エンタープライズ
セールスへ問い合わせる サインアップ

Jotformエンタープライズ

HECVAT

高等教育向けクラウドベンダー評価ツールキット

高等教育向けクラウドベンダー評価ツールキット(HECVAT)について

高等教育向けクラウドベンダー評価ツールキット、通称HECVATは、高等教育機関がクラウドサービスやソフトウェアのベンダーが、セキュリティやデータの基準を満たしているかどうかを確認するために使用する、自己評価アンケートのフレームワークです。HECVATは、EDUCAUSEInternet2REN-ISACの協力を得て、高等教育情報セキュリティ協議会(HEISC)によって作成されました。評価のツールは、大多数の高等教育機関が同じセキュリティ・プロトコルとプラクティスに従うことを確認するために標準化されています。

2023年現在、JotformはJotformエンタープライズのHECVATセルフアセスメントを完了したことをお知らせします。Jotformエンタープライズを利用し、安心して教育用フォームやアプリを作成することができます。

JotformのHECVATセルフアセスメントは、REN-ISACのCloud Broker Indexで公開されています。

セールスへ問い合わせる

HECVATとは何で、なぜ重要なのか?

Introduction

HECVATとは何ですか?HECVATは、高校のドイツ語の授業で発音できなかった言葉のように聞こえるかもしれないですが、実は高等教育における情報セキュリティに関連するアメリカの頭字語なのです。

カーネギーメロン大学、プリンストン大学、ライス大学を含む全米の150以上の私立・公立大学が、ベンダーのリスクを評価する方法としてHECVATを使用しています。

しかし、HECVATには一段落でまとめられる以上のことがあり、それがこの詳細な記事を作成した理由です。HECVATとその評価ツールの詳細については、以下のセクションをお読みください。

HECVATとは何ですか?

HECVATは、Higher Education Community Vendor Assessment Toolkitの略です。高等教育情報セキュリティ協議会(Higher Education Information Security Council:HEISC)が、コンピュータ・ネットワーク・コンソーシアムInternet2およびサイバーセキュリティ・アライアンスREN-ISACと共同で作成しました。

HECVATは、高等教育機関が情報セキュリティに関するベンダーのリスクを測定するために設計されたツール群です。ベンダーの評価プロセスの一環として、大学はベンダーに対し、教育機関の機密情報および学生、職員、その他の利害関係者の個人を特定できる情報(PII)を保護するために十分な情報およびサイバーセキュリティポリシーが実施されていることを確認するために、いくつかのHECVATアンケートのうちの1つに回答するよう求めることができます。

HECVATの協力企業について

HECVATアンケートは、情報ネットワークとセキュリティの専門家3チームが協力して開発したため、信頼できる評価ツールとなっています:

  • HEISC。2000年に設立されたHEISCは、情報セキュリティとプライバシーの専門家チームであり、高等教育機関の情報セキュリティ・ガバナンス、コンプライアンス、データ保護の向上を支援しています。
  • インターネット2。正式名称はUniversity Corporation for Advanced Internet Development(UCAID)で、高等教育機関や研究機関、政府機関、企業、文化団体などが参加する非営利コンソーシアムである。その目的は、"安全な高速ネットワーク、クラウド・ソリューション、研究支援、研究・教育に合わせたサービス "を提供することです。
  • REN-ISAC Research and Education Networks Information Sharing and Analysis Center(REN-ISAC)は、サイバーセキュリティに関するニュースレポート、アラート、アドバイザリー、サイバーセキュリティの脅威とその緩和策に関する分析を提供する国際的なアライアンスです。このアライアンスには700以上の加盟機関があります。

なぜHECVATが重要なのでしょうか?

サイバーセキュリティ企業ソフォスの2022年の調査によると、高等教育機関の64% が2021年に少なくとも1回のランサムウェア攻撃を経験しており、2020年の44%から増加していて、これらの攻撃のうち74%が成功しています。この成功率を世界平均の65パーセントと比較してみましょう。

ランサムウェア攻撃は、組織、特に高等教育機関に重大な影響を及ぼしています。ソフォスの調査によると、公共部門の高等教育機関の回答者のほぼ全員(97%)が、攻撃によって事業運営に影響を受けたと回答しており、民間部門の高等教育機関の回答者の96%が、攻撃によって事業や収益が失われたと回答しています。

なぜこのような機関は、悪質な行為者にとって魅力的なターゲットになるのだろうか?これらの要因を考えてみよう:

  • 彼らには大量のデータがある。大学は、政府機関や学術パートナーからの研究データはもちろんのこと、学生や教員に関する豊富な個人データを保持しています。
  • ネットワークは攻撃を受けやすい。大規模で定評のある大学では、レガシー・システムを維持する傾向があり、最新のシステムよりも脆弱性が多い場合が多いです。さらに、これらのシステムに接続する数多くの個人用および学内用デバイスやソフトウェアが、攻撃の機会を多く提供しています。特に、これらのデバイスを使用する個人が、安全性よりも利便性を優先する場合です。
  • 予算に限りがある。公立も私立も予算が限られていることが多く、また、ITやサイバーセキュリティよりも、陸上競技のような目につきやすく市場価値の高い部門に財源を配分する傾向があります。

このような問題の多いサイバーセキュリティの傾向と上記のようなターゲット要因から、高等教育機関においてHECVATのようなセキュリティ手法が必要とされる理由は不思議ではありません。このツールキットにより、大学は時間を節約し、ベンダーのリスク評価を標準化し、それらのベンダーがセキュリティとプライバシーの分野で適切に評価されていることを確認することができます。

4 HECVAT ツール

HECVATの一連のツールには、高等教育機関が一貫したリスクとセキュリティの評価プログラムを採用し、実施し、維持することを可能にする4つの質問票が含まれています。各アンケートは、それぞれ異なる厳密さのレベルを表しており、1つは実際に内部で使用するためのものです。

注:これらのツールの最新バージョンは全て、EDUCAUSE HECVATのウェブページからダウンロード可能なエクセルファイルとして入手することができます。

1.HECVAT - トリアージ

以下で説明するフルツール、ライトツール、オンプレミスツールとは異なり、トリアージツールはベンダーが完了するためのものではありません。これはHECVATをよく知らない人によくある誤解です。その代わり、このツールはサードパーティプロバイダーやソフトウェアソリューションと組織データを共有したい部署や個々の教員のような内部の要求者のためのものです。

このツールを通じて、依頼者は、使用例、調達、機関技術など6つのカテゴリーにわたる約35の質問を通じて、データ共有の意図、範囲、要素、技術要件をドキュメント化し、要約します。このアンケートに回答することは、IT部門がリスクとセキュリティの評価を開始し、他のツールを使ってベンダーを評価するための前提条件となります。

質問の例をいくつか挙げてみましましょう:

  • 教育機関のデータを収容し、サードパーティのソフトウェア/サービスを利用し、および/または教育機関のエンタープライズ・システムとの統合を要請する部署および業務分野の概要を記入してください。
  • この査定依頼について、教育機関の調達専門家と相談しましたか?
  • このサードパーティのソフトウェア/サービス、部門アプリケーション、または企業システムとの統合をサポートする際の、教育機関のIT責任を記述します。

2. HECVAT — 完全

最も重要なデータ共有契約を評価するために設計されたこの完全ツールは、HIPAA、脆弱性スキャン、ドキュメント化、災害復旧など20以上のカテゴリーにわたって、ベンダーの実践に関する250以上の質問に対する回答を求めています。

以下は完全なツールの質問例です:

  • 貴社の従業員は、HIPAAプライバシー・セキュリティ規則およびHITECH法に関連した研修を定期的に受けていますか?
  • 貴社のシステムとアプリケーションは、過去1年以内に第三者によるセキュリティ評価を完了しましたか?
  • SSAE18/SOC2監査を受けたことがありますか?
  • あなたの組織には災害復旧サイトがありますか?または災害復旧プロバイダーと契約していますか?

3. HECVATーライト

この簡易版ツールは、ベンダーの評価プロセスを迅速化すると同時に、重要なセキュリ ティ上の懸念事項に対処するために使用されます。ベンダーは、ITアクセシビリティ、システム管理、データセンター、インシデント対応など、12のカテゴリにわたって約100の質問を含む Liteツールを完了します。フルツールに含まれるHIPAAや脆弱性スキャンなどのカテゴリーは、このツールには含まれていません。

Liteツールの質問例をいくつかご紹介します:

  • 第三者の専門家が、貴社製品の最新バージョンのアクセシビリティ監査を実施しましたか?
  • 教育機関のセキュリティ態勢に影響を及ぼす可能性のある環境の重大な変更について、教育機関に通知されますか?
  • 御社は、教育機関のデータが置かれる物理的なデータセンターを管理していますか?
  • 24時間365日、インシデントに対応する能力はありますか?

4. HECVAT — オンプレミス型

FullおよびLiteツールと同様に、ベンダーはリスクを評価するOn-Premiseツールに回答します。ただし、質問項目は他のツールよりも短く、オンプレミス・ソリューション向けに調整されている。このツールには、データベース、ポリシー、ファイアウォールなど、10のカテゴリーにわたる70の質問が含まれています。

オンプレミスツールからの質問例をいくつかご紹介します:

  • データベースは、ストレージ内の指定されたデータ要素の暗号化をサポートしていますか?
  • 製品のライフサイクルに情報セキュリティ原則が組み込まれていますか?
  • ホストベースの侵入検知を採用していますか?

HECVATに関するその他のリソース

HECVATは、高等教育機関向けにアンケートの他に2つの資料を提供しています:

  • コミュニティブローカーインデックス(CBI)CBIは、完了したHECVAT評価を共有する意思のあるベンダーの常に更新されるリストを提供します。高等教育機関はこのリストを参照することで、リスクに適したベンダーソリューションを決定する時間を節約することができます。
  • ユーザーコミュニティグループ。このグループは、HECVATを使用するための情報、ベストプラクティス、戦略を共有するフォーラムを高等教育機関に提供します。

あなたのキャンパスでHECVATに適したデータ収集ツールを使うには?

Jotformエンタープライズ は、主要な大学や小学校の教育者や管理者にとって、パワフルで使いやすいデータ収集ツールです。また、HECVATのコミュニティブローカーインデックスに登録されており、すでに完了したHECVAT評価にアクセスすることができ、リスク評価の時間を節約することができます。

Jotformはどのように活用することができますか?

Jotformには、教師評価や学業成績アンケートから奨学金申請まで、約2000種類の教育フォームテンプレートが用意されていて、わずか数分でフォームを作成する事ができます。

高等教育機関は、フォーム以外にもいくつかの重要な機能を利用することができます:

  • アクセシビリティ。JotformのフォームはWCAG 2.1標準のレベルAとレベルAAに準拠しているので、セクション508に対応したフォームを作成する事ができます。
  • サインのしやすさ。Jotformサインを使って、生徒、保護者、スタッフ、その他の主要な関係者から電子サインを集めましょう。サインプロセスを自動化することで、関係者全員が正しい順序でドキュメントを閲覧し、サインすることができます。
  • セキュリティデータは、SOC2準拠の専用サーバーに保存されます。また、あなたのキャンパスが学生や教員から機密性の高い健康情報を収集する場合は、HIPAA機能を選択することができます。

HECVATに適した手頃な価格のソリューションで、あなたのキャンパスを成功に導きます。\n教育機関は大幅な割引を受けることができます!今すぐ教育データ収集フォームをご利用ください