
コンプラ@ @アンス
今日のテクノロジーリーダーは,ますます複雑になるセキュリティの脅威にさらされながらも,顧客データ,社員データ,知的財産の安全確保と保護に取り組まなければなりません。また,データのプライバシーおよび個人データの移転に関するものを含め,企業としてすべての適用法を遵守する責任があります。それは、デ、タの保存と処理をサ、ビスプロバ、ダに委託している場合も同様です。
工作日は,お客様のデータの安全性と完全性の確保,セキュリティ上の脅威からの保護,データ流出の防止,お客様のデータへの不正アクセスの防止を目的とした,正式かつ包括的なセキュリティプログラムを整備しています。工作日のセキュリティプログラムについては,第三者機関による監査報告書および国際認証に詳細が記載されています。
お客様の組織のコンプライアンス要件を満たせることを把握および確認していただくために,コンプライアンス部門および法務部門向けの情報として,当社のコンプライアンスに関する情報を以下に整理いたしました。
第三者による監査と認証
SOC 1
服务组织控制(SOC 1)レポートには,お客様の財務報告の内部統制に影響を及ぼす可能性のある,業務受託会社の統制環境に係る情報が記載されています。
SOC 2
工作日のSOC 2 II型レポートは,第三者によって実施された当社の統制環境に係る独立評価です。
SOC 3
米国公認会計士協会(AICPA)が策定した服务组织控制(SOC 3)フレームワークは,クラウドで保存および処理される情報の機密保持とプライバシー保護を対象としたものです。
ISO 27001
ISO 27001は,国際基準として認められたセキュリティに対する規格ベースのアプローチで,組織の情報セキュリティマネジメントシステム(主义)に必要な要件の概要を示すものです。
ISO 27017
2015年に公開されたiso 27017は,iso 27001の補完的な規格です。
ISO 27018
2014年に公開されたiso 27018は,iso 27001の補完的な規格です。
ISO 27701
2019年に公開されたiso 27701は,iso 27001の補完的な規格です。
PCI DSS
WorkdayはPCI DSSに準拠しています。対象範囲は,マスクされていないカード保有者データを規定のインテグレーションを通じて保存,処理,転送する隔離環境である工作环境安全的信用卡です。
HIPAA
工作日は,工作日エンタープライズクラウドアプリケーションについて“医療保険の相互運用性と説明責任に関する法律”(HIPAA)の第三者認証を受けています。この認証は,個々の医療情報および個人情報の保存,アクセス,共有に関して適切な対策を定めたHIPAA準拠プログラムが,工作日で実施されていることを保証するものです。
Nist CSFとNist 800-171
NISTサイバーセキュリティフレームワーク(CSF)はサイバーセキュリティリスクの防止,検知,対応の能力を向上する方法について組織に指針を提供します。NIST 800 - 171基準は,連邦政府外のシステムおよび組織に存在する,管理された非格付け情報の保護に関するものです。
G-Cloud
G-Cloudフレムワクは,英国政府とクラウドサビスプロバダ間の協定です。
Csa星自己評価
クラウドセキュリティアライアンス(CSA)の安全、信任和保证注册(STAR)自己評価は,セキュリティのリスクと統制に関する最新の情報を1つの業界標準質問票(CSA明星CAIQ)に統合したものです。
プラバシシルド
工作日はプラaapl / aapl / aapl / aapl / aapl / aapl / aapl。工作日はプライバシーシールドに対する第三者検証機関としてTRUSTeを利用しています。
Euクラウド行動規範
欧盟クラウド行動規範(CCoC)はクラウドサービスプロバイダ(CSP)がGDPRへの準拠を示すための一連の要件です。
TRUSTe企業プラバシおよびデタガバナンス認証
工作日はTRUSTe企業プライバシーおよびデータガバナンスプラクティスプログラムに参加しています。
Sig質問票
标准化的信息收集(SIG)質問票は,情報テクノロジーやデータセキュリティのさまざまな統制領域にわたる質問事項を業界標準の質問票として1つにまとめたものです。
网络生活必需品
网络要素はサイバーセキュリティの脅威から企業を保護するために英国政府が支援するスキームで,技術的な統制事項の基準が規定されています。