セキュリティおよびプライバシー: Workday を信頼してデータを管理する

セキュリティに関する人財への信頼性

Workday では誰もがセキュリティに対する責任を担います。社員もお客様も、当社のセキュリティ目標に関与しているのです。そのため、Workday はセキュリティの優先順位付けとベストプラクティスの活用について、誰もが情報を活用し、対応力を高め、サポートを得ることを目指しています。

リーダーシップと社員

リーダーシップチームは、組織のあらゆるレベルのセキュリティを確保することを優先します。すべての Workmate がお客様のデータを保護する責任を担っており、入社初日からセキュリティ、プライバシー、コンプライアンスに関するトレーニングを受講します。専門の情報セキュリティチームは、継続的にセキュリティトレーニングを提供してリスクを最小化しています。また、中心人物になりうる Workday のセキュリティ担当者は、社員エンゲージメントや楽しさを通じてセキュリティに関するベストプラクティスを周知します。

お客様

当社のお客様は Workday に入力するデータを包括的に管理できるだけでなく、セットアップと各種設定も行えます。Workday は、トレーニング、専門的なサポート、詳細なドキュメント、タイムリーなコミュニケーション、ピアコミュニティを提供することで、お客様がデータを保護し、当社の堅牢なセキュリティツールを最大限に活用できるようにします。

「Workday のおかげで、セキュリティと機能を強化してイノベーションを促進しながら、262 のシステムをいくつかの包括的なアプリケーションに統合することができました」

—最高情報責任者

illustration-man-holding-lock-UI-elements

保護対象のプロセス

お客様のデータを保護するため、Workday ではデータセンター、ネットワーク、アプリケーションの運用ポリシー、手順、プロセスを詳細に定めています。

Workday アプリケーションは、完全な冗長化を施したサブシステムとコンパートメント化されたセキュリティゾーンを備えた最先端のデータセンターに置かれています。このデータセンターには、厳重な物理的および環境的なセキュリティ対策が施されています。重要なインフラへのアクセスを保護するため、施設には複数レベルの認証が導入されています。

内部・外部の重要な出入口には監視カメラシステムが配置されているほか、データセンターはセキュリティ担当者が 24 時間 365 日体制で監視しています。データセンターには、冗長化を施した環境保護とバックアップ電源管理システムが導入されています。たとえば、火災の鎮静、電源管理、熱管理、換気、空調、最小の N+1 冗長でのセットアップなどです。

Workday は実証済みのポリシー、手順、プロセスを通じて当社のネットワークを保護しています。たとえば、境界防御ツール、脅威防止ツール、脅威検出ツールなどを使用し、お客様の環境における異常なネットワークパターンや、階層およびサービス間のトラフィックを監視しています。また、セキュリティオペレーションセンターが 24 時間 365 日体制で全世界に対応しています。

第三者の専門家によって複数回実施される外部脆弱性評価では、インターネットに接続しているアセット (ファイアウォール、ルーター、Web サーバーなど) をスキャンし、不正アクセスを検出しています。さらにネットワークとシステムについて、認証を受けた脆弱性診断を社内で実施することで、システムのセキュリティポリシー全般に関する潜在的な弱点や矛盾点を洗い出しています。

Workday アプリケーションの開発、テスト、デプロイメントプロセスの各ステップは、製品を保護できるように設計されています。製品チームとテクノロジーチームは、エンタープライズレベルのセキュアなソフトウェア開発ライフサイクル (SDLC: Software Development Life Cycle) および DevSecOps によるアカウンタビリティプラクティスを採用しています。当社の開発プロセスでは、Workday の機能の詳細なセキュリティリスク評価およびレビューを行っています。さらに、開発ライフサイクルにエンタープライズレベルのセキュリティを組み込むため、ソースコードの静的/動的解析も実施します。Workday では開発プロセスをさらに強化すべく、開発者を対象としたアプリケーションセキュリティ研修やアプリケーションのペネトレーションテストを実施しています。

Web/モバイルアプリケーションのメジャーリリース前には、第三者の大手セキュリティ企業がアプリケーションレベルのセキュリティ脆弱性評価を実施し、潜在的な脆弱性を洗い出します。この第三者企業による脆弱性評価では、Web アプリケーションの一般的または複雑なセキュリティ脆弱性を洗い出すためのテストを実施します。

安全性を備えたテクノロジー

Workday のテクノロジーは、アーキテクチャからアプリケーションに至るまで、お客様のデータセキュリティを優先し、お客様のセキュリティニーズを満たし、リスクを回避するように設計されています。

Workday は強力な暗号化テクノロジーを使用して、お客様の保存データや転送中データを保護します。保存データの暗号化には、米国の新暗号規格である鍵長 256 ビットの AES (Advanced Encryption Standard) アルゴリズムが採用されています。

インターネット経由で Workday にアクセスする場合、通信は TLS (Transport Layer Security) によって保護されるため、メッセージの受動的な傍受や意図的改ざん、もしくはメッセージ偽造から、ネットワークトラフィックを守ることができます。ファイルベースのインテグレーションは、PGP (Workday によって生成される公開鍵と秘密鍵) とユーザーが生成した証明書を使って暗号化できます。Web サービスと Workday API を統合する場合は WS-Security も使用できます。

Workday のキーマネジメントサービス (KMS) は、お客様が保存するデータについて、暗号化と復号化に使用する暗号鍵のライフサイクル管理全体をサポートします。また、お客様は Bring Your Own Key 機能を導入し、ルート暗号化鍵を包括的に管理することもできます。

Workday ではさまざまな種類のレポートを用意しています。監査人と管理者はこれを利用して Workday テナントの利用状況を確認することができます。監査証跡、ユーザーのアクティビティログ、サインオンレポートは、Workday のお客様と監査人にご好評をいただいています。Workday を使用すると、お客様はあらゆるビジネストランザクションをモニタリングし、履歴データや設定変更を簡単に確認できます。

認証

Workday はプラットフォームにアクセスする個々のユーザーやシステムを認証するための手順を定めています。Workday では、お客様がエンドユーザーの ID を作成したり、Active Directory などの外部認証システムの ID を Workday に統合したりすることもできます。Workday のセキュリティアクセスはロールベースで、シングルサインオン機能のための SAML、およびユーザー管理と Web サービスの統合のための x509 証明書認証にも対応しています。

シングルサインオンのサポート

SAML を使うと、お客様の社内 Web ポータルと Workday の間でシームレスなシングルサインオンが可能になります。Workday は OpenID Connect にも対応しています。

Workday へのネイティブログイン

Workday エンタープライズ製品へのネイティブログインでは、パスワードが通常のプレーンテキスト形式ではなくハッシュ形式で保存されます。失敗したログインの履歴や、成功したログイン/ログアウトの履歴も監査情報として記録されます。アクティブでないユーザーのセッションは、指定の時間が経過した後にタイムアウトとなり自動的に切断されます。切断までの時間をユーザーごとに設定することもできます。

またパスワードの長さ、複雑さ、有効期限、パスワードを忘れた場合の質問といったパスワードルールの設定も可能です。

柔軟に設定できるセキュリティ

Workday のセキュリティ管理者は、ユーザーがアクセスするデータや、ユーザーが顧客のテナントで実行するアクションを管理できます。ロール、セキュリティグループ、ビジネスプロセス設定などのツールを使用することで、管理者は企業のセキュリティポリシーを導入し、企業規模の拡大に合わせて更新できます。