カスタマーサービスを安全に提供する

Zendesk Security

Zendeskは145,000以上もの企業から信頼され、大切な顧客データをおまかせいただいています。この事実を軽々しく受け止めるわけにはいきません。エンタープライズクラスのセキュリティ機能と、アプリケーション、システム、ネットワークの包括的な監視機能を組み合わせることにより、顧客データおよびビジネスのデータを常に安全に保護いたします。Zendeskのお客様は、データの保管とやり取り、そしてビジネスが安全に保護されることで、ご安心いただけます。

データシートを見る

データセンター&ネットワークセキュリティ

データセンターの物理的なセキュリティ
設備・施設 ZendeskはISO 27001、PCI/DSSサービスプロバイダーレベル 1、SOC IIのいずれかに準拠したAWSデータセンターでサービスデータをホストしています。AWSの準拠についてさらに詳しく

AWSインフラストラクチャサービスには、バックアップ電源、HVACシステム、防火設備が含まれており、サーバーつまりお客様のデータ保護に役立ちます。AWSのデータセンターコントロールについてさらに詳しく
オンサイトセキュリティ AWSオンサイトセキュリティには、セキュリティガード、フェンシング、セキュリティフィード、侵入検知技術のようなセキュリティ対策機能を多く採用しています。AWSフィジカルセキュリティについてさらに詳しく
データホスティングの場所 Zendeskでは米国、EUおよびアジア太平洋にあるAWSデータセンターを活用しています。Zendeskサービスデータのデータホスティングの場所についてさらに詳しく

お客様はサービスデータの保管先として、米国のみ、もしくはEEAのみ**をお選びになれます。データホスティングの地域オプション、およびサービスデータのタイプ別制限についてさらに詳しく

*Data Center Location Add-onでのみ利用可能
ネットワークセキュリティ
専任のセキュリティチーム 当社のグローバルに展開するセキュリティチームは、セキュリティアラートやセキュリティイベントの発生に備えて24時間年中無休で待機しています。
保護 当社のネットワークは、主要AWSセキュリティサービス、Cloudflare edge保護ネットワーク、定期的な監査、既知の悪意のあるトラフィックとネットワーク攻撃を監視・防御するネットワークインテリジェンス技術により、保護されています。
アーキテクチャ 当社のネットワークセキュリティアーキテクチャは、複数のセキュリティゾーンで構成されています。データベースサーバーなど、より機密性の高いサーバーは、最も信頼性の高いゾーンで保護されます。他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーン内に収容されます。ゾーンに応じて、追加のセキュリティ監視およびアクセス制御が適用されます。DMZは、インターネットと内部ネットワークとの間、および信頼性の異なるゾーン間で利用できます。
ネットワークの脆弱性スキャン ネットワークセキュリティスキャンにより、コンプライアンスに準拠していないシステムや潜在的に脆弱なシステムをすばやく特定するための深い洞察を得られます。
サードパーティによる侵入テスト 社内で広範に実施するスキャニングとテストプログラムに加えて、毎年サードパーティのセキュリティ専門家に依頼し、Zendeskの制作部門や企業ネットワーク全体で幅広い侵入テストを実行しています。
セキュリティインシデントイベント管理(SIEM) セキュリティインシデントイベント管理(SIEM)システムは、重要なネットワークデバイスとホストシステムから膨大なログを収集します。SIEMは、調査と対応のための相関イベントに基づいて、セキュリティチームに通知するトリガに警告します。
侵入検知と防御 サービスの入力ポイントと出力ポイントが装備されており、変則的挙動を監視・検知します。ここに挙げたシステムはすべて、インシデントと値が所定のしきい値を超えたときに警告を生成し、新たな脅威に基づいて定期的に更新される署名を使用するように構成されています。これには、24時間年中無休のシステム監視も含まれます。
脅威インテリジェンスプログラム Zendeskは、多数の脅威インテリジェンス共有プログラムに参加しています。脅威インテリジェンス ネットワークに投稿された脅威を監視し、リスクに基づいて対応します。
DDoS攻撃の緩和策 ZendeskはDDoS軽減のため、多層アプローチを構築しました。Cloudflareとのコア技術のパートナーシップによって、ネットワークエッジの防御が提供されますが、あわせて、AWSスケーリングと保護ツールの使用、AWS DDoS特定サービスの使用により、さらに強靭な保護を提供します。
論理アクセス Zendeskの本番ネットワークへのアクセスは、明示的なneed-to-know原則で制限されています。最小特権の原則で運用され、頻繁に監査および監視されており、Zendeskのオペレーションチームによって管理されています。Zendeskの本番ネットワークにアクセスする従業員は、多要素認証を実行する必要があります。
セキュリティインシデント対応 システムアラートが発生すると、イベントは、オペレーション、ネットワークエンジニアリング、セキュリティ保障を提供する当社の24時間年中無休チームにエスカレートされます。従業員は、コミュニケーションチャネルおよびエスカレーションパスを含む、セキュリティインシデント対応プロセスのトレーニングを受けています。
暗号化
転送時の暗号化 Zendesk UIとAPIにおける通信はすべて、パブリックネットワークを介した業界標準のHTTPS/TLS(TLS 1.2以上)を通じて暗号化されます。これにより、お客様とZendeskとの間に発生するトラフィックすべてが、伝送中にセキュリティ保護されます。また、メールについては、当社の製品はデフォルトでTLSによる日和見暗号化を活用しています。Transport Layer Security(TLS)は、同等のサービスによってこのプロトコルがサポートされているメールサーバー間において盗聴を軽減するために、メールを暗号化して安全に配信するプロトコルです。例外として、SMS機能、サードパーティーのアプリ、インテグレーション、お客様が任意で導入するサービスの利用時は暗号化が行われない場合があります。
保管時の暗号化 サービスデータはAWSへの保存時、AES-256キーを使用して暗号化されます。
可用性と継続性
アップタイム Zendeskは、だれでもアクセスできるシステムステータスWebページを公開しており、システム可用性の詳細情報、保守スケジュール、サービスインシデント履歴、関連するセキュリティイベントなどを掲載しています。
冗長性 Zendeskは、サービスクラスタリングおよびネットワーク冗長性を採用し、単一障害点を解消しています。当社の厳格なバックアップ体制と、拡張ディザスタリカバリサービスにより、サービスデータが使用可能な範囲で複製されるため、ハイレベルなサービスをお客様に提供することができます。
ディザスタリカバリ 当社のディザスタリカバリ(DR)プログラム は、当社のサービスを常に利用できる状態に維持、また災害発生時には簡単に復旧するよう機能します。これは、堅牢な技術環境の構築、災害復旧計画の策定、およびテストを通じて達成されます。
ディザスタリカバリの強化 拡張ディザスタリカバリのパッケージには、復帰時間目標(RTO)と目標復旧時点(RPO)の契約上の目標が追加されています。この契約上の目標は、指定された災害時に、強化されたディザスタリカバリのお客様の業務に優先順位をつけるZendeskの機能によってサポートされています。*Advanced Securityアドオンでのみ使用可能

アプリケーションセキュリティ

安全な開発(SDLC)
セキュアコードトレーニング 少なくとも毎年1回、エンジニアはセキュアコーディングトレーニングに参加します。このトレーニングでは、OWASP Top 10のセキュリティ上のリスク、よくある攻撃ベクトル、およびZendeskのセキュリティ管理について学びます。
フレームワークセキュリティ管理 Zendeskはセキュリティ制御機能を備えた最新かつ安全なオープンソースを活用し、 OWASP Top10 のセキュリティリスクにさらされないよう対応しています。このような固有の制御機能は、SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)への露出を削減しています。
品質保証 当社の品質保証(QA)部門がコードベースをレビューし、テストします。アプリケーションセキュリティ専任のエンジニアが、コード内のセキュリティ脆弱性を特定し、テストし、トリアージします。
環境の分離 テスティング環境およびステージング環境は、論理的に本番環境と分離されています。サービスデータは、開発環境やテスト環境では一切使用されません。
脆弱性の管理
動的な脆弱性スキャン 当社では、サードパーティ製のセキュリティツールを導入し、OWASP Top 10のセキュリティリスクに対し、主要アプリケーションの動的スキャンを継続的に行っています。さらに、社内に専任の製品セキュリティチームを組織しています。同チームは、エンジニアリングチームと協力してテストを重ね、発見された問題を修復しています。
静的コード分析 プラットフォーム用およびモバイルアプリケーション用のソースコードリポジトリはどちらも、統合された静的解析ツール経由で、セキュリティ上の問題がないかスキャンされます。
サードパーティによる侵入テスト 社内で広範に実施するスキャニングとテストプログラムに加えて、Zendeskはサードパーティのセキュリティ専門家に依頼し、Zendeskファミリーの複数のアプリケーションに対しても精密な侵入テストを実施しています。
責任ある開示/バグバウンティプログラム 当社の責任ある開示プログラムは、HackerOneとのパートナーシップを通じ、お客様だけでなくセキュリティの研究者に対して、Zendeskのセキュリティの脆弱性をテストし通知するための手段を提供します。

製品のセキュリティ機能

認証セキュリティ
認証オプション お客様は、エンドユーザーやエージェントの認証のため、Zendeskネイティブ認証、ソーシャルメディアのシングルサインオン(SSO)(Facebook、Twitter、Google)、エンタープライズSSO(SAML、JWT)を使用することができます。ユーザーアクセスについてさらに詳しく
設定可能なパスワードポリシー 管理センターから入手できる製品のZendeskネイティブ認証では、低、中、高の3段階のパスワードセキュリティレベルがあります。また、エージェントと管理者向けにはパスワードルールをカスタマイズすることも可能です。エンドユーザー向けのパスワードセキュリティレベルと、管理者/エージェント向けのパスワードセキュリティレベルには、それぞれ異なるレベルを設定できます。パスワードセキュリティレベルを変更できるのは管理者だけです。設定可能なパスワードポリシーについてさらに詳しく
2要素認証(2FA) 管理センターから入手できる製品のZendeskネイティブ認証では、SMSや認証アプリを通じてエージェントや管理者向けの2要素(2FA)を利用いただけます。 2FAについてさらに詳しく
サービス資格情報の保管 Zendeskは認証情報の安全な保管のベストプラクティスに従っており、人間が読める形式でパスワードを格納することはありません。パスワードは、安全な、暗号化された一方向のハッシュ値として格納されます。
追加の製品セキュリティ機能
ロールベースアクセスコントロール Zendeskアプリケーション内のデータへのアクセスはロールベースアクセスコントロール(RBAC)で管理され、きめ細かなアクセス権を定義するように構成できます。Zendeskには所有者、管理者、エージェント、エンドユーザーなどのユーザーのタイプごとに、様々な権限レベルが用意されています。ユーザーロールについてさらに詳しく:
グローバルセキュリティ、およびユーザーアクセスについての詳細はこちらをご覧ください。
IP制限 Zendesk製品は、管理者が定義した特定のIPアドレスからのアクセスのみ許可するよう設定することができます。これらの制限は、すべてのユーザーに適用することも、エージェントのみに適用することもできます。IP制限についてさらに詳しく:
プライベート添付ファイル ユーザーがチケットの添付ファイルを閲覧する際にサインインを求めるようインスタンスを設定することができます。プライベート添付ファイルについてさらに詳しく。
メールの署名(DKIM/DMARC) Zendeskに外部メールドメインを設定した場合、Zendesk Supportが提供するDKIM(Domain Keys Identified Mail)およびDMARC(Domain-based Message Authentication, Reporting & Conformance)を利用して、Zendeskから送信するメールに署名を行います。これらの機能をサポートしているメールサービスを使用することで、なりすましメールを防ぐことができます。メールのデジタル署名についてさらに詳しく
デバイス追跡 Zendeskは各ユーザーアカウントのサインインに使用されたデバイスを追跡します。ユーザーが新しいデバイスからアカウントにサインインした場合、そのデバイスがユーザープロフィールのデバイスリストに追加されます。新しいデバイスがリストに追加されるとユーザーにメール通知が届くので。身に覚えがなく疑わしい場合は、フォローアップできます。疑わしいセッションは、エージェントのUIから終了させることができます。デバイスの追跡についてさらに詳しく
機密データ墨消し機能 手動の墨消し機能では、Supportのチケットコメントに入力された機密データを墨消し、もしくは削除したり、添付ファイルを安全に削除することで、機密情報を保護することが可能です。チケットからのデータ削除はUIもしくはAPIを通じて行われ、機密情報がZendeskに保存されることはありません。UIAPIを使用した墨消しについてさらに詳しく。

自動墨消し機能では、SupportとChatでLuhnの照合に該当したクレジットカードのプライマリアカウント番号 (CC PAN) と同じ数字列を自動的に墨消しすることができます。SupportChatの自動墨消し機能についてさらに詳しく。

Zendesk Supportでは、PCIに準拠したクレジットカード番号の入力欄を設定でき、下4桁以外の番号を墨消し処理します。Zendeskの準拠基準についてさらに詳しく
ヘルプセンター用のスパムフィルター Zendeskのスパムフィルタリングサービスでは、エンドユーザーのスパム投稿がヘルプセンターで公開されないように設定することが可能です。ヘルプセンターのスパムフィルタリングについてさらに詳しく。

コンプライアンス証明書とメンバーシップ

セキュリティコンプライアンス
SOC 2 Type II 当社は定期的に監査を行い、SOC 2 Type IIの最新レポートを常備しています。リクエストに応じ、秘密保持契約 (NDA) を締結いただければ閲覧いただくことができます。詳細については、security@zendesk.comまでお問い合わせください。
ISO 27001:2013 Zendeskは、ISO 27001:2013の認定を受けています。証明書は こちらでダウンロードできます
ISO 27018:2014 Zendeskは、ISO 27018:2014の認定を受けています。証明書は こちらでダウンロードできます
メンバーシップ
Skyhigh Enterprise-Ready Zendeskは、CloudTrust™プログラムの最高評価であるSkyhigh Enterprise-Ready™シールを取得しています。これは、完全なデータ保護、身元確認、サービスのセキュリティ、ビジネス慣行、および法的保護のための最も厳格な要件を満たすクラウドサービスに贈られるものです。
Cloud Security Alliance Zendeskは、Cloud Security Alliance(CSA)のメンバーです。CSAは、クラウドコンピューティングにおけるセキュリティ確保を実現するためのベストプラクティスの推進を使命とする非営利組織です。CSAは、Security, Trust & Assurance Registry(STAR)を立ち上げました。これは、誰でもアクセスできる公開レジストリで、クラウドプロバイダが様々なクラウドコンピューティングのセキュリティコントロールについて登録し公開することができます。Zendeskは、デューデリジェンスの自己評価の結果に基づいて、公開されているConsensus Assessment Initiative(CAI)アンケートを完了しました。CSA CAIQは、こちらからダウンロードいただけます。
プライバシー証明書
TRUSTe® Privacy Certification Programs Zendeskのプライバシーに関するプログラム、ポリシー、プラクティスは、EU-米国間のプライバシーシールドおよびスイス-米国間のプライバシーシールドの要件を満たしています。https://www.privacyshield.gov/listに記載されている企業は、米国商務省とのプライバシーシールド参加を自己証明しています。TRUSTeは、検証に関するプライバシーシールド補足原則の要件と一致するプライバシーシールドのコンプライアンスを確認します。
EU-米国およびスイス-米国間のプライバシーシールド認証 Zendeskは米国-EU間およびスイス-米国間のプライバシーシールド フレームワーク遵守について米国商務省に認証を受けており、 プライバシーシールド参加を自己証明している企業の米国商務省リストに記載されています。認証は、当社が欧州およびスイスから米国への個人データの移動についてプライバシーシールドの原則を遵守していることを確認しています。プライバシーシールドについてさらに詳しく
プライバシーポリシー Zendeskのプライバシーについてさらに詳しく
業界標準へのコンプライアンス
HIPAA 当社は適切なセキュリティ設定オプションをZendesk製品で活用し、お客様のHIPAA遵守の取り組みをサポートします。また、購読者による実施には、Business Associate Agreement(BAA)を提供できます。

*BAAは高度なセキュリティアドオンをご購入いただいた場合にのみ利用でき、特定のZendesk製品にのみ適用されます(特別な設定ルールが適用されます)。
PCI PCI準拠に関するホワイトペーパーをご覧ください。Zendesk SupportのPCI準拠のフィールドもお読みいただけます。

*エンタープライズのアカウントが必要
コンプライアンスのPCI構成証明 (AoC) およびコンプライアンス証明書については、 security@zendesk.comにお問い合わせください

人事部門のセキュリティ

セキュリティ意識向上
ポリシー Zendeskは、幅広いトピックに対応する包括的なセキュリティポリシーのセットを策定しています。これらのポリシーは、およびZendeskの情報資産へのアクセス権を持つすべての従業員および請負業者に公開および提供されています。
トレーニング 全従業員は入社時から毎年、セキュリティ意識向上トレーニングに参加します。全エンジニアは毎年セキュアコードトレーニングを受けています。セキュリティチームは、メールやブログ投稿、社内イベントにおけるプレゼンテーションを通じて、セキュリティ意識の更なるアップデートを提供します。
従業員の審査
身元調査 Zendeskは、現地の法律に従って、新しい従業員全員に対して身元調査を行います。また、請負業者に対しても同じ調査を必ず行っています。身元調査には、犯罪歴、学歴、就労資格証明などの調査を含みます。清掃スタッフも身元調査の対象です。
機密保持契約 新入社員は全員、秘密保持契約への署名が求められます。

ダウンロード可能なセキュリティリソース

もちろんZendeskのリソースも保護されています。ご覧になりたい場合は、以下のフォームに必要事項を入力してください。

名をご入力ください
姓をご入力ください
正しいメールアドレスをご入力ください
国を選択してください

会社の情報をご入力ください

会社名をご入力ください
従業員数をお選びください
業種を選択してください
また、Zendeskの製品やサービスに関するお知らせをお送りください。(メールの配信はいつでも中止できます。)
オプションを選択してください

お問い合わせが完了しました。

折り返し担当者よりご連絡いたします。

問題が発生したようです。

ページを再度読み込んでフォームの入力をやり直していただくか、または、support@zendesk.comまで直接メールでお問い合わせください。

リクエストを送信しています。しばらくお待ちください。

当社のSOC 2レポートへのアクセスが必要な場合は、security@zendesk.comにメールでお問い合わせください