はじめに
HECVATとは何ですか?HECVATは、高校のドイツ語の授業で発音できなかった言葉のように聞こえるかもしれないですが、実は高等教育における情報セキュリティに関連するアメリカの頭字語なのです。
カーネギーメロン大学、プリンストン大学、ライス大学を含む全米の150以上の私立・公立大学が、ベンダーのリスクを評価する方法としてHECVATを使用しています。
しかし、HECVATには一段落でまとめられる以上のことがあり、それがこの詳細な記事を作成した理由です。HECVATとその評価ツールの詳細については、以下のセクションをお読みください。
HECVATとは何ですか?
HECVATは、Higher Education Community Vendor Assessment Toolkitの略です。高等教育情報セキュリティ協議会(Higher Education Information Security Council:HEISC)が、コンピュータ・ネットワーク・コンソーシアムInternet2およびサイバーセキュリティ・アライアンスREN-ISACと共同で作成しました。
HECVATは、高等教育機関が情報セキュリティに関するベンダーのリスクを測定するために設計されたツール群です。ベンダーの評価プロセスの一環として、大学はベンダーに対し、教育機関の機密情報および学生、職員、その他の利害関係者の個人を特定できる情報(PII)を保護する事と、十分な情報およびサイバーセキュリティポリシーが実施されていることを確認するために、いくつかのHECVATアンケートのうちの1つに回答するよう求めることができます。
HECVATの協力企業について
HECVATアンケートは、情報ネットワークとセキュリティの専門家3チームが協力して開発したため、信頼できる評価ツールとなっています:
- HEISC. Established in 2000, HEISC is a team of information security and privacy professionals dedicated to helping higher education institutions improve information security governance, compliance, and data protection.
- Internet2. Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a “secure high-speed network, cloud solutions, research support, and services tailored for research and education.”
- REN-ISAC. The Research and Education Networks Information Sharing and Analysis Center is an international alliance that provides cybersecurity news reports, alerts, and advisories, along with analysis of cybersecurity threats and mitigation solutions. The alliance has over 700 member institutions.
なぜHECVATが重要なのでしょうか?
According to a 2022 survey by cybersecurity firm Sophos, 64 percent of higher ed institutions experienced at least one ransomware attack in 2021, up from 44 percent in 2020. A staggering 74 percent of these attacks were successful. Compare this success rate to the global average of 65 percent.
ランサムウェア攻撃は、組織、特に高等教育機関に重大な影響を及ぼしています。ソフォスの調査によると、公共部門の高等教育機関の回答者のほぼ全員(97%)が、攻撃によって事業運営に影響を受けたと回答しており、民間部門の高等教育機関の回答者の96%が、攻撃によって事業や収益が失われたと回答しています。
なぜこのような機関は、悪質な行為者にとって魅力的なターゲットになるのだろうか?これらの要因を考えてみよう:
- 彼らには大量のデータがある。大学は、政府機関や学術パートナーからの研究データはもちろんのこと、学生や教員に関する豊富な個人データを保持しています。
- ネットワークは攻撃を受けやすい。大規模で定評のある大学では、レガシー・システムを維持する傾向があり、最新のシステムよりも脆弱性が多い場合が多いです。さらに、これらのシステムに接続する数多くの個人用および学内用デバイスやソフトウェアが、攻撃の機会を多く提供しています。特に、これらのデバイスを使用する個人が、安全性よりも利便性を優先する場合です。
- 予算に限りがある。公立も私立も予算が限られていることが多く、また、ITやサイバーセキュリティよりも、陸上競技のような目につきやすく市場価値の高い部門に財源を配分する傾向があります。
このような問題の多いサイバーセキュリティの傾向と上記のようなターゲット要因から、高等教育機関においてHECVATのようなセキュリティ手法が必要とされる理由は不思議ではありません。このツールキットにより、大学は時間を節約し、ベンダーのリスク評価を標準化し、それらのベンダーがセキュリティとプライバシーの分野で適切に評価されていることを確認することができます。
4 HECVAT ツール
HECVATの一連のツールには、高等教育機関が一貫したリスクとセキュリティの評価プログラムを採用し、実施し、維持することを可能にする4つの質問票が含まれています。各アンケートは、それぞれ異なる厳密さのレベルを表しており、1つは実際に内部で使用するためのものです。
注:これらのツールの最新バージョンは全て、EDUCAUSE HECVATのウェブページからダウンロード可能なエクセルファイルとして入手することができます。
1.HECVAT - トリアージ
以下で説明するフルツール、ライトツール、オンプレミスツールとは異なり、トリアージツールはベンダーが完了するためのものではありません。これはHECVATをよく知らない人によくある誤解です。その代わり、このツールはサードパーティプロバイダーやソフトウェアソリューションと組織データを共有したい部署や個々の教員のような内部の要求者のためのものです。
このツールを通じて、依頼者は、使用例、調達、機関技術など6つのカテゴリーにわたる約35の質問を通じて、データ共有の意図、範囲、要素、技術要件をドキュメント化し、要約します。このアンケートに回答することは、IT部門がリスクとセキュリティの評価を開始し、他のツールを使ってベンダーを評価するための前提条件となります。
質問の例をいくつか挙げてみましましょう:
- 教育機関のデータを収容し、サードパーティのソフトウェア/サービスを利用し、および/または教育機関のエンタープライズ・システムとの統合を要請する部署および業務分野の概要を記入してください。
- この査定依頼について、教育機関の調達専門家と相談しましたか?
- このサードパーティのソフトウェア/サービス、部門アプリケーション、または企業システムとの統合をサポートする際の、教育機関のIT責任を記述します。
2. HECVAT — 完全
最も重要なデータ共有契約を評価するために設計されたこの完全ツールは、HIPAA、脆弱性スキャン、ドキュメント化、災害復旧など20以上のカテゴリーにわたって、ベンダーの実践に関する250以上の質問に対する回答を求めています。
以下は完全なツールの質問例です:
- 貴社の従業員は、HIPAAプライバシー・セキュリティ規則およびHITECH法に関連した研修を定期的に受けていますか?
- 貴社のシステムとアプリケーションは、過去1年以内に第三者によるセキュリティ評価を完了しましたか?
- SSAE18/SOC2監査を受けたことがありますか?
- あなたの組織には災害復旧サイトがありますか?または災害復旧プロバイダーと契約していますか?
3. HECVATーライト
この簡易版ツールは、ベンダーの評価プロセスを迅速化すると同時に、重要なセキュリ ティ上の懸念事項に対処するために使用されます。ベンダーは、ITアクセシビリティ、システム管理、データセンター、インシデント対応など、12のカテゴリにわたって約100の質問を含む Liteツールを完了します。フルツールに含まれるHIPAAや脆弱性スキャンなどのカテゴリーは、このツールには含まれていません。
Liteツールの質問例をいくつかご紹介します:
- 第三者の専門家が、貴社製品の最新バージョンのアクセシビリティ監査を実施しましたか?
- 教育機関のセキュリティ態勢に影響を及ぼす可能性のある環境の重大な変更について、教育機関に通知されますか?
- 御社は、教育機関のデータが置かれる物理的なデータセンターを管理していますか?
- 24時間365日、インシデントに対応する能力はありますか?
4. HECVAT — オンプレミス型
FullおよびLiteツールと同様に、ベンダーはリスクを評価するOn-Premiseツールに回答します。ただし、質問項目は他のツールよりも短く、オンプレミス・ソリューション向けに調整されている。このツールには、データベース、ポリシー、ファイアウォールなど、10のカテゴリーにわたる70の質問が含まれています。
オンプレミスツールからの質問例をいくつかご紹介します:
- データベースは、ストレージ内の指定されたデータ要素の暗号化をサポートしていますか?
- 製品のライフサイクルに情報セキュリティ原則が組み込まれていますか?
- ホストベースの侵入検知を採用していますか?
HECVATに関するその他のリソース
HECVATは、高等教育機関向けにアンケートの他に2つの資料を提供しています:
- Community Broker Index (CBI). The CBI provides a consistently updated list of vendors willing to share their completed HECVAT assessments. Higher ed institutions can refer to this list to save time in determining risk-suitable vendor solutions.
- ユーザーコミュニティグループ。このグループは、HECVATを使用するための情報、ベストプラクティス、戦略を共有するフォーラムを高等教育機関に提供します。
あなたのキャンパスでHECVATに適したデータ収集ツールを使うには?
Jotformエンタープライズ は、主要な大学や小学校の教育者や管理者にとって、パワフルで使いやすいデータ収集ツールです。また、HECVATのコミュニティブローカーインデックスに登録されており、すでに完了したHECVAT評価にアクセスすることができ、リスク評価の時間を節約することができます。
Jotformはどのように活用することができますか?
- Teachers can use Jotform to manage their classrooms by designing online tests, collecting homework assignments, or asking parents to sign permission slips.
- Administrators can use Jotform to handle operational tasks such as building surveys to measure student or teacher satisfaction or accepting online payments for fees and alumni donations.
Jotform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes.
高等教育機関は、フォーム以外にもいくつかの重要な機能を利用することができます:
- アクセシビリティ。JotformのフォームはWCAG 2.1標準のレベルAとレベルAAに準拠しているので、セクション508に対応したフォームを作成する事ができます。
- サインのしやすさ。Jotformサインを使って、生徒、保護者、スタッフ、その他の主要な関係者から電子サインを集めましょう。サインプロセスを自動化することで、関係者全員が正しい順序でドキュメントを閲覧し、サインすることができます。
- セキュリティデータは、SOC2準拠の専用サーバーに保存されます。また、あなたのキャンパスが学生や教員から機密性の高い健康情報を収集する場合は、HIPAA機能を選択することができます。
HECVATに適した手頃な価格のソリューションで、あなたのキャンパスを成功に導きます。\n教育機関は大幅な割引を受けることができます!今すぐ教育データ収集フォームをご利用ください