セキュリティFAQ
よくあるセキュリティに関する質問への回答を確認できます。
Workatoのセキュリティに対するアプローチ
Workatoは、文書化されたポリシーと手順を含む完全なセキュリティプログラム、年次監査による検証、安全なDevelopmentとテスト、安全でスケーラブルなインフラストラクチャ、およびセキュリティを強化する製品機能を含む、セキュリティへの包括的なアプローチを採用しています。
Workatoのセキュリティプラクティスの概要はどこで確認できますか
Workatoセキュリティ概要ページでは、Workatoのセキュリティプラクティスの概要を確認できます。
Workatoのアクセスおよび認証に関連する主な機能は何ですか
Workatoは次のアクセスおよび認証機能を提供しています:
Workatoはパスワードポリシーをどのように適用しますか
Workatoは、ユーザーアカウントに対してパスワードの長さ、複雑さ、および有効期限の基準を適用します。 Workatoはパスワードを保存せず、データベースにはパスワードの安全なハッシュのみを保存します。
パスワード認証を使用するクライアントは、90日ごとにパスワードをローテーションする必要があります。 Workatoは、アカウントをさらに保護するためにパスワードの再利用を禁止しています。
組織はWorkatoでセッションタイムアウトをどのように設定できますか
組織は、セキュリティニーズに応じてセッションタイムアウト期間を設定できます。 デフォルトのセッションタイムアウト期間は7日ですが、組織のセキュリティポリシーに応じて15分から14日までの範囲で設定できます。
ユーザーはワークスペース管理者>設定>一般>セッションタイムアウト期間に移動して、タイムアウト期間を更新できます。
Workatoではどの2要素認証オプションがサポートされていますか
Workatoは次の2要素認証モバイルアプリをサポートしています:
- Google Authenticator
- Microsoft Authenticator
- Authy
Workatoはプラットフォーム内で組織の分離をどのように確保していますか
管理者は、チームや業務機能ごとに個別のワークスペースを設定できます。 これにより、ユーザーは割り当てられたワークスペースのリソースにのみアクセスできます。
Workatoにおける"Environmentの分離"とは何ですか
Workatoは多段階のDevelopmentライフサイクルをサポートしており、Development、テスト、およびプロダクションのアクティビティを個別のEnvironmentで、異なるユーザーによって実行できます。 Environments機能は、特定の料金プランの顧客が利用できます。
Workatoはどのシングルサインオン(SSO)オプションをサポートしていますか
Workatoは、サードパーティのSAML準拠SSOシステムとの連携をサポートし、サードパーティの認証情報を使用したシングルサインオンを提供します。 SSOオプションの完全なリストについては、SSOドキュメントを参照してください。
Workatoはデータ露出を最小限に抑えるために、ユーザープロビジョニングと認可をどのように処理しますか
Workatoは、システムアクセスをプロビジョニングする際、ロールベースのアクセス制御(RBAC)モデルを通じて最小権限の原則に従います。
ワークスペース管理者は、コラボレーターの責任に基づいてEnvironmentロールおよびプロジェクトロールを割り当て、RBACを使用してアクセスを管理します。 また、カスタムロールを作成して、特定の機能、プロジェクト、フォルダ、およびツールへのアクセスを詳細なレベルで制御できます。
Workatoは外部システムへのコネクションをどのように安全に処理しますか
外部システムに接続する際、Workatoは可能な限りOAuth 2.0を使用します。 認証情報を保存する必要がある場合は、256ビットキーを使用して暗号化されます。 より細かく制御するために、Custom OAuth profilesを作成できます。
Workato内のデータはどのように保護されますか
Workatoに保存されているすべてのデータは、強力な暗号化アルゴリズム(AES-256)を使用して転送中および保存時に暗号化されます。 機密情報を保護するために、データリテンション、データマスキング、およびデータプライバシー対策が実施されています。
Workatoは、Workatoプランに基づいてトランザクション関連データを一定期間保存し、システムアクティビティの可視性、テスト、デバッグ、および長時間実行トランザクションのサポートを可能にします。
Workatoの従業員は私のレシピデータやジョブ詳細を確認できますか。
いいえ。 エンジニアを含むWorkatoの従業員は、ジョブIDまたはURLが共有された場合でも、レシピのジョブ詳細、データ、実行ログにアクセスできません。
共有されたジョブIDとレシピIDは主に、エラー情報が保存される社内プラットフォームログ内でのトラブルシューティングとデバッグに使用されます。 レシピおよびジョブデータへのアクセスは厳格に制御され、お客様のEnvironment内に留まります。
Workato内のすべてのデータは、転送中および保管時に暗号化されます。 暗号化されたデータにWorkatoスタッフがアクセスすることはできません。
Workatoでは暗号化キー管理はどのように処理されますか
Workatoは、アクセスと露出を制限するために、異なるレベルのキーを持つ暗号化キー管理用の階層型キーモデルを使用します。 Customer Main Key(CMK)は階層の最上位にあります。
Workatoの暗号化キーはサードパーティサービスを使用して管理できますか
Workatoは、ユーザーが外部キー管理サービスを利用してワークスペースの暗号化キーを管理できるEnterprise Key Management(EKM)をサポートしています。
WorkatoにおけるSecrets managementの役割は何ですか
Secrets managementにより、パスワードやAPIトークンなどの機密情報を安全に保存および取得できます。 認証情報管理を一元化し、セキュリティと管理の容易性を向上させます。
WorkatoのSecrets management機能は、次のシークレットマネージャーをサポートしています:
- AWS Secrets Manager
- HashiCorp Vault
- Azure Key Vault
Workatoでは、Secrets managementをワークスペースレベルまたはプロジェクトレベルで設定できます。 Workatoは、Secrets managementの混在アプローチをサポートしていません。
Workatoはどのセキュリティコンプライアンス標準に準拠していますか
Workatoは、次のセキュリティコンプライアンスフレームワークを維持しています:
- PCI-DSS v4.0.1 − レベル1: カード会員データの保護。
- ISO 27001、27701、および42001: グローバル標準に準拠した情報、プライバシー、およびAI管理。
- SOC 1 Type II、SOC 2 Type II、およびSOC 3: 財務とセキュリティの完全性に関する監査済み統制。
- HIPAA: 医療データの保護。Business Associate Agreements(BAA)を利用可能。
- IRAP: オーストラリア政府の要件に準拠した厳格なサイバーセキュリティ標準。
- NIST 800-171A r2: 連邦政府の請負業者、パートナー、および下請業者向けのControlled Unclassified Information(CUI)の保護。
詳細については、セキュリティコンプライアンスフレームワークを参照してください。
Last updated: