英語版のブログはこちらをクリックしてください

クラウド セキュリティとデータの機密保持の遵守

2019年 10月 19日 オートメーション・エニウェアニュース 執筆: Gautam Roy
developer

クラウドが劇的な変化をもたらすリソースになると共に、パブリック クラウドに「オンプレミス」のソフトウェアを展開する機能が注目を集めるようになってきました。一方で、その安全性を疑問視する消費者や企業にとってクラウドは議論の的となっています。

こうした両方のユーザーのニーズを満たすためにオートメーション・エニウェアは、クラウドでホストされるサービスを含められるように、デジタル ワーカー プラットフォームの拡張を行っています。ご存じのとおり、Software as a Service (SaaS) 型のサービスでは、データの機密保持、法的要件、アーキテクチャなど、セキュリティ面に関する多くの懸念がつきものです。当社は、データの機密保持を最優先事項として、安全なクラウド アーキテクチャを備えたプラットフォームを開発しています。

法的要件

データの機密保持の確保を目的とした法律が世界各国にあることは言うまでもありません。これらの規制法の例として、英国のデータ保護法、スイスの連邦データ保護法、カナダの個人情報保護および電子文書法 (PIPEDA) などがあります。

欧州連合では、一般データ保護規則 (GDPR) を制定しています。これは、機密性の高い個人情報の取り扱い方法を規定し、そのような情報が権限を持たない当事者に公開されないようにするものです (当社における機密性の定義にはこの内容を使用しています)。

米国では、個人情報保護法に対する理解と要望を示し、追加措置をとっている州もあります。たとえばカリフォルニア州では、住民のプライバシー権保護と消費者保護のために、カリフォルニア州消費者プライバシー法 (CCPA) が制定されました。

クラウド プロバイダーや企業には、個人情報を保護するために合理的なセキュリティ対策を実施することが求められており、当社もお客様の信頼の確保と維持に尽力しています。規制要件を遵守するために、当社は SOC 2、ISO 27001、GDPR など各種認定の取得に取り組んでいます。

当社のクラウド サービスは、パスワードの暗号化やソルト付きハッシュの使用、ユーザー アクセス ログ、インシデント管理など、さまざまなセキュリティ コントロールを運用しています。また、ユーザーの承認はお客様の IT 管理者に依存し、IT 管理者がコントロールを実装することで権限のある担当者だけにアクセスを制限することが可能になります。そのため管理者は、ロール ベース アクセス制御 (RBAC) を通じ、企業ユーザーに対して権限をきめ細かに定義して付与できます。

当社製品は、すべてのユーザー アクションがプラットフォーム内で監査される完全監査機能を提供し、運用担当者が実行したすべてのアクセスとアクションを記録します。監査は、NIST AC-6 に定義されているベスト プラクティスに準拠するために、すべての特権ロールおよび非特権ロールに対して自動化されています。NIST AC-6 は、最小限のアクセス権限の原則に基づくセキュリティ コントロールや評価手順として使用されています。どのエンタープライズ アプリケーションにも共通することですが、セキュリティ コントロールの一貫した適切な使用は、それぞれの組織に委ねられます。

安全なクラウド アーキテクチャ

SaaS アプリケーションはサード パーティのインフラ上でホストされ、サード パーティのソフトウェア コードを実行するため、リスクを確実に軽減するには適切で安全な設計とアーキテクチャが必要です。当社のクラウド アーキテクチャは、充実したセキュリティ機能を使用して一から構築されています。これらのセキュリティ機能では、データ保護を自動的に提供することも、データ所有者による構成に基づいてデータ保護を提供することも可能です。当社のエンタープライズ クラウドは、機密性を高めてネットワーク アクセスを制御する複数のセキュリティ機能とサービスを備えています。

Cloud data privacy

Automation Anywhere Enterprise A2019 には、次のような機能があります。

  • ネットワーク ファイアウォールおよびウェブ アプリケーション ファイアウォール機能:オートメーション・エニウェアのクラウド オペレータがプライベート ネットワークを作成し、テナントのインスタンスやアプリケーションへのアクセスを制御できます。
  • データ暗号化:保存中の暗号化や、お客様のオンプレミスの場所とクラウドとの間で転送中の TLS 暗号化などを提供することで、組織のセキュリティとコンプライアンスに関する条件を満たします。
  • Credential Vault: 自動化 (Bot) で安全な認証に使用する認証情報のために暗号化されたストレージを提供します。
  • 認証情報とキーの管理: ID とアクセス管理によって、権限のある正規の担当者のみが会社の貴重なデータにアクセスできるようにします。
  • 脅威検知ツール: 攻撃を可視化し、セキュリティ違反の検知を支援します。運用担当者が適切な対策を取れるようにアラートを送信します

さらに、A2019 クラウドには次の機能も導入される予定です。

  • 多要素認証 (MFA): 2 つ目の認証形式を要求することによってセキュリティを高め、パスワードに関するリスクを軽減します。ユーザーによる操作は簡素化したままで、データとアプリケーションへのアクセスの保護を支援します。
  • シングル サインオン: ユーザー アカウントを一元的に管理し、アプリケーションに対するユーザー アクセスの追加や削除をグループのメンバーシップに基づいて自動的に行うことで、サードパーティのサービスとスムーズな統合を強化します。

このように、オートメーション・エニウェアのクラウド ソリューションは、セキュリティ、機密保持、規制法の遵守を強化します。エンタープライズ向けロボティック・プロセス・オートメーション (RPA) をクラウドで実行することで、かつてない規模と拡張性を実現できるようになります。

当社が提供するクラウドベースの RPA プラットフォームの詳細をご覧ください