• WalkMeは幅広いコンプライアンス規格に準拠しています
  • WalkMeは最高水準の安全性を持つAmazonのクラウドサービスを利用しています
  • WalkMeのプラットフォームとインフラに対し定期的に侵入テストを実施し、専門チームが継続的に監視しています
  • WalkMeはお客様へのサービス提供に際し、データ処理者としてGDPR(EU一般データ保護規則)を遵守しており、データ処理補足契約(DPA)の締結が可能です

業界標準

WalkMeは、デジタルアダプションの先駆的企業です。2011年に設立。WalkMeのデジタルアダプションプラットフォーム(DAP)は、サイバーセキュリティ・医療・金融業界などに属するFortune500企業の30%を含む、あらゆる業種、プラットフォーム、規模の世界約2,000社で使用されています。

ホスティングとインフラ

WalkMeのソフトウェア・アズ・ア・サービス(SaaS)ソリューションは、AmazonとAkamaiの最高水準の安全性を誇るクラウドサービスを活用し、パブリッククラウド、プライベートクラウドどちらでも利用できます。

コンプライアンス

WalkMeは、ISO 27001:2013(情報セキュリティ)認証を取得。SOC2認証を通じて米国公認会計士協会(AICPA)のTrustセキュリティの原則を満たし、Skyhigh Enterprise-Ready™の評価を受けています。さらに、クラウドセキュリティアライアンスからSTAR認証も受けています。デジタルアダプションプラットフォームは、米国-EUおよび米国-スイス間のプライバシーシールドの認証も取得しています。

侵入テストと監視

WalkMeのフロントエンド/バックエンドアプリケーションおよびITインフラに対し、第三者企業が毎年定期的に侵入テストを実施しています。さらに、Amazon AWSによる中立的テスト、定期的な内部テスト、専門チームによるセキュリティ関連事象の24時間体制での監視なども行っています。

認証と適格性認定

セキュリティ

ISO 27001 情報セキュリティ認証

ISO 27001 情報セキュリティ認証
WalkMeは、国際標準化機構の情報セキュリティに関する規格認証(ISO 27001:2013)を取得しました。監査では、製品、インフラ、組織の面からWalkMeの情報セキュリティ管理システムを評価し、センシティブな情報資産の機密保持、健全性および可用性を保証するために必要な、情報セキュリティ管理を実施していると認定されました。

ISO 27017 クラウド固有の管理
ISO 27017は、クラウドコンピューティングの情報セキュリティに関する指針を示し、ISO27002 、ISO 27001両規格の指針を補う、クラウド固有の情報セキュリティ管理の実施を 推奨しています。この規格は、クラウドサービスプロバイダーに特有の追加的な情報セキュリティ管理実施指針を定めています。WalkMeによるISO 27017:2015認証取得は、国際的に認識されたベストプラクティスと立場を同じくするための、私たちの継続的な取り組みの証です。またWalkMeが、クラウドサービス独自の極めて精緻な管理システムを保有していることの証明でもあります。

ISO 27018 個人データ保護(PII)
ISO 27018は、クラウド上の個人データ保護を扱った規格です。この規格は、情報セキュリティ規格ISO 27002を基盤とし、パブリッククラウド上の個人情報(PII)に適用可能なISO 27002 管理策の実施指針を定めています。また、現在のISO27002 管理策では対処できないパブリッククラウド上の個人情報保護に対応するため、追加的な管理策や関連指針も定めています。ISO 27018の遵守はお客様に対し、WalkMeがコンテンツのプライバシー保護に特化した管理システムを保有していることを示すものです。(第三者評価で証明されたように)WalkMeは、この国際的に認められた実施基準を遵守しています。この事実は、お客様に関連するコンテンツのプライバシーおよび保護に対するWalkMeのコミットメントを示すものです。ISO/IEC 27001規格、およびISO/IEC 27018:2014に示された実施基準に従うことで、WalkMeは(この規格を初めて取り入れたデジタルアダプションプラットフォームとして)、自社のプライバシーポリシーと手続きが、強固で高度な実施基準に沿うものであることを証明しています。すなわち:WalkMeのお客様は、自身のデータの保管場所を知ることができます。明確な同意なしに、お客様のデータがマーケティング・宣伝目的で使用されることはありません。WalkMeのお客様は、自分の個人情報がどう処理されているか把握できます。WalkMeは法的に拘束力ある要請を受けた場合に限り、お客様データを開示します。

ISO 27799 医療情報セキュリティ管理(PHI)

ISO 27799は、ISO/IEC 27002に定める医療情報管理策の選定、実施、管理を含む、組織の情報セキュリティ基準および情報セキュリティ管理慣行に関する指針であり、ISO/IEC 27002 の手引きです。ISO 27799は、ISO/IEC 27002 に定める管理策の実施指針を示し、ISO/IEC 27002を医療情報セキュリティ管理に効果的に活用できるよう、必要に応じて同規格を補足します。ISO 27799:2016の実施を通じて、WalkMeは、医療機関および他の医療情報保管機関に相応しく、かつこれらの機関が管理する個人健康情報の機密保持、健全性、可用性を維持する高度なセキュリティを保証します。WalkMeは最低年1回、ISO27799:2016の遵守について第三者認証機関による監査を受け、適切なセキュリティ管理策が導入され効果的に運営されていることを、中立的に検証しています。この検証プロセスの一環として、監査員は、適用宣言書の中で、WalkMeが医療情報のセキュリティ管理のためISO27799の管理策を導入していることを証明し、WalkMeによるお客様の個人健康情報の保護を確認しています。遵守を続けるため、WalkMeは年1回第三者による評価を受ける必要があります。

ISO 27032 サイバーセキュリティ指針
WalkMeは、サイバーセキュリティ指針に関するISO/IEC 27032 の認証を取得しています。ISO/IEC 27032:2012は、サイバーセキュリティ向上のための指針を定め、向上に特有の問題、およびサイバーセキュリティ対策と、情報セキュリティ、ネットワークセキュリティ、インターネットセキュリティ、重要インフラ防護(CIIP)などの各領域の関連性を明らかにしています。この規格を遵守することで、WalkMeはお客様のプライバシーを保護し、サイバーセキュリティインシデントへの準備、検知、監視、対応に役立つ、安全で信頼できる連携を推進します。

SOC 2 タイプII - セキュリティ、可用性、機密保持レポート

WalkMeは、国際的に最も厳しいセキュリティ、可用性、処理の健全性、機密保持およびプライバシーに関する規格のひとつ、SOC2 タイプIIの監査を完了しました。現在もSOC 2 タイプIIレポートへのコミットメントを継続し、定期的に監査を行っています。

SOC 3 タイプII - 一般管理レポート
WalkMeは、SOC 3 タイプII 一般使用レポートを作成し、当社が米国公認会計士協会(AICPA)の監査可能なTrustサービスに関する原則(セキュリティ、可用性、処理の健全性、機密保持、プライバシー)を満たすことを証明しています。このレポートは、事前に機密保持契約を結ぶ必要なしに、無料配布用に公表しています。このレポートの主な目的は、ビジネス上のニーズがあるお客様とユーザーに、当社の社内情報を開示することなく、WalkMeシステムのセキュリティ、可用性、機密保持に関する管理環境の中立的評価を示すことです。 このレポートは、「証明業務基準書No.18:証明基準―明瞭化および再体系化」に基づき作成されました。「証明業務基準書No.18」には、AT-C section 105(全ての証明業務に共通する概念)、AT-C section 205(調査業務)、TSP section 100「セキュリティ、可用性、処理の健全性、機密保持およびプライバシーに関するTrustサービスの原則」(AICPA、2017年Trustサービスに関する基準)が含まれます。レポートは、こちらからダウンロードしてください。

STAR 認証
WalkMeは、クラウドセキュリティアライアンス(CSA)のSTAR認証も取得しました。STAR認証は、CSAとBSI(英国規格協会)が共同開発した、ソフトウェアベンダー向けの包括的で厳格なクラウドセキュリティ要件を定めた国際的に認められたクラウドセキュリティ認証プログラムです。

Skyhigh CloudTrust™
WalkMeのデジタルアダプションプラットフォームは、データ保護、本人確認、サービスセキュリティ、ビジネス慣行、法的保護に関する包括的な要件を満たすとして、Skyhigh CloudTrust™から最高評価である Enterprise-Ready™ を取得しています。

FIPS 140-2 (レベル1)
米国連邦情報処理基準(FIPS)140-2は、センシティブな情報を保護する暗号モジュール用のセキュリティ要件を定めた、米国政府のセキュリティ基準です。FIPS 140-2 要件に関しお客様をサポートするため、WalkMeはFIPS 140-2 検証済み暗号化モジュールを使って運用しています。

プライバシー

GDPR、スイス/EUおよび米国間のプライバシーシールド、HIPAA

WalkMeはお客様へのサービス提供に際し、データ処理者としてGDPR(EU一般データ保護規則)を遵守しており、データ処理補足契約(DPA)を締結できます。さらに、当社のサービスと契約に厳格なプライバシーおよびセキュリティ保護を組み込むことにより、お客様のGDPR遵守プロセスの支援に取り組んでいます。
初期設定では、WalkMeは、セキュリティ上必要なログに含まれるIPアドレス、エンドユーザーのおおよその位置(ユーザーの所在国・都市)、当社システムの継続的な運用に必要なマスクIPアドレス以外、個人情報の収集は行わず、集めたメタデータに匿名のランダムなGUIDを付与しています。さらに、ブラウザ、OS、ページURL、タイトルなどの環境プロパティを集めて転送します。
WalkMeは、米商務省がEUとともに作成した厳格なプライバシー原則の遵守を通じて、 スイス/EUおよび米国間のプライバシーシールドの認証を取得し、TrustArc (正式名称 TRUSTe、WalkMeはデータプライバシーに関しTrustArc認証取得)の検証を受けています。
具体的には、個人データ収集時に適切な通知を行い、オプトアウトを認める、自社と同水準のプライバシー保護基準を守る第三者に対してのみ情報を送信する、お客様による自身の情報へのアクセスとアップデートを認める、お客様情報の適切な活用を通じて健全性を維持する、十分な情報セキュリティを確保する、適切なエンフォースメントを保証する、などが含まれます。
医療保険の携行性と責任に関する法律(HIPAA)および経済的・臨床的健全性のための医療情報技術に関する法律(HITECH)は、電子的に保護された医療情報のプライバシーとセキュリティに関する国の基準を定めています。これらの基準は、WalkMeが、医療情報の保護に関わる全ての物理的セキュリティ、ネットワークおよびプロセスセキュリティ対策を実施し遵守していることを、保証するものです。

運用とアクセス制御

サービスモデル

Editor (権限付与/管理者用ツール)

WalkMeの一般的なSaaSモデルは、Amazonウェブサービス(AWS)上に配置されています。管理サーバーはAmazon EC2、ストレージは、セキュアデータに関してはAmazon RDS、パブリッシュドコンテンツはAmazon S3に分割されています。ダウンロードを高速化するため、Akamai CDNを使ってSaaSモデルを配信しています。WalkMeは、お客様の社内サーバーにファイルとデータを保管できます。 独立した専用AWS上にWalkMeのサーバーを配備することも可能です。場合によっては、システム全体をお客様のデータセンターに配備することもあります。



監視と監査

侵入の防止・検知

WalkMe は大規模なセキュリティ情報・イベント管理システム(SIEM)を保有し、分析と管理のため、侵入検知システムを用いて、インフラコンポーネント全体のセキュリティ監査証跡ログを業界標準フォーマット(CEFおよびSyslog)で集めています。

WalkMeのSIEMは、ログイン失敗、未知のオフプレミスIPアドレスからのログイン、営業時間外のログインといった疑わしい兆候が発見された場合を含め、あらかじめ定義した包括的なシナリオに基づきアラートを通知します。

WalkMeのセキュリティオペレーションズセンター(SOC)チームが、SIEMのアラートを24時間監視しています。 SIEMは、全てのアラートの優先順位を判断し、リアルタイムで当社セキュリティチームに通知し、事態の深刻度に応じてエスカレーションを行います。

運用とアクセス制御 アクセス制御

ユーザー管理と権限

WalkMeのプラットフォームは、権限に基づく統合的、包括的なユーザー管理・適用システムを備えています。ユーザーに権限を付与するには、WalkMe担当者の承認が必要です。アプリケーション権限は、アクション単位、スクリーン単位で細かく管理されます。初期設定では、プラットフォームに管理者、コンテンツ作成者、パブリシャー、分析アクセスなど8種類の権限が用意されています。

WalkMeを通じて、お客様は複数のプラットフォームとデプロイメントを管理し、WalkMeが展開するインタラクティブコンポーネントとGUIエレメントの使用権限・管理権限を割り当てつつ、デプロイメントサイクル全体の一括管理を維持することができます。

WalkMe社内のアクセス管理は、アプリケーション(強固な認証手段)、ネットワーク(セグメント化、ファイヤーウォール)、OS(サーバーへのアクセス)、手続き(コードの評価/承認、変更管理などの権限を誰が保持するか)など全てのレベルで、厳格なneed-to-knowの原則(知る必要のある人にのみ情報を伝え、必要のない人には伝えないという原則)、および最小権限の原則に基づき、手作業で一括管理されています。

WalkMeの全ての社内業務は、その内容に応じて研究開発(コード開発)、DevOps(配備)、セキュリティ(セキュリティ管理)に分類されます。 セキュリティチームが、ファイヤーウォールルール、ユーザーアカウントの権限を含め(これに限定されません)、四半期毎にアクセス評価を行います。

まとめ

WalkMeは、セキュリティとプライバシーへの徹底的なコミットメントに支えられ、デジタルアダプションプラットフォームの市場リーダーとして、サイバーセキュリティ・医療・金融業界などに属するFortune500企業の30%を含む、世界約2,000社の信頼を獲得しています。WalkMeは、企業・政府の規則および国際的な規則を確実に遵守し、スタッフ、インフラから当社の製品・手順の細部に至る全てのレベルで、最も厳格な要件、規制およびセキュリティ対策を維持しこれに従っています。

1