Jotformエンタープライズ

HECVAT

高等教育向けクラウドベンダー評価ツールキット

高等教育向けクラウドベンダー評価ツールキット(HECVAT)について

HECVAT（Higher Education Community Vendor Assessment Toolkit）は、クラウドサービスやソフトウェア提供企業が、大学などの高等教育機関の求めるセキュリティおよびデータ管理基準を満たしているかを確認するための、自己評価型の質問票フレームワークです。HECVAT は、Higher Education Information Security Council（HEISC）が、EDUCAUSE、Internet2、REN-ISACの協力を得て策定しました。この評価ツールは標準化されており、多くの高等教育機関が共通のセキュリティ手順と運用基準に沿って審査できるよう設計されています。

2023年現在、JotformはJotformエンタープライズのHECVATセルフアセスメントを完了したことをお知らせします。Jotformエンタープライズを利用し、安心して教育用フォームやアプリを作成することができます。

JotformのHECVAT自己評価は、REN-ISAC のCloud Broker Indexで公開されています。

営業チームにお問合せ

HECVATとは何で、なぜ重要なのか？

概要

HECVATとは何ですか？HECVATは、高校のドイツ語の授業で発音できなかった言葉のように聞こえるかもしれないですが、実は高等教育における情報セキュリティに関連するアメリカの頭字語なのです。

カーネギーメロン大学、プリンストン大学、ライス大学を含む全米の150以上の私立・公立大学が、ベンダーのリスクを評価する方法としてHECVATを使用しています。

しかし、HECVATには一段落でまとめられる以上のことがあり、それがこの詳細な記事を作成した理由です。HECVATとその評価ツールの詳細については、以下のセクションをお読みください。

HECVATとは何ですか？

HECVATは、Higher Education Community Vendor Assessment Toolkitの略です。高等教育情報セキュリティ協議会（Higher Education Information Security Council：HEISC）が、コンピュータ・ネットワーク・コンソーシアムInternet2およびサイバーセキュリティ・アライアンスREN-ISACと共同で作成しました。

HECVATは、高等教育機関が情報セキュリティの観点からベンダーリスクを評価するために設計されたツール群です。大学や専門学校などの教育機関は、ベンダー評価の一環として、いくつかある HECVAT質問票のいずれかを提出するよう求める場合があります。これは、機密情報や学生・教職員・関係者の個人情報（PII）を保護するために、十分な情報セキュリティおよびサイバーセキュリティ対策が整備されていることを確認するためです。

HECVATの協力企業について

HECVATアンケートは、情報ネットワークとセキュリティの専門家3チームが協力して開発したため、信頼できる評価ツールとなっています：

HEISC：2000年に設立された、情報セキュリティとプライバシーの専門家によるチームで、高等教育機関におけるセキュリティガバナンス、コンプライアンス、データ保護の向上を支援しています。
Internet2正式名称University Corporation for Advanced Internet Development（UCAID）である Internet2は、大学・研究機関、政府機関、企業、文化団体を含む非営利コンソーシアムです。その目的は、「研究と教育に特化した、安全で高速なネットワーク、クラウドソリューション、研究支援、および関連サービスを提供すること」にあります。　　
REN-ISAC。Research and Education Networks Information Sharing and Analysis Centerは、サイバーセキュリティに関するニュースレポート、アラート、アドバイザリー、脅威の分析や対策ソリューションを提供する国際的なアライアンスです。加盟機関は700 以上にのぼります。

なぜHECVATが重要なのでしょうか？

サイバーセキュリティ企業であるSophosの2022年調査によると、2021年には高等教育機関の64％が少なくとも1回のランサムウェア攻撃を受けており、2020年の44％から大きく増加しています。そのうち 74％が実際に侵入を許しており、これは世界平均の 65％を上回る高い割合です。

ランサムウェア攻撃は、組織、特に高等教育機関に重大な影響を及ぼしています。ソフォスの調査によると、公共部門の高等教育機関の回答者のほぼ全員（97%）が、攻撃によって事業運営に影響を受けたと回答しており、民間部門の高等教育機関の回答者の96%が、攻撃によって事業や収益が失われたと回答しています。

なぜこのような機関は、悪質な行為者にとって魅力的なターゲットになるのだろうか？これらの要因を考えてみよう：

彼らには大量のデータがある。大学は、政府機関や学術パートナーからの研究データはもちろんのこと、学生や教員に関する豊富な個人データを保持しています。
ネットワークは攻撃を受けやすい。大規模で定評のある大学では、レガシー・システムを維持する傾向があり、最新のシステムよりも脆弱性が多い場合が多いです。さらに、これらのシステムに接続する数多くの個人用および学内用デバイスやソフトウェアが、攻撃の機会を多く提供しています。特に、これらのデバイスを使用する個人が、安全性よりも利便性を優先する場合です。
予算に限りがある。公立も私立も予算が限られていることが多く、また、ITやサイバーセキュリティよりも、陸上競技のような目につきやすく市場価値の高い部門に財源を配分する傾向があります。

このような問題の多いサイバーセキュリティの傾向と上記のようなターゲット要因から、高等教育機関においてHECVATのようなセキュリティ手法が必要とされる理由は不思議ではありません。このツールキットにより、大学は時間を節約し、ベンダーのリスク評価を標準化し、それらのベンダーがセキュリティとプライバシーの分野で適切に評価されていることを確認することができます。

4 HECVAT ツール

HECVATの一連のツールには、高等教育機関が一貫したリスクとセキュリティの評価プログラムを採用し、実施し、維持することを可能にする4つの質問票が含まれています。各アンケートは、それぞれ異なる厳密さのレベルを表しており、1つは実際に内部で使用するためのものです。

注意：これらの最新バージョンは、EDUCAUSE HECVATのWebページからExcelファイルとしてダウンロードできます。

1.HECVAT - トリアージ

以下で説明するフルツール、ライトツール、オンプレミスツールとは異なり、トリアージツールはベンダーが完了するためのものではありません。これはHECVATをよく知らない人によくある誤解です。その代わり、このツールはサードパーティプロバイダーやソフトウェアソリューションと組織データを共有したい部署や個々の教員のような内部の要求者のためのものです。

このツールを通じて、依頼者は、使用例、調達、機関技術など6つのカテゴリーにわたる約35の質問を通じて、データ共有の意図、範囲、要素、技術要件をドキュメント化し、要約します。このアンケートに回答することは、IT部門がリスクとセキュリティの評価を開始し、他のツールを使ってベンダーを評価するための前提条件となります。

質問の例をいくつか挙げてみましましょう：

教育機関のデータを収容し、サードパーティのソフトウェア／サービスを利用し、および／または教育機関のエンタープライズ・システムとの統合を要請する部署および業務分野の概要を記入してください。
この査定依頼について、教育機関の調達専門家と相談しましたか？
このサードパーティのソフトウェア／サービス、部門アプリケーション、または企業システムとの統合をサポートする際の、教育機関のIT責任を記述します。

2. HECVAT — 完全

最も重要なデータ共有契約を評価するために設計されたこの完全ツールは、HIPAA、脆弱性スキャン、ドキュメント化、災害復旧など20以上のカテゴリーにわたって、ベンダーの実践に関する250以上の質問に対する回答を求めています。

以下は完全なツールの質問例です：

貴社の従業員は、HIPAAプライバシー・セキュリティ規則およびHITECH法に関連した研修を定期的に受けていますか？
貴社のシステムとアプリケーションは、過去1年以内に第三者によるセキュリティ評価を完了しましたか？
SSAE18/SOC2監査を受けたことがありますか？
あなたの組織には災害復旧サイトがありますか?または災害復旧プロバイダーと契約していますか？

3. HECVATーライト

この簡易版ツールは、ベンダーの評価プロセスを迅速化すると同時に、重要なセキュリティ上の懸念事項に対処するために使用されます。ベンダーは、ITアクセシビリティ、システム管理、データセンター、インシデント対応など、12のカテゴリにわたって約100の質問を含む Liteツールを完了します。フルツールに含まれるHIPAAや脆弱性スキャンなどのカテゴリーは、このツールには含まれていません。

Liteツールの質問例をいくつかご紹介します：

第三者の専門家が、貴社製品の最新バージョンのアクセシビリティ監査を実施しましたか？
教育機関のセキュリティ態勢に影響を及ぼす可能性のある環境の重大な変更について、教育機関に通知されますか？
御社は、教育機関のデータが置かれる物理的なデータセンターを管理していますか？
24時間365日、インシデントに対応する能力はありますか？

4. HECVAT — オンプレミス型

FullおよびLiteツールと同様に、ベンダーはリスクを評価するOn-Premiseツールに回答します。ただし、質問項目は他のツールよりも短く、オンプレミス・ソリューション向けに調整されている。このツールには、データベース、ポリシー、ファイアウォールなど、10のカテゴリーにわたる70の質問が含まれています。

オンプレミスツールからの質問例をいくつかご紹介します：

データベースは、ストレージ内の指定されたデータ要素の暗号化をサポートしていますか？
製品のライフサイクルに情報セキュリティ原則が組み込まれていますか？
ホストベースの侵入検知を採用していますか？

HECVATに関するその他のリソース

HECVATは、高等教育機関向けにアンケートの他に2つの資料を提供しています：

Community Broker Index (CBI)。CBIは、HECVAT評価を完了し、その結果を共有する意思のあるベンダーを、継続的に更新して一覧化したリストです。高等教育機関はこのリストを参照することで、リスクに見合ったベンダーソリューションを効率的に選定でき、検討にかかる時間を大幅に削減できます。
Users Community Group：HECVAT の活用方法やベストプラクティス、運用戦略について、高等教育機関同士が情報共有するためのコミュニティグループです。

あなたのキャンパスでHECVATに適したデータ収集ツールを使うには？

Jotformエンタープライズは、大学から初等教育機関まで、教育者や管理者が利用できる強力で使いやすいデータ収集ツールです。また、HECVATのCommunity Broker Indexにも掲載されており、すでに完了済みの HECVAT評価にアクセスできるため、リスク評価の時間を大幅に短縮できます。

Jotformはどのように活用することができますか？

教師は、オンラインテストの作成、宿題提出の収集、保護者への許可証への署名依頼など、Jotformを活用してクラス運営を効率化できます。
管理者は、Jotformを活用して、学生や教職員の満足度を測るアンケート作成や、各種手数料・卒業生からの寄付金のオンライン決済など、運営業務を効率化できます。

Jotform は、教員評価、成績アンケート、奨学金申請など約2,000の教育向けフォームテンプレートを提供。数分でフォームを作成できます。

高等教育機関は、フォーム以外にもいくつかの重要な機能を利用することができます：

アクセシビリティ。JotformのフォームはWCAG 2.1標準のレベルAとレベルAAに準拠しているので、セクション508に対応したフォームを作成する事ができます。
サインのしやすさ。Jotformサインを使って、生徒、保護者、スタッフ、その他の主要な関係者から電子サインを集めましょう。サインプロセスを自動化することで、関係者全員が正しい順序でドキュメントを閲覧し、サインすることができます。
セキュリティデータは、SOC2準拠の専用サーバーに保存されます。また、あなたのキャンパスが学生や教員から機密性の高い健康情報を収集する場合は、HIPAA機能を選択することができます。

HECVATに対応した手頃なソリューションで、キャンパスの成功に向けた体制を整えましょう。教育機関の皆さまは、特別割引の対象となります。まずは教育向けデータ収集フォームで始めてみませんか？