カスタマーサービスを安全に提供する

Zendesk Security

Zendeskは、110,000社以上もの企業から信頼され、大切な顧客データをおまかせいただいています。この事実を軽々しく受け止めるわけにはいきません。エンタープライズクラスのセキュリティ機能と、アプリケーション、システム、ネットワークの包括的な監視機能を組み合わせることにより、顧客データおよびビジネスのデータを常に安全に保護いたします。Zendeskのお客様は、データの保管とやり取り、そしてビジネスが安全に保護されることで、ご安心いただけます。

データセンター&ネットワークセキュリティ

物理セキュリティ
設備・施設 Zendeskのサーバーは、Tier III、SSAE-16、PCI DSS、ISO 27001のいずれかに準拠した施設でホストされています。当社のコロケーションケージスペースは、物理的および論理的に、データセンターの他のカスタマーから分離されています。データセンター施設は、冗長電源により電力を供給され、それぞれがUPSとバックアップ用発電機を備えています。
オンサイトセキュリティ 当社のデータセンター施設は、マルチレベルのセキュリティゾーン、24時間年中無休体制の有人警備、CCTV監視カメラ、生体認証制御を含む多様素認証、物理的な鍵、セキュリティ侵害アラームで保護された境界を備えています。
監視 すべての本番ネットワークシステム、ネットワーク接続されたデバイス、および回路は、Zendeskスタッフによって常時監視され、論理的に管理されます。コロケーションケージ内部またはAmazonサービスの物理的なセキュリティ、電源、インターネット接続は、施設のプロバイダーによって監視されます。
場所 Zendeskでは米国、EUおよび日本にあるデータセンターを活用しています。カスタマーは、サービスデータの保管先として「米国のみ」または「EUのみ」を選択できます(現時点では、Zendesk Chatは「EUのみ」だけをお選びいただけます)。詳しくは、当社のEUデータホスティングポリシーをお読みください 。 *Data Center Locationアドオンでのみ利用可能
ネットワークセキュリティ
専任のセキュリティチーム 当社のグローバルに展開するセキュリティチームは、セキュリティアラートやセキュリティイベントの発生に備えて24時間年中無休で待機しています。
保護 当社のネットワークは、冗長レイヤー{0}のファイアウォール、クラス最高のルータ技術、パブリックネットワークを介した安全なHTTPSトランスポート、定期的な監査、悪意のあるトラフィックとネットワーク攻撃を監視・防御するネットワーク侵入検知/防止技術(IDS / IPS)により、保護されています。
アーキテクチャ 当社のネットワークセキュリティアーキテクチャは、複数のセキュリティゾーンで構成されています。データベースサーバーなど、より機密性の高いサーバーは、最も信頼性の高いゾーンで保護されます。他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーン内に収容されます。ゾーンに応じて、追加のセキュリティ監視およびアクセス制御が適用されます。DMZは、インターネットと内部ネットワークとの間、および信頼性の異なるゾーン間で利用できます。
ネットワークの脆弱性スキャン ネットワークセキュリティスキャンにより、コンプライアンスに準拠していないシステムや潜在的に脆弱なシステムをすばやく特定するための深い洞察を得られます。
サードパーティによる侵入テスト 社内で広範に実施するスキャニングとテストプログラムに加えて、毎年サードパーティのセキュリティ専門家に依頼し、Zendeskの本番ネットワーク全体に対する幅広い侵入テストを実行しています。
セキュリティインシデントイベント管理(SIEM) セキュリティインシデントイベント管理(SIEM)システムは、重要なネットワークデバイスとホストシステムから膨大なログを収集します。SIEMは、調査と対応のための相関イベントに基づいて、セキュリティチームに通知するトリガに警告します。
侵入検知と防御 主要なアプリケーションデータフローの入力ポイントと出力ポイントは、侵入検知システム(IDS)や侵入防止システム(IPS)で監視されます。このシステムは、インシデントと値が所定のしきい値を超えたときに警告を生成し、新たな脅威に基づいて定期的に更新される署名を使用するように構成されています。これには、24時間年中無休のシステム監視も含まれます。
脅威インテリジェンスプログラム Zendeskは、多数の脅威インテリジェンス共有プログラムに参加しています。Zendeskは、これらの脅威インテリジェンスネットワークに投稿された脅威を監視し、当社のリスクおよびエクスポージャーに基づいて対処します。
DDoS攻撃の緩和策 独自の機能やツールに加えて、Zendeskは、分散型サービス拒否攻撃(DDoS)を軽減するために、オンデマンドのDDoS攻撃スクラビングプロバイダーと契約しています。
論理アクセス Zendeskの本番ネットワークへのアクセスは、明示的なneed-to-know原則で制限されています。最小特権の原則で運用され、頻繁に監査および監視されており、Zendeskのオペレーションチームによって管理されています。Zendeskの本番ネットワークにアクセスする従業員は、多要素認証を実行する必要があります。
セキュリティインシデント対応 システムアラートが発生すると、イベントは、オペレーション、ネットワークエンジニアリング、セキュリティ保障を提供する当社の24時間年中無休チームにエスカレートされます。従業員は、コミュニケーションチャネルおよびエスカレーションパスを含む、セキュリティインシデント対応プロセスのトレーニングを受けています。
暗号化
転送時の暗号化 業界標準のベストプラクティスであるHTTPSおよびTransport Layer Security(TLS)を使用し、Zendesk Supportサーバー/Chatサーバーとその利用者との間の通信を暗号化します。さらに、メールを暗号化するためにTLSがサポートされています。
保管時の暗号化 Zendesk SupportとChatのすべてのお客様には、添付ファイルのオフサイト保管と毎日のフルバックアップについて、保存時の暗号化による保護というメリットがあります。Supportのお客様が、プライマリおよびセカンダリのDRデータストアに保存時の暗号化を適用したい場合は、高度なセキュリティアドオンを経由してご購入いただけます。さらに、Chatサービスデータの保存時の暗号化の保証もご購入いただけます。
可用性と継続性
アップタイム Zendeskは、だれでもアクセスできるシステムステータスWebページを公開しており、システム可用性の詳細情報、保守スケジュール、サービスインシデント履歴、関連するセキュリティイベントなどを掲載しています。
冗長性 Zendeskは、サービスクラスタリングおよびネットワーク冗長性を採用し、単一障害点を解消しています。当社の厳格なバックアップ体制により、サービスデータは、プライマリおよびセカンダリDRシステムと施設の両方にわたってアクティブにレプリケートされます。Zendeskのコロケーションデータベースは、データベースクラスタごとに複数のサーバー上の効率的なフラッシュメモリデバイスに保管されます。
ディザスタリカバリ Zendeskのディザスタリカバリ(DR)プログラムは、災害発生時に当社のサービスを稼動し続けること、または速やかに復旧することを保証します。これは、堅牢な技術環境の構築、災害復旧計画の策定、およびテストを通じて達成されます。
ディザスタリカバリの強化 強化されたディザスタリカバリでは、カスタマーデータを含む全体の動作環境は、セカンダリサイトにレプリケートされ、プライマリサイトが完全に使用不能になったときにサービスの再開をサポートします。RTOおよびRPOの保証が必要な場合は、高度なセキュリティアドオンで利用できます。*Supportプランに高度なセキュリティアドオンを付けて購入した場合にのみ、Chatで使用可能

アプリケーションセキュリティ

安全な開発(SDLC)
セキュリティトレーニング 少なくとも毎年1回、エンジニアはセキュアコーディングトレーニングに参加します。このトレーニングでは、OWASP Top 10のセキュリティ上の弱点、よくある攻撃ベクトル、およびZendeskのセキュリティ管理について学びます。
Ruby on Railsフレームワークセキュリティ管理 Zendesk SDKは、Ruby on Railsフレームワークセキュリティ管理を活用し、 OWASP Top 10のセキュリティ上の欠陥を狙われないように対策しています。中でも、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、およびSQLインジェクション(SQLI)への露出を削減する固有のコントロールが含まれています。
QA 当社のQA部門がコードベースをレビューし、テストします。多数のアプリケーションセキュリティ専任のエンジニアが、コード内のセキュリティ脆弱性を特定し、テストし、トリアージします。
環境の分離 テスティング環境およびステージング環境は、物理的にも論理的にも本番環境と分離されています。実際のサービスデータは、開発環境またはテスト環境では一切使用されません。
アプリケーションの脆弱性
動的な脆弱性スキャン 当社では、OWASP Top 10のセキュリティ上の欠陥に対して,SupportおよびChatアプリケーションの継続的な動的スキャニングに定評あるサードパーティ製のセキュリティツールを多数導入しています。さらに、社内に専任の製品セキュリティチームを組織しています。同チームは、エンジニアリングチームと協力してテストを重ね、発見された問題を修復しています。
静的コード分析 当社のプラットフォーム用およびモバイルアプリケーション用のZendesk Supportのソースコードリポジトリはどちらも、統合された静的解析ツールを使用して、セキュリティ上の問題がないか継続的にスキャンされます。
セキュリティ侵入テスト 広範な社内用スキャンおよびテストプログラムに加えて、四半期ごとにサードパーティのセキュリティ専門家に依頼し、Zendesk製品ファミリ内のさまざまなアプリケーションに対する詳細な侵入テストを実行しています。
責任ある開示/バグバウンティプログラム 当社の責任ある開示プログラムは、セキュリティ研究者にHackerOneとのパートナーシップを通じて、Zendeskのセキュリティ脆弱性をテストおよび通知するための手段を提供します 。

製品のセキュリティ機能

認証セキュリティ
認証オプション

SupportおよびChatの管理者/エージェントには、Zendeskサインインをお勧めします。さらに、Zendesk Supportでは、SSOおよびGoogle認証を有効にすることができます。

SupportおよびChatのエンドユーザー向けに、Zendeskサインインをサポートしています。さらに、Zendesk Supportでは、エンドユーザー認証用にソーシャルメディア(Facebook、Twitter、Google)のSSOを有効にすることができます。

シングルサインオン(SSO) シングルサインオン(SSO)を使用すると、Zendesk Supportのインスタンス用の追加のログイン資格情報の入力を要求することなく、ユーザーを自社のシステムで認証できます。JSON Web Token(JWT)とSecurity Assertion Markup Language(SAML)のどちらもサポートされます。SSOについてさらに詳しく *SAMLは ProfessionalおよびEnterpriseアカウントでのみ使用可能
*JWTはTeamアカウント以上でのみ使用可能
設定可能なパスワードポリシー Zendeskのパスワードセキュリティレベルは、低、中、高の3種類です。また、エージェントと管理者向けにパスワードルールをカスタマイズできます。エンドユーザー向けのパスワードセキュリティレベルと、管理者/エージェント向けのパスワードセキュリティレベルには、それぞれ異なるレベルを設定できます。パスワードセキュリティレベルを変更できるのは管理者だけです。*ProfessionalおよびEnterpriseアカウントでのみ使用可能
2要素認証(2FA) Zendesk SupportインスタンスでZendeskサインインを使用する場合、エージェントおよび管理者向けに2要素認証(2FA)を有効にできます。Zendeskでは、AuthyGoogle AuthenticatorなどのSMSアプリケーションを使ってパスコードを作成できます。2要素認証でZendeskアカウントに追加のセキュリティレイヤを提供することで、なりすましで他の人にサインインされないよう保護します。2要素認証についてさらに詳しく
資格情報の安全な保管 Zendeskは認証情報の安全な保管のベストプラクティスに従っており、人間が読める形式でパスワードを格納することはありません。パスワードは、安全な、暗号化された一方向のハッシュ値として格納されます。
APIセキュリティおよび認証 Zendesk Support APIの認証方式はSSLのみです。APIリクエストを実行するには、認証済みユーザーであることが必要です。APIに対して認証を行う場合、ユーザー名とパスワードから成るBASIC認証を使用することも、APIトークンとユーザー名の組み合わせを使用することもできます。また、OAuth認証もサポートされています。APIセキュリティについてさらに詳しく
追加の製品セキュリティ機能
権限とロールへのアクセス Zendesk SupportおよびChat内のデータへのアクセスはアクセス権によって管理され、きめ細かなアクセス権を定義するように構成できます。Zendeskには所有者、管理者、エージェント、エンドユーザーなどのユーザーのタイプごとに、様々な権限レベルが用意されています。アクセスレベルについてさらに詳しく
IP制限 Zendesk SupportおよびChatは、管理者が定義した特定のIPアドレスからのアクセスのみを許可するように設定できます。これらの制限は、すべてのユーザーに適用することも、エージェントのみに適用することもできます。IP制限の使用についてさらに詳しく *Enterprise SupportアカウントおよびChat Enterpriseでのみ使用可能
プライベート添付ファイル Zendesk Supportでは、ユーザーがチケットの添付ファイルを閲覧しようとしたときにサインインを要求するように、インスタンスを設定することができます。そのように設定しない場合、長くランダムなトークンチケットIDを使用して添付ファイルにアクセスできます。
伝送時のセキュリティ Zendeskサーバーにおける通信はすべて、パブリックネットワークを介した業界標準のHTTPSを使用して暗号化されます。これにより、お客様とZendeskとの間に発生するトラフィックすべてが、伝送中にセキュリティ保護されます。また、メールについては、Transport Layer Security(TLS)をサポートします。これは、メールサーバー間での盗聴やなりすましを軽減するために、メールを暗号化して安全に配信するプロトコルです。
メールの署名(DKIM/DMARC) Zendeskに外部メールドメインを設定した場合、Zendesk Supportが提供するDKIM(Domain Keys Identified Mail)およびDMARC(Domain-based Message Authentication, Reporting & Conformance)を利用して、Zendeskから送信するメールに署名を行います。これらの機能をサポートしているメールサービスを使用することで、なりすましメールを防ぐことができます。メールのデジタル署名についてさらに詳しく
デバイス追跡 セキュリティを強化するために、Zendesk Supportインスタンスは、各ユーザーアカウントのサインイン時に使用されたデバイスを追跡します。ユーザーが新しいデバイスからアカウントにサインインした場合、そのデバイスがユーザープロフィールのデバイスリストに追加されます。新しいデバイスがリストに追加されるとユーザーにメール通知が届くので。身に覚えがなく疑わしい場合は、フォローアップできます。
自動墨消し Zendesk Supportの自動墨消し機能は、チケットのコメントやカスタムフィールドに入力されたクレジットカード番号の桁数を墨消し(削除)します。この機能により、機密情報を保護できます。届いたチケットにカードデータが含まれていた場合、そのデータは墨消しされ、Zendeskにクレジットカード番号が完全に保存されることはありません。自動墨消しについてさらに詳しく *Enterpriseアカウントでのみ使用可能
ヘルプセンターおよびWebポータル用のスパムフィルター Zendesk Supportは、エンドユーザーによるスパム投稿がヘルプセンターやWebポータルに公開されないように未然に防ぐ、スパムフィルタリングサービスを提供しています。ヘルプセンターおよびWebポータルでのスパムフィルタリングについてさらに詳しく

コンプライアンス証明書とメンバーシップ

セキュリティコンプライアンス
SOC 2 Type II Zendeskには、SOC 2 Type IIレポートがあり、NDA契約締結の上で閲覧可能です。詳細については、security@zendesk.comまでお問い合わせください。
ISO 27001:2013 ZendeskはISO 27001:2013の認定を受けています。
ISO 27018:2014 ZendeskはISO 27018:2014の認定を受けています。
メンバーシップ
Skyhigh Enterprise-Ready Zendeskは、CloudTrust™プログラムの最高評価であるSkyhigh Enterprise-Ready™シールを取得しています。これは、完全なデータ保護、身元確認、サービスのセキュリティ、ビジネス慣行、および法的保護のための最も厳格な要件を満たすクラウドサービスに贈られるものです。
Cloud Security Alliance Zendeskは、Cloud Security Alliance(CSA)のメンバーです。CSAは、クラウドコンピューティングにおけるセキュリティ確保を実現するためのベストプラクティスの使用の推進を使命とする非営利組織です。CSAは、Security, Trust & Assurance Registry(STAR)を立ち上げました。これは、誰でもアクセスできる公開レジストリで、クラウドプロバイダが様々なクラウドコンピューティングのセキュリティコントロールについて登録し公開することができます。Zendeskは、デューデリジェンスの自己評価の結果に基づいて、公開されているConsensus Assessment Initiative(CAI)アンケートを完了しました。
プライバシー証明書
TRUSTe® Privacy Certification Programs Zendeskは、TRUSTeのプライバシーシールの認証を取得しています。このシールはZendeskのプライバシーポリシーおよびZendeskのプライバシーに対する取り組みがTRUSTeプログラムとの適合性を審査されたことを示します。(ライセンシー確認ページで、認証の取得を確認いただけます)
米国-EU間のプライバシーシールドおよび米国-スイス間のセーフハーバープログラム Zendeskは、米国商務省によって規定された米国とEU間のプライバシーシールドおよび米国とスイス間のセーフハーバープログラムの遵守を保証いたします。
プライバシーポリシー Zendeskのプライバシーについてさらに詳しく
業界標準へのコンプライアンス
HIPAA ZendeskはHIPAA/HITECH認証基準に合格しており、購読者による実施には、Business Associate Agreement(BAA)を提供できます。*BAAは高度なセキュリティアドオンをご購入いただいた場合にのみ利用でき、特定のZendesk製品にのみ適用されます(特別な設定ルールが適用されます)。
PCI環境でのZendeskの使用 PCI準拠に関するホワイトペーパーをご覧ください。 Zendesk SupportのPCI準拠のフィールドについての詳しい説明もお読みいただけます。*Enterpriseアカウントが必要

追加のセキュリティ手順

セキュリティ意識向上
ポリシー Zendeskは、幅広いトピックに対応する包括的なセキュリティポリシーのセットを策定しています。これらのポリシーは、およびZendeskの情報資産へのアクセス権を持つすべての従業員および請負業者に公開および提供されています。
トレーニング すべての新入社員は、雇用時および年に1回、セキュリティ意識向上のトレーニングに出席します。すべてのエンジニアは、毎年セキュアなコーディングに関するトレーニングを受講します。セキュリティチームは、メールやブログ投稿、社内イベントにおけるプレゼンテーションを通じて、セキュリティ意識の更なるアップデートを提供します。
従業員の審査
身元調査 Zendeskは、現地の法律に従って、新しい従業員全員に対して身元調査を行います。また、請負業者に対しても同じ調査を必ず行っています。身元調査には、犯罪歴、学歴、就労資格証明などの調査を含みます。清掃スタッフも身元調査の対象です。
機密保持契約 すべての新入社員は、採用プロセス中にこの調査の対象となります。また、機密保持契約書への署名も求められます。