データとセキュリティ
Workatoはセキュリティに対して包括的なアプローチを採用しています。 これには、文書化されたポリシーと手順を備え、年次監査で検証される完全なセキュリティプログラム、安全なDevelopmentとテスト、安全でスケーラブルなインフラストラクチャ、ならびにセキュリティを強化し、主要なセキュリティ機能をお客様が制御できるようにする製品内の機能が含まれます。
Workatoのセキュリティプラクティスの概要は、公開されているセキュリティページで確認できます。
ドキュメントのこのセクションでは、セキュリティに関連する主要な製品機能について説明します。
特定の製品機能に関するセキュリティベストプラクティスのガイダンスも提供しています。
アクセスと認証
パスワードポリシーの適用
ユーザーは、自分だけが知っているパスワードを使用してWorkatoにサインインします。 Workatoは、パスワードの長さ、複雑さ、有効期限の基準を適用します。 パスワードはデータベースに保存されません。代わりに、標準的なプラクティスとして、パスワードの安全なハッシュのみがデータベースに保存されます。
パスワード認証を使用するクライアントは、90日ごとにパスワードをローテーションする必要があります。 Workatoは、アカウントをさらに保護するためにパスワードの再利用を禁止しています。
詳細については、セキュリティページの認証セクションを参照してください。
パスワード侵害:即時アクションが必要
パスワードが侵害された疑いがある場合は、直ちにリセットし、セキュリティを強化するために2要素認証を有効にしてください。
セッションタイムアウト
Workatoは、一定時間経過後の自動セッションログアウトをサポートしています。 組織は、セキュリティ要件に応じてタイムアウト期間を設定できます。 デフォルトのセッションタイムアウト期間は7日ですが、組織のセキュリティポリシーに応じて15分から14日までの範囲で設定できます。
ワークスペース管理者 > 設定 > 一般 > セッションタイムアウト期間に移動して、セッションタイムアウト期間を更新できます。
2要素認証
組織は、ユーザーに対して、モバイルアプリを通じて2要素認証(2FA)を使用するようにアカウントを設定することを義務付けることができます。 Workatoは、Google Authenticator、Microsoft Authenticator、Authyをサポートしています。
この機能の有効化と無効化の詳細については、2要素認証を参照してください。
組織の分離
管理者は、チームまたはビジネス機能ごとに個別のワークスペースを設定できます。 各ワークスペースには、コネクション、レシピ、ルックアップ テーブルなど、独自のユーザーとリソースのセットがあります。 ユーザーは、自分が割り当てられたワークスペースのリソースにのみアクセスできます。 たとえば、組織のマーケティングワークスペースで作業しているユーザーは、ITまたは経理ワークスペースのリソースにアクセスできません。
Environmentの分離
Workatoは、Development、テスト、プロダクションを別々のEnvironmentで異なるユーザーが実行する、多段階の開発ライフサイクルをサポートしています。
詳細については、Environmentsを参照してください。
IP許可リスト
IP許可リストは、Workatoとの間のトラフィックを承認済みユーザーに制限するのに役立ちます。 オンプレミスエージェント(OPA)を使用しているお客様は、特定のホスト名とIPアドレスを通じて、承認済みのオンプレミスアプリ、データベース、フォルダにWorkatoが安全にアクセスできるようにします。
詳細については、IP許可リストを参照してください。
TLSおよびHTTP標準
WorkatoのAPI Platform機能は、次のTLSおよびHTTP標準をサポートしています。
- API Platformのエンドポイントは、TLS 1.2および1.3をサポートし、最小でHTTP 1.0以上が必要です。
- API Platformのカスタムドメインエンドポイントは、TLS 1.2および1.3をサポートし、最小でHTTP 1.1以上が必要です。
これらの標準は、セキュリティベストプラクティスに基づいて変更される場合があります。
SAML 2.0認証を使用したSSO
Workatoは、サードパーティのSAML準拠SSOシステムとの統合をサポートしています。 これにより、企業はWorkatoおよびその他のエンタープライズアプリケーションへのアクセスを管理し、カスタム認証スキームとポリシーを適用できます。
Workatoは、GoogleやMicrosoft Office 365など、サードパーティの認証情報を使用したシングルサインオンもサポートしています。
詳細については、シングルサインオンを参照してください。
Just-in-timeプロビジョニング
SAMLベースのSSOプロバイダーを使用しているお客様は、Just-in-timeプロビジョニングを使用してWorkatoユーザーを自動的に作成できます。 これにより、ユーザーアカウントを手動で設定する必要がなくなり、セキュリティポリシーの適用がさらに強化されます。
詳細については、チームコラボレーション - Just in timeプロビジョニングを参照してください。
ユーザープロビジョニングと承認
データ露出のリスクを最小限に抑えるため、Workatoはシステムアクセスをプロビジョニングする際、ロールベースアクセス制御(RBAC)モデルを通じて最小権限の原則に従います。
RBACによるユーザーアクセスの制御
ワークスペース管理者は、ロールベースアクセス制御(RBAC)を使用して、プロジェクト、フォルダ、アセットへのコラボレーターアクセスを管理します。
新しい権限モデルでは、RBACはEnvironmentロールとプロジェクトロールを使用して権限を定義します。
- Environmentロールは、Environment内のプロジェクト、ツール、管理設定へのアクセスを制御します。
- プロジェクトロールは、個々のプロジェクト内で、アセットの作成、編集、デプロイ、削除などのアクションを制御します。
従来の権限モデルを使用しているワークスペースでは、コラボレーターロールがプロジェクトレベルとEnvironmentレベルの両方の権限を制御します。 従来のロールを新しいモデルのプロジェクトロールとEnvironmentロールに変換するには、新しいアクセス制御モデルへの移行ガイドを参照してください。
カスタムロール
システムロールに加えて、Workatoはチーム管理者に、特定のフォルダ、レシピ、コネクションへのアクセス権を持つカスタムロールを設定する機能を提供します。
詳細については、カスタムロールの作成を参照してください。
外部システムへの接続
OAuth 2.0
Workatoのレシピが、ユーザー提供の認証情報を使用してリモートシステムに接続する場合、可能な場合はOAuth 2.0を使用して行われます。 その場合、Workatoシステムに認証情報を保存する必要はありません。 ただし、リモートシステムで認証情報の保存が必要な場合は、256ビットキーを使用して暗号化されます。
Custom OAuth
Custom OAuth profilesを使用すると、レシピビルダーはサポートされているコネクター上にカスタムアプリケーションプロファイルを作成し、それらをWorkatoに接続できます。 これにより、アプリのブランディング、権限スコープ、OAuthプロファイルをより詳細に制御できます。
詳細については、Custom OAuth profilesを参照してください。
データ保護
データ暗号化
Workatoに保存されるすべてのデータは、強力な暗号化アルゴリズム(AES-256)を使用して、転送中および保管時に暗号化されます。 このデータには、レシピ、コネクション、ルックアップ テーブル、ユーザープロファイル、ジョブ履歴、監査ログが含まれます。
ジョブ履歴データは、クラウドプロバイダーが管理するグローバルキーとテナント固有のキーを使用して二重に暗号化されます。
詳細については、暗号化キー管理を参照してください。
データリテンション
Workatoは、システムアクティビティの可視性を提供し、テストとデバッグを容易にし、失敗したトランザクションの再実行を可能にし、長時間実行されるトランザクションをサポートするために、トランザクション関連データを限られた期間保存します。 保持期間はWorkatoプランによって異なり、一部のプランでは設定可能です。
データマスキング
機密データを含むレシピステップを設定する際に、データマスキングを有効化できます。 データマスキングを有効にすると、そのデータはWorkato UIに表示されず、ジョブ履歴データベースや監査ログストリーミングに含まれません。
詳細については、データマスキングを参照してください。
データプライバシー
Workatoには公開されているプライバシーポリシーがあり、収集する個人情報の種類、その情報の取り扱い方法、お客様としてのプライバシー権について詳しく説明しています。
Workatoの従業員は私のレシピデータやジョブ詳細を確認できますか。
いいえ。 エンジニアを含むWorkatoの従業員は、ジョブIDまたはURLが共有された場合でも、レシピのジョブ詳細、データ、実行ログにアクセスできません。
共有されたジョブIDとレシピIDは主に、エラー情報が保存される社内プラットフォームログ内でのトラブルシューティングとデバッグに使用されます。 レシピおよびジョブデータへのアクセスは厳格に制御され、お客様のEnvironment内に留まります。
Workato内のすべてのデータは、転送中および保管時に暗号化されます。 暗号化されたデータにWorkatoスタッフがアクセスすることはできません。
監査ログ
Workatoは、ワークスペース管理者が組織内でのユーザーの重要なアクションの記録を確認できる活動監査ログを保持しています。 このログは外部の宛先にストリーミングでき、より詳細な分析と長期保持が可能になります。
詳細については、監査ログストリーミングを参照してください。
ベストプラクティス
認証
セキュリティを強化するために、次のいずれかの認証方法を実装することをお勧めします。
- 2要素認証(2FA):2FAを有効化して、アカウントに保護レイヤーを追加します。
- SAMLによるシングルサインオン(SSO):SAMLでSSOを適用して、アクセス管理を一元化し、ユーザー体験を向上させます。
パスワード管理
パスワード認証を使用する場合は、多要素認証(MFA)が必要な安全な場所にパスワードを保存してください。
その他のリソース
Workatoプラットフォームに合わせたセキュリティベストプラクティスについては、これらのガイドを参照してください。
Last updated: