セキュリティおよびプライバシー: Workday を信頼してデータを管理する

セキュリティに関する人財への信頼性

Workday では誰もがセキュリティに対する責任を担います。社員もお客様も、当社のセキュリティ目標に関与しているのです。そのため、セキュリティの優先順位付けとベストプラクティスの活用について、誰もが情報を活用し、対応力を高め、サポートを受けられるようにしています。

リーダーシップと社員

リーダーシップは、当社の組織のあらゆるレベルでセキュリティを優先しています。すべての Workmate がお客様のデータを保護する責任を担っており、入社初日からセキュリティ、プライバシー、コンプライアンスに関するトレーニングを受講します。専門の情報セキュリティチームは、継続的にセキュリティトレーニングを提供してリスクを最小化しています。また、中心人物になりうる Workday のセキュリティ担当者は、社員エンゲージメントや楽しさを通じてセキュリティに関するベストプラクティスを周知します。

お客様

当社のお客様は Workday に入力するデータを包括的に管理できるだけでなく、セットアップと各種設定も行えます。Workday は、トレーニング、専門的なサポート、詳細なドキュメント、タイムリーなコミュニケーション、ピアコミュニティを提供することで、お客様がデータを保護し、当社の堅牢なセキュリティツールを最大限に活用できるようにします。

「Workday を使用することで、262 あったシステムを数個の包括的なアプリケーションへと削減できました。また、セキュリティの向上、機能の強化、イノベーションの推進も実現しています」

—最高情報責任者

illustration-man-holding-lock-UI-elements

継続的な保護に対応するプロセス

お客様のデータを継続的に保護するため、Workday はデータセンター、ネットワーク、アプリケーション向けの詳細な運用ポリシー、手順、プロセスを策定しています。

Workday アプリケーションは、完全な冗長化を施したサブシステムとコンパートメント化されたセキュリティゾーンを備えた最先端のデータセンターに置かれています。このデータセンターには、極めて厳重な物理的および環境的なセキュリティ対策が施されています。施設の重要なインフラにアクセスするには、複数レベルの認証が必要になります。

内部・外部の重要な出入口には監視カメラシステムが配置されており、セキュリティ担当者はデータセンターを 24 時間 365 日体制で監視しています。データセンターには、冗長化を施した環境保護とバックアップ電源管理システムが導入されています。たとえば、火災の鎮静、電源管理、熱管理、換気、空調、最小の N+1 冗長でのセットアップなどです。

Workday は実証済みのポリシー、手順、プロセスを通じて当社のネットワークを保護しています。たとえば、境界防御ツール、脅威防止ツール、脅威検出ツールなどを使用し、お客様の環境における異常なネットワークパターンや、階層およびサービス間のトラフィックを監視しています。また、セキュリティオペレーションセンターが 24 時間 365 日体制で全世界に対応しています。

第三者専門家が実施する多様な外部の脆弱性評価では、インターネットに接続しているアセット (ファイアウォール、ルーター、Web サーバーなど) を 1 つ残らずスキャンし、不正アクセスを防止します。さらにネットワークとシステムについて、認証を受けた脆弱性診断を社内で実施することで、システムのセキュリティポリシー全般に関する潜在的な弱点や矛盾点を洗い出しています。

Workday アプリケーションの開発、テスト、デプロイメントプロセスの各ステップは、製品のセキュリティを確保できるように設計されています。製品チームとテクノロジーチームは、エンタープライズレベルのセキュアなソフトウェア開発ライフサイクル (SDLC: Software Development Life Cycle) および DevSecOps によるアカウンタビリティプラクティスを採用しています。当社の開発プロセスでは、Workday の機能の詳細なセキュリティリスク評価およびレビューを行っています。さらに、開発ライフサイクルにエンタープライズレベルのセキュリティを組み込むため、ソースコードの静的/動的解析も実施します。Workday では開発プロセスをさらに強化すべく、開発者を対象としたアプリケーションのセキュリティトレーニングやアプリケーションのペネトレーションテストを実施しています。

Web/モバイルアプリケーションのメジャーリリースの前に、第三者の大手セキュリティ企業がアプリケーションレベルのセキュリティ脆弱性評価を実施し、潜在的な脆弱性を洗い出しています。この第三者企業による脆弱性評価では、Web アプリケーションの一般的または複雑なセキュリティ脆弱性を洗い出すためのテストを実施します。

安全性を備えたテクノロジー

アーキテクチャからアプリケーションに至るまで、当社のテクノロジーはお客様のデータのセキュリティを重視してします。設定可能なツールを提供し、最もリスクを嫌うお客様を含めたあらゆるお客様のセキュリティニーズに対応します。

Workday は強力な暗号化テクノロジーを使用して、お客様の保存データや転送中データを保護します。保存データの暗号化には、米国の新暗号規格である鍵長 256 ビットの AES (Advanced Encryption Standard) アルゴリズムが採用されています。

インターネット経由で Workday にアクセスする場合、通信は TLS (Transport Layer Security) によって保護されるため、メッセージの受動的な傍受や意図的改ざん、もしくはメッセージ偽造から、ネットワークトラフィックを守ることができます。ファイルベースのインテグレーションは、PGP (Workday によって生成される公開鍵と秘密鍵) とユーザーが生成した証明書を使って暗号化できます。Web サービスと Workday API を統合する場合は WS-Security も使用できます。

Workday のキーマネジメントサービス (KMS) は、お客様の保存データの暗号化と復号化に使用する暗号鍵のライフサイクル管理全体をサポートします。また、お客様は Bring Your Own Key 機能を導入し、ルート暗号化鍵を包括的に管理することもできます。

Workday ではさまざまな種類のレポートを用意しています。監査担当者と管理者は、これを利用して Workday テナントの利用状況を確認することができます。監査証跡、ユーザーのアクティビティログ、サインオンレポートは、Workday のお客様と監査人にご好評をいただいています。Workday を使用すると、お客様はあらゆるビジネストランザクションをモニタリングし、履歴データや設定変更を簡単に確認できます。

認証

Workday は、プラットフォームにアクセスするすべてのユーザーやシステムに対して認証を行います。Workday では、お客様がエンドユーザーの ID を作成したり、Active Directory などの外部認証システムの ID を Workday に統合したりすることもできます。Workday のセキュリティアクセスはロールベースで、シングルサインオン機能のための SAML、およびユーザー管理と Web サービスの統合のための x509 証明書認証にも対応しています。

シングルサインオンのサポート

SAML を使うと、お客様の社内 Web ポータルと Workday の間でシームレスなシングルサインオンが可能になります。Workday は OpenID Connect にも対応しています。

Workday へのネイティブログイン

Workday エンタープライズ製品へのネイティブログインでは、パスワードが通常のプレーンテキスト形式ではなくハッシュ形式で保存されます。失敗したログインの履歴や、成功したログイン/ログアウトの履歴も監査情報として記録されます。アクティブでないユーザーのセッションは、指定の時間が経過した後にタイムアウトとなり自動的に切断されます。切断までの時間をユーザーごとに設定することもできます。

またパスワードの長さ、複雑さ、有効期限、パスワードを忘れた場合の質問といったパスワードルールの設定も可能です。

柔軟に設定できるセキュリティ

Workday のセキュリティ管理者は、ユーザーがアクセスできるデータとお客様のテナントで実行できるアクションを管理できます。ロール、セキュリティグループ、ビジネスプロセス設定などのツールを使用することで、管理者は企業のセキュリティポリシーを導入し、企業規模の拡大に合わせて更新できます。