# セキュリティ
Workato では、セキュリティに対して包括的な手法が定められています。これには、ドキュメント化されたポリシーと手順に従ったセキュリティに対する総合的な取り組み、それらのポリシーや手順の年次監査による検証、安全な開発とテスト、安全で拡張性のあるインフラストラクチャ、セキュリティを強化し、お客様が主要なセキュリティ機能を管理できる製品機能の作り込みなどが含まれます。
Workato で実践されているセキュリティの取り組みの概要は、セキュリティに関するページ (opens new window)に公開されています。
ドキュメントのこのセクションでは、セキュリティに関連する主な製品機能について取り上げます。
Workato では、特定の製品機能について、セキュリティのベストプラクティスに関する指針も定められています。
# アクセスと認証
# パスワードポリシーの徹底
ユーザーは、本人しか知らないパスワードで Workato にログインします。Workato ではパスワードの文字数、複雑さ、有効期限に関する基準を徹底しています。基本的手順として、パスワード自体は保存せず、代わりにパスワードの安全なハッシュをデータベースに保存します。詳細は、セキュリティに関するページ (opens new window)の認証のセクションをご覧ください。
# セッションのタイムアウト
Workato では、一定時間が経過するとセッションを自動的にログアウトする機能を使用できます。組織は、セキュリティの必要性に応じて、タイムアウトまでの時間を設定できます。ユーザーは、ユーザーアイコン > [Account settings] > アカウント > [Session timeout duration] に移動して、タイムアウトまでの時間を変更できます。
# 2要素認証
組織は、ユーザーがモバイルアプリを介した2要素認証を使用するように、各自のアカウントを設定するように要求できます。Workato は Google 認証システム、Microsoft Authenticator、Authy に対応しています。 この機能の有効化 / 無効化に関する詳細は、2 要素認証のページをご覧ください。
# 組織の分離
管理者は、チームまたは職務ごとに独立したワークスペースを設定できます。各ワークスペースには、コネクション、レシピ、Lookup table など一連の固有ユーザーおよびリソースが割り当てられます。ユーザーは、自分が割り当てられたワークスペースのリソースにしかアクセスできません。たとえば、ある組織のマーケティングのワークスペースで作業するユーザーは、IT や経理のワークスペースのリソースにはアクセスできません。
# 環境の分離
Workato は、開発、テスト、実際の運用が互いに独立した環境下で異なるユーザーによって実行される、複数のフェーズからなる開発ライフサイクルに対応しています。詳細は、レシピのライフサイクル管理 (opens new window)のページをご覧ください。
# IP のホワイトリスト
IP のホワイトリストを使用すると、Workato との間のトラフィックを、権限を与えられたユーザーによるものに限定できます。オンプレミスエージェント (OPA) を使用すれば、Workato が、許可されたオンプレミスアプリとフォルダーに特定のホスト名と IP アドレスを使用して安全にアクセスできるように設定できます。 詳細は、IP のホワイトリストのページをご覧ください。
# SAML2.0認証によるシングルサインオン (SSO)
Workato は、サードパーティ製の SAML 互換 SSO システムとの統合に対応しています。これによって、企業は Workato に加え、他の企業アプリケーションに対するアクセスも管理し、カスタマイズされた認証スキームとポリシーを適用できます。
Google や Microsoft Office 365をはじめとするサードパーティの資格情報を使用したシングルサインオンにも対応しています。詳細は、シングルサインオンのページをご覧ください。
# ジャストインタイムプロビジョニング
SAML ベースの SSO プロバイダをご利用のお客様は、Workato ユーザーを自動的に作成する、ジャストインタイムプロビジョニングを使用できます。この機能を使用すると、ユーザーアカウントを手動で設定する必要性がなくなり、セキュリティポリシーをより強力に徹底できます。詳細は、チームコラボレーション - ジャストインタイムプロビジョニングのページをご覧ください。
# ユーザーのプロビジョニングと許可
データの露呈のリスクを最小限に抑えるために、Workato は システムのアクセス権をプロビジョニングする際、RBAC (ロールベースのアクセス管理) モデルを使用した最小権限の原則に従っています。
# RBAC によるユーザーアクセス権の管理
チーム管理者は、ロールベースのアクセス管理 (RBAC) を使用して、コラボレータに対してプロジェクトやフォルダーを割り当てるとともに、アセットに対する閲覧、編集、作成、削除の権限を付与します。Workato には、Admin、Operator、Analyst というシステムロールがあらかじめ設定されています。各ロールにより、ユーザーにはそれぞれの役割の範囲内の作業を実行するために必要な権限が付与されます。詳細は、ロールベースのアクセス管理のページをご覧ください。
# カスタムロール
システムロールに加えて、チーム管理者は特定のフォルダー、レシピ、コネクションへのアクセス権を備えたカスタムロールを設定できます。詳細は、カスタムロールのページをご覧ください。
# 外部システムへの接続
# OAuth2
Workato のレシピが、ユーザー提供の資格情報を使用するリモートシステムに接続する場合、可能であれば OAuth2 を使用します。その場合、Workato システムに資格情報を保存する必要がありません。しかし、資格情報の保存が必要なリモートシステムの場合、256ビットのキーにより暗号化して保存されます。
# カスタム OAuth
OAuth のカスタムプロファイルを使用すると、レシピの作成者は、サポート対象のコネクターに対してカスタムのアプリケーションプロファイルを作成したうえで、それらを Workato に接続できます。これによって、アプリのブランド化、権限の範囲設定、OAuth プロファイルに対する管理能力が強化されます。詳細は、OAuth のカスタムプロファイルのページをご覧ください。
# データ保護
# データの暗号化
Workato システムに保存されるデータは、すべて強力な暗号化アルゴリズム (AES-256) によって暗号化されます。データとは、レシピ、コネクション、Lookup table、ユーザープロファイル、ジョブレポート、監査ログなどです。 ジョブレポートのデータは、弊社のクラウドプロバイダとテナント固有キーによって管理されるグローバルキーによって二重に暗号化されます。詳細は、キーの管理のページをご覧ください。
# データ保持
Workato はトランザクション関連のデータを一定期間、保存します。このデータによりシステムアクティビティに対する可視性の確保、テストやデバッグの容易化、失敗したトランザクションの再実行、長時間実行のトランザクションへの対応が可能となります。保持期間は、Workato のプランによって異なり、一部のプランでは設定が可能です。
# データのマスキング
機密データを含むレシピステップを設定する場合、レシピ作成者はデータをマスクするオプションを選択できます。このオプションを有効にすると、データが Workato の UI に表示されなくなり、ジョブレポートのデータベースにも保存されません。 詳細は、データのマスキングのページをご覧ください。
# データのプライバシー
Workato は、弊社が収集する個人情報の種類、それらの情報の取り扱い、お客様のプライバシーに関する権利の詳細を定めたプライバシーポリシー (opens new window)を公開しています。
# 監査ログ
Workato はアクティビティ監査ログを継続的に記録しています。このログにより、チーム管理者は、ユーザーによる組織内での顕著なアクティビティの記録を確認できます。より詳細な分析や長期保存のために、ログを外部にストリーミングすることも可能です。詳細は、監査ログのストリーミングのページをご覧ください。
# ベストプラクティス
Workato プラットフォームを使用する際のセキュリティ関連ベストプラクティスを、以下のドキュメントにまとめています。
Last updated: 2024/2/13 16:59:53