【UiPath】Automation Cloudのセキュリティについて整理した

はじめに

UiPathのプラットフォーム（Orchestrator等の製品群）にはデプロイメントが3種類ある。そのうち、UiPathがホストするクラウドであるAutomation Cloudは使える機能が最も多く、スモールスタートから手軽に拡張できるため多くの企業にとって最適な選択肢になる。

しかし、日本企業ではクラウドを利用する際セキュリティ面がネックとなりやすい。そのためこの記事では、その懸念を払しょくする参考材料としてUiPathのセキュリティへの取り組みや気になる疑問をまとめた。

UiPathのセキュリティへの取り組み

Health Insurance Portability and Accountability Act (HIPAA、医療保険の相互運用性と説明責任に関する法律 )
HIPAA の下、UiPath は、対象事業体およびその他の業務提携先に対する業務提携先として行動します。HIPAA認証は、UiPathがクラウドサービスプロバイダとしてのUiPathの事業に適用される管理的、物理的、技術的なセーフガードを設計し、実装していることを顧客やビジネスパートナーに独立した保証を提供します。 
UiPath は、HIPAA セキュリティ、プライバシー、および侵害通知規則内で適用される実装仕様に適合しているかどうか、UiPath の情報セキュリティおよびプライバシー プログラムを 6 か月ごとに調査するために、独立した公認会計士事務所に依頼しています。

出典：UiPath Security | UiPath

HITRUST

HITRUST Risk-based, 2-year (r2) Certifiedステータスは、UiPathが厳しい規制コンプライアンスと業界で定義された要件を満たし、リスクを適切に管理していることを証明するものです。この達成により、UiPathはこの認定を取得した世界中の組織の中でも排他的なグループに入ることになります。

出典：UiPath Security | UiPath

FAQ

Automation CloudのOrchestratorを日本で利用する場合、データセンターの場所やリージョンは選べる？

できる。テナント作成時にリージョンを選択する。各サービスのビジネスデータは選択したリージョンでホストされる。ただしCommunity および Free プランの場合は既定で欧州連合 (EU)となる。また、サービスによっては日本国内でホストされないものもあるので下記リンク先を確認することをおすすめする。
詳細はAutomation Cloud – データ所在地を参照。

IP制限はできる？

Enterpriseプランのみ可能。
設定方法等の詳細はAutomation Cloud – IP でアクセスを制限するを参照。

バージョンアップは自動で実施される？

1ヶ月に2回のペースで自動で実施される。

障害やメンテナンス情報はどこで確認できる？

UiPath Statusで確認できる。また、英語のみだがメールアドレスを登録することで通知を受け取ることもできる。

Orchestratorのログはどのくらいの期間まで保持されるのか？

監査ログは2年間、ロボットログは30日間保持する。
参考：Automation Cloud – ログについて

Orchestratorにはどういった情報が保存されますか？

下記に該当するデータが保存される。

• 登録したRobot（ユーザーや端末）に関するデータ
• Studioで開発した自動化ワークフローパッケージ
• ワークフロー実行時のログ
• アセットやストレージバケットの登録データ

Orchestratorを使うためにどのサイトをホワイトリストに入れるべき？

クライアント側のStudioおよびRobot、Cloud上のOrchestratorに接続するサービスについて記載された下記のページを参考に設定する。

• Studio – Studio が接続するサービス
• Robot – ロボットが接続するサービス

UiPathが提供するサービスのサービスレベルは？

下記を参照する。

• 概要 – プロダクト ライフサイクル サポート条項
• Support and SLA Policy

Automation CloudはISMAPを取得している？未取得ならその予定はある？

未取得。現時点で取得の予定もなし。