HECVAT

高等教育向けクラウドベンダー評価ツールキット

The Higher Education Community Vendor Assessment Toolkit, also known as HECVAT, is a self-assessment questionnaire framework used by higher education institutions to ensure that their cloud services and software vendors meet security and data standards. HECVAT was created by the Higher Education Information Security Council (HEISC), with help from EDUCAUSE, Internet2, and REN-ISAC. The tools in the assessment are standardized to make sure that the majority of higher education institutions follow the same security protocols and practices.

営業チームにお問合せ

As of 2023, Jotform is proud to announce that we have completed the HECVAT self-assessment for Jotform Enterprise. You can create your education forms and appsC with peace of mind using Jotform Enterprise.

JotformのHECVAT自己評価は、REN-ISAC のCloud Broker Indexで公開されています。

概要

What is HECVAT? Though it may sound like one of those words you couldn't quite pronounce in your high-school German class, HECVAT is actually an American acronym related to information security in higher education.

カーネギーメロン大学、プリンストン大学、ライス大学を含む全米の150以上の私立・公立大学が、ベンダーのリスクを評価する方法としてHECVATを使用しています。

But there's more to HECVAT than we can sum up in a single paragraph, which is why we created this detailed article. Keep reading to learn more about HECVAT and its assessment tools in the sections below.

HECVATとは何ですか？

HECVAT stands for the Higher Education Community Vendor Assessment Toolkit. The Higher Education Information Security Council (HEISC) created it in collaboration with the computer networking consortium Internet2 and cybersecurity alliance REN-ISAC.

The HECVAT is a suite of tools designed to help higher education institutions measure vendor risk with regard to information security. As part of the vendor evaluation process, colleges and universities may ask vendors to complete one of several HECVAT questionnaires to affirm that sufficient information and cybersecurity policies are in place to protect institutions' sensitive information and the personally identifiable information (PII) of students, staff, and other stakeholders.

HECVATの協力企業について

HECVATアンケートは、情報ネットワークとセキュリティの専門家3チームが協力して開発したため、信頼できる評価ツールとなっています：

HEISC：2000年に設立された、情報セキュリティとプライバシーの専門家によるチームで、高等教育機関におけるセキュリティガバナンス、コンプライアンス、データ保護の向上を支援しています。
Internet2. Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a "secure high-speed network, cloud solutions, research support, and services tailored for research and education."
REN-ISAC。Research and Education Networks Information Sharing and Analysis Centerは、サイバーセキュリティに関するニュースレポート、アラート、アドバイザリー、脅威の分析や対策ソリューションを提供する国際的なアライアンスです。加盟機関は700 以上にのぼります。

なぜHECVATが重要なのでしょうか？

サイバーセキュリティ企業であるSophosの2022年調査によると、2021年には高等教育機関の64％が少なくとも1回のランサムウェア攻撃を受けており、2020年の44％から大きく増加しています。そのうち 74％が実際に侵入を許しており、これは世界平均の 65％を上回る高い割合です。

ランサムウェア攻撃は、組織、特に高等教育機関に重大な影響を及ぼしています。ソフォスの調査によると、公共部門の高等教育機関の回答者のほぼ全員（97%）が、攻撃によって事業運営に影響を受けたと回答しており、民間部門の高等教育機関の回答者の96%が、攻撃によって事業や収益が失われたと回答しています。

なぜこのような機関は、悪質な行為者にとって魅力的なターゲットになるのだろうか？これらの要因を考えてみよう：

彼らには大量のデータがある。大学は、政府機関や学術パートナーからの研究データはもちろんのこと、学生や教員に関する豊富な個人データを保持しています。
ネットワークは攻撃を受けやすい。大規模で定評のある大学では、レガシー・システムを維持する傾向があり、最新のシステムよりも脆弱性が多い場合が多いです。さらに、これらのシステムに接続する数多くの個人用および学内用デバイスやソフトウェアが、攻撃の機会を多く提供しています。特に、これらのデバイスを使用する個人が、安全性よりも利便性を優先する場合です。
They have limited budgets. Public and private institutions alike often have limited budgets; they also tend to allocate financial resources to more visible, marketable departments (like athletics) over IT and cybersecurity.

With such troubling cybersecurity trends and the target factors above, it's no wonder why a security method like HECVAT is needed in higher ed. This toolkit enables colleges to save time, standardize their risk assessment of vendors, and ensure those vendors are appropriately assessed in the areas of security and privacy.

4 HECVAT ツール

HECVATの一連のツールには、高等教育機関が一貫したリスクとセキュリティの評価プログラムを採用し、実施し、維持することを可能にする4つの質問票が含まれています。各アンケートは、それぞれ異なる厳密さのレベルを表しており、1つは実際に内部で使用するためのものです。

Note: All current versions of these tools are available as downloadable Excel files on the EDUCAUSE HECVAT web page.

1. HECVAT - Triage

Unlike the Full, Lite, and On-Premise tools you'll learn about below, the Triage tool isn't meant for vendors to complete — this is a common misunderstanding of those not familiar with HECVAT. Instead, this tool is meant for internal "requesters," such as departments and individual faculty members who want to share institutional data with a third-party provider or software solution.

Through this tool, the requester documents and summarizes their data sharing intent, scope, elements, and technology requirements through about 35 questions across six categories such as use case, procurement, and institution technology. Completing the questionnaire is a prerequisite to IT initiating a risk and security assessment and using the other tools to assess vendors.

Here are a few example questions:

Provide a general summary of your department and the business area that will be housing institution data, utilizing the third-party software/service, and/or requesting integration with an institution's enterprise system(s).
Have you consulted with the institution's procurement professionals regarding this request for assessment?
Describe the institution's IT responsibilities in support of this third-party software/service, department application, or integration with an enterprise system.

2. HECVAT - Full

Designed to assess the most critical data-sharing engagements, the Full tool asks vendors for answers to over 250 questions about their practices across 20-plus categories, such as HIPAA, vulnerability scanning, documentation, and disaster recovery.

Here are a few example questions for the Full tool:

Do your workforce members receive regular training related to HIPAA Privacy and Security Rules and the HITECH Act?
貴社のシステムとアプリケーションは、過去1年以内に第三者によるセキュリティ評価を完了しましたか？
あなたの組織には災害復旧サイトがありますか?または災害復旧プロバイダーと契約していますか？

3. HECVAT - Lite

This condensed version of the Full tool is used to expedite the vendor assessment process while still addressing key security concerns. Vendors complete the Lite tool, which includes about 100 questions across 12 categories, such as IT accessibility, systems management, data center, and incident handling.

Here are a few example questions from the Lite tool:

第三者の専門家が、貴社製品の最新バージョンのアクセシビリティ監査を実施しましたか？
Will the institution be notified of major changes to your environment that could impact the institution's security posture?
Does your company manage the physical data center where the institution's data will reside?
24時間365日、インシデントに対応する能力はありますか？

4. HECVAT - On-Premise

Like the Full and Lite tools, vendors complete the On-Premise tool, which assesses their risk. The questionnaire is shorter than those in the other tools and is tailored to on-premise solutions, with 70 questions across 10 categories.

Here are a few example questions from the On-Premise tool:

データベースは、ストレージ内の指定されたデータ要素の暗号化をサポートしていますか？
製品のライフサイクルに情報セキュリティ原則が組み込まれていますか？
ホストベースの侵入検知を採用していますか？

HECVATに関するその他のリソース

HECVATは、高等教育機関向けにアンケートの他に2つの資料を提供しています：

Community Broker Index (CBI)。CBIは、HECVAT評価を完了し、その結果を共有する意思のあるベンダーを、継続的に更新して一覧化したリストです。高等教育機関はこのリストを参照することで、リスクに見合ったベンダーソリューションを効率的に選定でき、検討にかかる時間を大幅に削減できます。
Users Community Group. This group provides higher ed institutions with a forum to share information, best practices, and strategies for using HECVAT.

あなたのキャンパスでHECVATに適したデータ収集ツールを使うには？

Jotform Enterprise is a powerful, easy-to-use data-collection tool for educators and administrators at major universities and grade schools alike. It's also listed in HECVAT's Community Broker Index, which means you can access its already-completed HECVAT assessments and save time in assessing risk.

Jotformはどのように活用することができますか？

教師は、オンラインテストの作成、宿題提出の収集、保護者への許可証への署名依頼など、Jotformを活用してクラス運営を効率化できます。
管理者は、Jotformを活用して、学生や教職員の満足度を測るアンケート作成や、各種手数料・卒業生からの寄付金のオンライン決済など、運営業務を効率化できます。

Jotform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes.

高等教育機関は、フォーム以外にもいくつかの重要な機能を利用することができます：

Accessibility. Jotform's forms are Level A and Level AA compliant with WCAG 2.1 standards, so you can create Section 508-friendly forms.
Signability. Collect e-signatures from students, parents, staff, and other key stakeholders using Jotform Sign. Automate the signing process to ensure all relevant parties see and sign your document in the right order.
Security. Your data is stored in a local data residency center with added SOC 2 compliance. You can also opt into HIPAA features if your campus collects sensitive health information from students or faculty.

Ensure your campus is on track for success with a HECVAT-friendly, affordable solution - education institutions are eligible for a significant discount! Get started with an education data-collection form today.