カスタマーサービスを安全に提供する

Zendesk Security

Zendeskは、90,000社以上もの企業から信頼され、大切な顧客データをおまかせいただいています。この事実を軽々しく受け止めるわけにはいきません。エンタープライズクラスのセキュリティ機能と、アプリケーション、システム、ネットワークの包括的な監視機能を組み合わせることにより、顧客データおよびビジネスのデータを常に安全に保護いたします。Zendeskのお客様は、データの保管とやり取り、そしてビジネスが安全に保護されることで、ご安心いただけます。

ベストプラクティス

Zendeskは、データのセキュリティを保護するための広範なセキュリティオプションを提供しています。もっとも、予防は治療の20倍の価値があります。ここでご紹介する10個のベストプラクティスに従うことで、自社のZendeskのセキュリティを向上させることができます。

さらに詳しく

お客様の視点から

データセンター&ネットワークセキュリティ

物理セキュリティ
設備・施設 Zendeskのサーバーは、Tier III、SSAE-16、PCI DSS、ISO 27001のいずれかに準拠した施設でホストされています。当社のケージスペースは、物理的および論理的に、データセンターの他のカスタマーから分離されています。コロケーション施設は、冗長電源により電力を供給され、それぞれがUPSとバックアップ用発電機を備えています。
オンサイトセキュリティ 当社のデータセンター施設は、マルチレベルのセキュリティゾーン、24時間年中無休体制の有人警備、CCTV監視カメラ、生体認証制御を含む多様素認証、物理的な鍵、セキュリティ侵害アラームで保護された境界を備えています。
監視 すべてのシステム、ネットワークで接続されたデバイスおよび回路を、Zendeskおよびコロケーションプロバイダーが常時監視します。
場所 ZendeskのデータセンターはEUおよび米国にあります。データの保管先として「米国のみ」または「EUのみ」を選択できます。詳しくは、当社のEUデータホスティングポリシーをお読みください*Data Center Locationアドオンでのみ利用可能
ネットワークセキュリティ
専任のセキュリティチーム 当社のセキュリティチームは、セキュリティアラートやセキュリティイベントの発生に備えて24時間年中無休で待機しています。
保護 当社のネットワークは、冗長レイヤー7のファイアウォール、クラス最高のルータ技術、パブリックネットワークを介した安全なHTTPSトランスポート、定期的な監査、悪意のあるトラフィックとネットワーク攻撃を監視・防御するネットワーク侵入検知/防止技術(IDS / IPS)により、保護されています。
アーキテクチャ 当社のネットワークセキュリティアーキテクチャは、信頼できる複数のセキュリティゾーンで構成されています。データベースサーバーなど、より機密性の高いサーバーは、最も信頼性の高いゾーンで保護されます。他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーン内に収容されます。ゾーンに応じて、追加のセキュリティ監視およびアクセス制御が適用されます。DMZは、インターネットと内部ネットワークとの間、および信頼性の異なるゾーン間で利用できます。
ネットワークの脆弱性スキャン ネットワークセキュリティスキャンにより、コンプライアンスに準拠していないシステムや潜在的に脆弱なシステムをすばやく特定するための深い洞察を得られます。
サードパーティによる侵入テスト 社内で広範に実施するスキャニングとテストプログラムに加えて、毎年サードパーティのセキュリティ専門家に依頼し、Zendeskの本番ネットワーク全体に対する幅広い侵入テストを実行しています。
セキュリティインシデントイベント管理(SIEM) セキュリティインシデントイベント管理(SIEM)システムは、重要なネットワークデバイスとホストシステムから膨大なログを収集します。SIEMにより、相関イベントに基づいてセキュリティチームに通知するトリガが作成されます。セキュリティチームはこれらのイベントに応答します。
侵入検知と防御 主要なアプリケーションデータフローの入力ポイントと出力ポイントは、侵入検知システム(IDS)や侵入防止システム(IPS)で監視されます。このシステムは、インシデントと値が所定のしきい値を超えたときに警告を生成し、新たな脅威に基づいて定期的に更新される署名を使用するように構成されています。これには、24時間年中無休のシステム監視も含まれます。
脅威インテリジェンスプログラム Zendeskは、多数の脅威インテリジェンス共有プログラムに参加しています。Zendeskは、これらの脅威インテリジェンスネットワークに投稿された脅威を監視し、当社のリスクおよびエクスポージャーに基づいて対処します。
DDoS攻撃の緩和策 独自の機能やツールに加えて、Zendeskは、分散型サービス拒否攻撃(DDoS)を軽減するために、オンデマンドのDDoS攻撃スクラビングプロバイダーと契約しています。
論理アクセス Zendeskの本番ネットワークへのアクセスは、明示的なneed-to-know原則で制限されています。最小特権の原則で運用され、頻繁に監査および監視されており、Zendeskのオペレーションチームによって管理されています。Zendeskの本番ネットワークにアクセスする従業員は、多要素認証を実行する必要があります。
セキュリティインシデント対応 システムアラートが発生すると、イベントは、オペレーション、ネットワークエンジニアリング、セキュリティ保障を提供する当社の24時間年中無休チームにエスカレートされます。従業員は、コミュニケーションチャネルおよびエスカレーションパスを含む、セキュリティインシデント対応プロセスのトレーニングを受けています。
暗号化
転送時の暗号化 業界標準のベストプラクティスであるHTTPSおよびTransport Layer Security(TLS)を使用し、Zendeskサーバーとの通信を暗号化します。
保管時の暗号化 Zendeskは、カスタマーデータの保管時の暗号化をサポートします。*Advanced Securityアドオンでのみ使用可能
可用性と継続性
アップタイム Zendeskは、だれでもアクセスできるシステムステータスWebページを公開しており、システム可用性の詳細情報、保守スケジュール、サービスインシデント履歴、関連するセキュリティイベントなどを掲載しています。
冗長性 Zendeskのサービスクラスタリングおよびネットワーク冗長性は、単一障害点を解消します。当社の厳格なバックアップ体制により、カスタマーデータは、システムと施設の両方にわたってアクティブにレプリケートされます。データベースデータは、データベースクラスタごとに複数のサーバーで効率的なフラッシュメモリデバイスに保管されます。
ディザスタリカバリ Zendeskのディザスタリカバリプログラムは、災害発生時に当社のサービスを稼動し続けること、または速やかに復旧することを保証します。これは、堅牢な技術環境の構築、災害復旧計画の策定、およびテストを通じて達成されます。
ディザスタリカバリの強化 強化されたディザスタリカバリでは、カスタマーデータを含む全体の動作環境は、セカンダリサイトにレプリケートされ、プライマリサイトが完全に使用できなくなった場合のサービスの継承をサポートします。Zendeskは、このサービスの対象と復帰時間目標(RTO)と目標復旧時点(RPO)を定義しています。 *Advanced Security アドオンでのみ使用可能

アプリケーションセキュリティ

安全な開発(SDLC)
セキュリティトレーニング 少なくとも毎年1回、エンジニアはセキュアコーディングトレーニングに参加します。このトレーニングでは、OWASP Top 10のセキュリティ上の弱点、よくある攻撃ベクトル、およびZendeskのセキュリティ管理について学びます。
Ruby on Railsフレームワークセキュリティ管理 当社は、Ruby on Railsフレームワークセキュリティ管理を活用し、 OWASP Top 10のセキュリティ上の欠陥を狙われないように対策しています。中でも、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、およびSQLインジェクション(SQLI)への露出を削減する固有のコントロールが含まれています。
QA 当社のQA部門がコードベースをレビューし、テストします。多数のアプリケーションセキュリティ専任のエンジニアが、コード内のセキュリティ脆弱性を特定し、テストし、トリアージします。
環境の分離 テスティング環境およびステージング環境は、物理的にも論理的にも本番環境と分離されています。実際のカスタマーデータは、開発環境またはテスト環境で一切使用されません。
アプリケーションの脆弱性
動的な脆弱性スキャン 当社では、Zendeskアプリケーションの継続的なスキャニングに定評あるサードパーティ製のセキュリティツールを多数導入しています。また、OWASP Top 10のセキュリティ上の欠陥に対するスキャンを毎日実行しています。さらに、社内に専任の製品セキュリティチームを組織しています。同チームは、エンジニアリングチームと協力してテストを重ね、発見された問題を修復しています。
静的コード分析 当社のプラットフォーム用およびモバイルアプリケーション用のソースコードリポジトリはどちらも、統合された静的解析ツールを使用して、セキュリティ上の問題がないか継続的にスキャンされます。
セキュリティ侵入テスト 広範な社内用スキャンおよびテストプログラムに加えて、四半期ごとにサードパーティのセキュリティ専門家に依頼し、アプリケーションの異なる領域に対する詳細な侵入テストを実行しています。
責任ある開示/バグバウンティプログラム 当社の責任ある開示プログラムは、セキュリティ研究者にHackerOneとのパートナーシップを通じて、Zendeskのセキュリティ脆弱性をテストおよび通知するための手段を提供します 。

製品のセキュリティ機能

安全な開発(SDLC)
認証オプション 管理者/エージェント向けには、Zendeskサインイン、SSO、およびGoogle認証をサポートしています。エンドユーザー向けには、Zendeskサインイン、SSO、およびソーシャルメディアサインイン(Facebook、Twitter、Google)をサポートしています。
シングルサインオン(SSO) シングルサインオン(SSO)を使用すると、Zendeskへのアクセス時に追加のログイン資格情報の入力を要求することなく、ユーザーを自社のシステムで認証できます。Zendeskは、お客様が認証したユーザーだけにアクセスを許可します。JSON Web Token(JWT)とSecurity Assertion Markup Language(SAML)のどちらもサポートされます。SSOについてさらに詳しく
*SAMLは ProfessionalおよびEnterpriseアカウントでのみ使用可能
*JWTはTeamアカウント以上でのみ使用可能
設定可能なパスワードポリシー Zendeskのパスワードセキュリティレベルは、低、中、高の3種類です。エンドユーザー向けのパスワードセキュリティレベルと、管理者/エージェント向けのパスワードセキュリティレベルには、それぞれ異なるレベルを設定できます。パスワードセキュリティレベルを変更できるのは管理者だけです。ProfessionalプランとEnterpriseプランでは、カスタムのパスワードセキュリティレベルを指定できます。
2要素認証(2FA) Zendeskでサインインする場合、2要素認証(2FA)を有効にできます。Zendeskでは、Authy Google AuthenticatorなどのSMSアプリケーションを使ってパスコードを作成できます。2要素認証でZendeskアカウントに別のセキュリティレイヤを提供することで、なりすましで他の人にサインインされないよう保護します。2要素認証についてさらに詳しく
資格情報の安全な保管 Zendeskは認証情報の安全な保管のベストプラクティスに従っており、人間が読める形式でパスワードを格納することはありません。パスワードは、安全な、暗号化された一方向のハッシュ値として格納されます。
APIセキュリティおよび認証 Zendesk APIの認証方式はSSLのみです。APIリクエストを実行するには、認証済みユーザーであることが必要です。APIに対して認証を行う場合、ユーザー名とパスワードから成るBASIC認証を使用することも、APIトークンとユーザー名の組み合わせを使用することもできます。また、OAuth認証もサポートされています。APIセキュリティについてさらに詳しく
追加の製品セキュリティ機能
権限とロールへのアクセス Zendesk内のデータへのアクセスは、アクセス権によって管理され、きめ細かなアクセス権を定義するように構成することができます。Zendeskにアクセスするユーザー(所有者、管理者、エージェント、エンドユーザーなど)に応じて、様々な権限レベルが用意されています。アクセスレベルについてさらに詳しく
IP制限 Zendeskは、管理者が定義した特定のIPアドレスからのアクセスのみを許可するように設定できます。これらの制限は、すべてのユーザーに適用することも、エージェントのみに適用することもできます。IP制限についてさらに詳しく
*Enterpriseアカウントでのみ使用可能
プライベート添付ファイル ユーザーがチケットの添付ファイルを閲覧しようとしたときにサインインを要求するように、Zendeskを設定することができます。そのように設定しない場合、添付ファイルはランダムトークンチケット経由でアクセスできます。
伝送時のセキュリティ Zendeskサーバーにおける通信はすべて、業界標準のHTTPSを使用して暗号化されます。これにより、お客様とZendeskとの間に発生するトラフィックすべてが、伝送中にセキュリティ保護されます。また、電子メールについては、Transport Layer Security(TLS)をサポートします。これは、メールサーバー間での盗聴やなりすましを軽減するために、電子メールを暗号化して安全に配信するプロトコルです。
メールの署名(DKIM/DMARC) Zendeskは、DKIM(Domain Keys Identified Mail)およびDMARC(Domain-based Message Authentication, Reporting & Conformance)をサポートし、Zendeskに外部メールドメインを設定した場合に、Zendeskから送信するメールに署名を行います。これらの機能をサポートしているメールサービスを使用することで、なりすましメールを防ぐことができます。メールのデジタル署名についてさらに詳しく
デバイス追跡 セキュリティを強化するために、Zendeskは、各ユーザーアカウントのサインイン時に使用されたデバイスを追跡します。ユーザーが新しいデバイスからアカウントにサインインした場合、そのデバイスがユーザープロフィールのデバイスリストに追加されます。新しいデバイスがリストに追加されるとユーザーにメール通知が届くので。身に覚えがなく疑わしい場合は、フォローアップできます。
自動墨消し 自動墨消し機能は、チケットのコメントやカスタムフィールドに入力されたクレジットカード番号の桁数を墨消し(削除)します。この機能により、機密情報を保護できます。届いたチケットにカードデータが含まれていた場合、そのデータは墨消しされ、Zendeskにクレジットカード番号が保存されることはありません。自動墨消しについてさらに詳しく
*ProfessionalおよびEnterpriseアカウントでのみ使用可能
ヘルプセンターおよびWebポータル用のスパムフィルター Zendeskは、エンドユーザーによるスパム投稿がヘルプセンターやWebポータルに公開されないように未然に防ぐ、スパムフィルタリングサービスをサポートします。ヘルプセンターおよびWebポータルでのスパムフィルタリングについてさらに詳しく

追加のセキュリティ手順

セキュリティ意識向上
ポリシー Zendeskは、幅広いトピックに対応する包括的なセキュリティポリシーのセットを策定しています。これらのポリシーは、およびZendeskの情報資産へのアクセス権を持つすべての従業員および請負業者に公開および提供されています。
トレーニング すべての新入社員は、セキュリティ意識向上のトレーニングに出席します。また、セキュリティチームは、メールやブログ記事、社内イベントにおけるプレゼンテーションなどを通じて、セキュリティ意識向上に関する最新情報を周知します。
従業員の審査
身元調査 Zendeskは、現地の法律に従って、新しい従業員全員に対して身元調査を行います。また、請負業者に対しても同じ調査を必ず行っています。身元調査には、犯罪歴、学歴、就労資格証明などの調査を含みます。清掃スタッフも身元調査の対象です。
機密保持契約 すべての新入社員は、採用プロセス中にこの調査の対象となります。また、機密保持契約書への署名も求められます。

コンプライアンス証明書とメンバーシップ

セキュリティコンプライアンス
SOC 2 Type II Zendeskには、独自のSOC 2 Type IIレポートがあり、NDA契約締結の上で閲覧可能です。詳細については、security@zendesk.comまでお問い合わせください。
ISO 27001:2013 ZendeskはISO 27001:2013の認定を受けています。
ISO 27018:2014 ZendeskはISO 27018:2014の認定を受けています。
メンバーシップ
Skyhigh Enterprise-Ready Zendeskは、CloudTrust™プログラムの最高評価であるSkyhigh Enterprise-Ready™シールを取得しています。これは、完全なデータ保護、身元確認、サービスのセキュリティ、ビジネス慣行、および法的保護のための最も厳格な要件を満たすクラウドサービスに贈られるものです。
Cloud Security Alliance Zendeskは、Cloud Security Alliance(CSA)のメンバーです。CSAは、クラウドコンピューティングにおけるセキュリティ確保を実現するためのベストプラクティスの使用の推進を使命とする非営利組織です。CSAは、Security, Trust & Assurance Registry(STAR)を立ち上げました。これは、誰でもアクセスできる公開レジストリで、クラウドプロバイダが様々なクラウドコンピューティングのセキュリティコントロールについて登録し公開することができます。Zendeskは、デューデリジェンスの自己評価の結果に基づいて、公開されているConsensus Assessment Initiative(CAI)アンケートを完了しました。
プライバシー証明書
TRUSTe® Privacy Certification Programs Zendeskは、TRUSTeのプライバシーシールの認証を取得しています。このシールはZendeskのプライバシーポリシーおよびZendeskのプライバシーに対する取り組みがTRUSTeプログラムとの適合性を審査されたことを示します。(ライセンシー確認ページで、認証の取得を確認いただけます)
米国とスイス間のセーフハーバープログラム Zendeskは、米国商務省によって規定された米国とスイス間のセーフハーバーフレームワーク(Safe Harbor Frameworks)の遵守を保証いたします。
プライバシーポリシー Zendeskのプライバシーについてさらに詳しく
業界標準へのコンプライアンス
HIPAA ZendeskはHIPAA/HITECH認証基準に合格しており、サブクスクライバーによる実施には、Business Associate Agreement(BAA)を提供できます。*HIPAA/HITECH評価はすべてのプランレベルで合格しています。BAAはAdvanced Securityアドオンでのみ使用可能
PCI環境でのZendeskの使用 PCI準拠に関するホワイトペーパーをご覧ください。PCI準拠のフィールドについての詳しい説明もお読みいただけます。
  • AICPA
  • BSI ISO/IEC 27001
  • Skyhigh Enterprise Ready
  • Cloud Security Alliancey
  • TRUSTe認証取得
  • BSI ISO/IEC 27018