メインコンテンツにスキップ

Workivaのセキュリティ

セキュリティとプライバシーを最大化

Workivaは、データのセキュリティとプライバシーを最大限に確保するためにさまざまな手段を利用しています。

主要なスプレッドシート 139720 AICPA SOC 2 AICPA SOC 1 Type II ISO 27001 GDPR **********

コンプライアンスへの取り組み

 

コンプライアンスロゴ

コンプライアンス認定とメンバーシップ

SOC 1 Type II

SOCレポートは、Workivaがお客様のデータのホストおよび処理者として、一貫性があり信頼できるセキュリティ対策と制御を実装していることを示し、実証します。

お客様固有の期末要件を満たすために、Workivaはさまざまな管理期間を持つSOC 1レポートを提供します。

SOC 2 Type II Workiva SOC 2 Type IIは、HIPAAコントロールにも対応していますが、報告期間が11月~10月の場合には不適格です。
ISO/IEC 27001:2013

WorkivaはISO/IEC 27001:2013の認定を受けています。

FedRAMP Moderate

Workivaは、連邦リスクおよび許可管理プログラムの下で、FedRAMP Moderateを達成しました。

 

HIPAA Workivaは、米国の1996年医療保険の携帯性と責任に関する法律 (HIPA) の対象となる企業が、Workivaのクラウド生産性プラットフォームを使用して、リスクの軽減、生産性の向上、データ駆動型の意思決定に対するユーザーの信頼獲得を実現するための支援を提供します。

 

クラウドセキュリティアライアンス

クラウドセキュリティアライアンス (CSA) は、安全なクラウドコンピューティング環境を確保するためのベストプラクティスを定義し、認識を高めることに専念する世界有数の組織です。

 

プライバシーポリシー

Workivaは、Truste認定とプライバシーシールドを含むプライバシーポリシーを公開しています。Workivaでのプライバシーの詳細を確認。

Workivaのプライバシーポリシーの詳細については、次のサイトをご覧ください。

クラウドセキュリティ

施設

顧客データは、安全な施設、安全なサーバー、安全なアプリケーション内に保存されます。Workivaのオフィスにはデータセンターがなく、データセンターへのアクセスもありません。Workivaは、施設での適切なセキュリティ担当者を維持しています。Workivaオフィスは、適切なドアアクセスのあるアクセスが制限された施設です。建物の出入りにはバッジを使用してアクセスする必要があり、施設を保護するために追加のアクセス権が必要になります。訪問者は、名前の登録、機密保持契約への署名を行ってから、安全なアクセスエリアに案内され、各オフィスはカメラで監視されています。制限エリアでは、安全なドキュメント処理、ショルダーサーフィンを軽減するための画面保護、追加のバッジアクセスなどの追加のコントロールが完備されています。通信機器やネットワーク機器を保管する部屋は施錠され、警報が設置されています。

Workivaは、インフラストラクチャおよびクラウドサービスに関し、GoogleおよびAmazonと提携しています。Workivaは、一般にPaaS (Platform as a Service) と呼ばれるGoogle App Engine (GAE) 上で実行され、IaaS (Infrastructure as a Service) には Amazons Web Services (AWS) を利用しています。

データホスティングの場所 お客様のデータのコンプライアンスを確保するため、 Workivaプラットフォームは、3つの異なる物理的なデータ保管場所を提供します。データセンターは、アジア太平洋地域、北米、欧州に設置されています。

 

専任のセキュリティチーム Workivaには、セキュリティプログラムと、CISOを含む専任チームがあります。
ネットワーク脆弱性スキャン Workivaは、さまざまな内部セキュリティツールを利用し、すべての運用環境に対して内部ネットワークの脆弱性スキャンを毎週実行しています。さらに、外部ネットワークスキャンは、サードパーティによる定期的な侵入テストの一部として、オープンソースツールを使用して実行されます。
サードパーティ侵入テスト 内部テストに加えて、Workivaはサードパーティーのセキュリティ会社と協力して、年に2回脆弱性と侵入のテストを実施しています。
セキュリティインシデントイベントの管理 Workivaは、セキュリティ情報とイベント管理 (SIEM ツール) を利用しています。Workivaの情報セキュリティチームは、認証、エンドポイント、Webアプリケーションなどに関連するログを含む、パフォーマンスとセキュリティに関する考慮事項についてログとアラートを確認しています。
侵入検知・防御 Workivaは、すべてのユーザーエンドポイントと Windowsインフラストラクチャに次世代AVを展開し、既知および新たな脅威に対する保護を積極的に提供しています。さらに、クラウドセキュリティ態勢管理 (CSPM) およびクラウドワークロードの監視と保護 (CWPP) ツールがアプリケーションのインフラストラクチャ全体に展開され、ホストベースの侵入検知が提供されます。Workivaプラットフォームは、ログ機能とサポートシステムを活用して、潜在的な脅威を監視します。アプリケーション内で、お客様はログを確認し、ログイン試行の失敗や、ドキュメントのダウンロードやエクスポートなど、特定のアクティビティが発生した場合にメールで通知を受けるように、アラートを設定できます。
DDoSを軽減 Workivaは、Webアプリケーションファイアウォール (WAF) を活用してネットワーク境界でイングレスフィルタリングを行い、仮想プライベートクラウド (VPC) での個人的な使用を通じた内部リソースへの直接的なアクセスを防止します。さらに、ソリューションを使用して、クラウド環境で実行されているすべてのアプリケーションに分散型サービス拒否 (DDoS) 保護を提供します。
セキュリティインシデント対応 Workivaでは、通常の事業運営を超えたあらゆる種類のインシデントが発生した場合のアクション、通知、修復のための手順を概説するインシデント対応ポリシー、標準と手順が確立されています。この計画では、セキュリティイベントが毎年テストされます。

 

保存時の暗号化 Workivaは、デジタル証明書の確認にTLSバージョン1.2および1.3を使用します。さらに、Workivaプラットフォームは保護を強化するために、HTTP Strict Transport Security (HSTS) を活用しています。
保存時の暗号化 Workivaプラットフォームのすべてのデータは、Advanced Encryption Standard (AES) 256ビットのアルゴリズムで暗号化され、保存されます。

 

アップタイム Workivaは、自社のウェブサイト https://status.workiva.com/ を通じてステータスを提供します。契約に含まれるSLAを通じて、Workivaは99.5%のアップタイムをお約束します。
冗長性 Workivaは、運用上の冗長性を実現するために、複数のデータセンターとオフィスの拠点を使用しています。単一のポイントで障害が発生した場合に備えて、複数のシステムにデータを分散および複製することにより、信頼性を確保します。
災害復旧 Workivaプラットフォームには、冗長インフラストラクチャによる高度な可用性が含まれています。

 

アプリケーションのセキュリティ

セキュアコードトレーニング Workivaでは、Workivaシステムにアクセス可能なすべてのユーザーが必須のセキュリティ教育トレーニングを受けています。初回アクセス時と、その後毎年のトレーニングが必要です。トレーニングには、ポリシー、基準、機密性とプライバシー、物理的セキュリティ、システムセキュリティ、許容される使用法、ソーシャルエンジニアリング、およびその他の項目が含まれます。
フレームワークのセキュリティ管理 Workivaは、OWASP Top 10のセキュリティリスクへの露出を制限するセキュリティコントロールを備えた、最新かつ安全なオープンソースフレームワークを活用しています。これらの固有の制御により、SQLインジェクション (SQLi)、クロスサイトスクリプティング (XSS)、クロスサイトリクエストフォージェリ (CSRF) などへの露出が軽減されます。
クオリティアシュアランス

情報セキュリティポリシーによって定められたWorkivaの詳細な変更管理プロセスは、構成、オペレーティングシステム、およびアプリケーションの更新を含む、環境へのすべての変更に適用されます。Wdeskの新バージョン、またはリリースに指定されている更新は、開発環境からミラーリングされた本番環境に移行され、品質保証チームが厳格なシステムテスト、統合テスト、回帰テスト、受け入れテストを行います。また、この環境は、継続的な侵入テストと脆弱性スキャンが実行される場所でもあります。

セキュリティは、製品開発のすべての段階に含まれています。セッション管理、アクセス制御、クロスプラットフォーム呼び出しを行うAPI、認証、入力検証、出力エンコーディング、安全な送信、監査ログ、ファイルのアップロード、XSS/CSRF保護、または暗号化/ハッシュに関連するコードは、情報セキュリティチーム、またはセキュリティ評価に関するトレーニングを受けて認証を受けた開発者によるセキュリティ評価を受けます。コードの変更と追加は、セキュリティ製品リリースによって追跡、評価、承認されます。情報セキュリティチームは、コーディングをセキュアにするために、OWASP Top 10やその他の業界基準を活用しています。

機能セットの設計および試作段階では、セキュリティに対する考慮が必要なアーキテクチャと実装を特定するために細心の注意が払われます。セキュリティに対する考慮が必要な新しい機能セットは、本番リリースの前にコードのレビューと承認を受ける必要があります。

環境の分離 開発環境とテスト環境は、本番環境と分離されています。さらに、抑制と均衡を実施し、リスクを最小限に抑えるために、職務分掌の原則がWorkiva全体に実装されています。

 

動的脆弱性スキャン Workivaでは、動的アプリケーションセキュリティテスト (DAST) ツールが構成されており、動的脆弱性スキャンを定期的に実行しています。自動スキャンに加えて、WorkivaはSDLCリリースプロセスの一部としてセキュリティテストを実行します。
静的コード分析 Workivaは、静的アプリケーションセキュリティテスト (SAST) ツールを構成して、定期的にスケジュールされたスキャンを実行し、アプリケーションコードの潜在的な弱点を特定します。自動スキャンに加えて、WorkivaはSDLCリリースプロセスの一部としてセキュリティコードのレビューを実行します。
サードパーティ侵入テスト 内部セキュリティテストに加えて、Workivaはサードパーティーのセキュリティ会社と協力し、年に2回脆弱性と侵入のテストを実施しています。
責任ある開示 / バグ報奨プログラム

Workivaは、Workivaプラットフォームの継続的なセキュリティカバレッジを提供する、精選された機敏なセキュリティ研究専門家が揃ったバグ報奨金プラットフォームを活用しています。また、責任ある開示に関心のある外部関係者への提供のためのsecurity.txtページを維持しています。

 

 

 

 

 

製品のセキュリティ

認証オプション

ユーザーアクセスは、組織へのメンバーシップによって管理され、次に、コンテンツが保存および管理されるワークスペースへのメンバーシップによって管理されます。さらに、個人またはワークスペースグループの両方に対してコンテンツへのアクセスを許可することもできます。当社の管理アプリケーションを通じて、お客様はユーザー名、パスワード、およびパスワードポリシーを自己管理できます。

プラットフォーム内の認証機能には、以下のものも含まれます。

  • SAML 2.0によるシングルサインオン

  • SCIM 2.0を介したユーザープロビジョニング

  • ブラウザ検証

  • 多要素認証

  • IPアドレスの制限

構成可能なパスワードポリシー

Workivaのプラットフォームでは、16文字が最低基準で、特殊な数字や特殊文字に制限はありません。ユーザーのパスワードの強度を示す新しいパスワードメーターを追加しました。このメーターは当社側では強制されません。また、パスワードを公に知られている侵害されたパスワードと照合するようになりました。これらの変更は、OWASP Application Security Verification Standard 4.0とより密接に連携するために行われました。

多要素認証 (MFA) Workivaプラットフォームの多要素認証は電子メール経由で行われます。新しいパスワードを設定すると、ユーザーは6桁のコードが記載された電子メールを受け取ります。ログイン手続きを完了するには、この6桁のコードを入力する必要があります。Workivaでは、Google Authenticator、Microsoft Authenticator、Duo Authenticator、Okta Verifyなどのアプリを通じた、タイムベースドワンタイムパスワード(TOTP)の再導入を予定しています。

 

役割ベースのアクセス制御

Workivaプラットフォーム内では、役割の割当を活用することで、機能へのアクセスを管理できます。ワークスペースのすべてのメンバーは役割を持ち、それぞれが独自のレベルの機能へのアクセス権を保有します。ワークスペースのソリューションセットに基づいて、さまざまな役割にアクセスできます。

管理者の役割:

  • ワークスペースオーナーの役割は、ワークスペースレベルでのみ使用できます。

  • 組織管理者の役割は組織レベルで利用できますが、ワークスペースレベルでいくつかの機能を実行することができます。

非管理者の役割:

  • 組織が最新のソリューションベースのライセンスモデルを使用していない場合は、編集者、閲覧者など、さまざまな非管理者の役割があります。

機能固有の役割:

  • 上記の役割に加えて、ワークスペース内の特定の機能へのアクセスを提供する役割があります。これらの役割には、コンテンツマネージャー、コピーマネージャー、タスク管理者、提出担当者が含まれます。

IP制限

Workivaプラットフォームの管理アプリケーションには、認証のセキュリティ設定と、データアクセスのためのきめ細かい権限システムを介して、お客様によるユーザー管理を可能にするロジックが含まれています。

Workivaは、お客様がシングルサインオンを使用し、SAML 2.0プロトコルを介してSCIMと統合することを推奨しています。

加えて、お客様には以下を提供しています

  • 構成可能なパスワード設定

  • IP制限

  • ブラウザ検証

  • 多要素認証

電子メール署名 (DKIM/DMARC) Workiva Platformは、DKIMを使用して送信メッセージに署名し、ハードフェイルSPFポリシーに準拠し、DMARCを拒否モードで実行します。Workivaプラットフォームの通知内でデータや添付ファイルが直接送信されることはありません。Workivaはすべての通知を固定された一連の専用IPアドレスから送信するため、当社のプラットフォームから発信されるメッセージに対してはあらゆる種類のメッセージチェックまたはフィルタリング機能を無効にすることを強くおすすめします。

 

人事セキュリティ

ポリシー Workivaは、さまざまなトピックをカバーする包括的なセキュリティポリシーのセットを開発しました。これらのポリシーは、Workivaの情報資産にアクセスできるすべての従業員および請負業者が参照可能なよう共有されます。
トレーニング Workivaでは、Workivaシステムにアクセス可能なすべてのユーザーが必須のセキュリティ教育トレーニングを受けています。初回アクセス時と、その後毎年のトレーニングが必要です。トレーニングには、ポリシー、基準、機密性とプライバシー、物理的セキュリティ、システムセキュリティ、許容される使用法、ソーシャルエンジニアリング、およびその他の項目が含まれます。

 

バックグラウンドチェック Workiva は、現地の法律および規制に従って、法律で許可されている範囲で、すべての従業員に対してバックグラウンドチェックを実施します。バックグラウンドチェックには、連邦犯罪歴チェック、雇用、教育、および紹介の検証が含まれます。
秘密保持契約 Workivaは、情報分類基準で説明されているように、公開、非公開、機密、または制限が分類されているシステムや情報への論理的アクセスが許可されている従業員およびサードパーティー会社と、機密保持契約を結んでいます。

 

その他のセキュリティリソース

セキュリティとコンプライアンスポータル
セキュリティ速報
ステータスページ

現在、オンライン登録はご利用いただけません。

このイベントに登録するにはevents@workivaにメールでご連絡ください。

現在、フォームがご利用いただけません。

info@workiva.comまでお問い合わせください

現在、フォームがご利用いただけません。

info@workiva.comまでお問い合わせください