カスタマーサービスを安全に提供する

侵入を防ぐ

Zendeskはセキュリティに非常に真剣に取り組んでいます。このことは、当社にデータを信託しているフォーチュン100およびフォーチュン500ランキング企業の数が証明しています。 エンタープライズクラスのセキュリティ機能と、アプリケーション、システム、ネットワークの包括的な監視機能を組み合わせることにより、顧客データを常に安全に保護しておりますので、当社のお客様は言うまでもなく、すべてのユーザーに安心してご利用いただけます。

コンプライアンス証明書とメンバーシップ

Zendeskは、ベストプラクティスと業界標準を駆使することで業界で認められる一般的なセキュリティとプライバシーの枠組みにおけるコンプライアンスに準拠し、お客様のコンプライアンス基準を満たしています。

セキュリティコンプライアンス
SOC 2 Type II

Zendeskは定期的に監査を行い、SOC 2 Type IIの最新レポートを常備しています。ご要望に応じて、秘密保持契約(NDA)の締結により閲覧いただくことができます。 SOC 2 Type IIの最新レポートはこちらからご請求ください。

ISO 27001:2013

Zendeskは、ISO 27001:2013の認証を取得しています。 認証証明書はこちらでダウンロードできます。

ISO 27018:2014

Zendeskは、ISO 27018:2014の認証を取得しています。 認証証明書はこちらでダウンロードできます。

FedRAMP LI-SaaS

Zendeskは、LI-SaaS(Low Impact Software-as-a-Service)のFedRAMPとして認定され、FedRAMPマーケットプレイスに掲載されています。 米国政府機関のお客様は、こちらのパッケージアクセスリクエストフォームに必要事項をご記入いただくか、fedramp@zendesk.comまでご連絡いただくことで、Zendesk FedRAMPセキュリティパッケージの閲覧をご請求いただけます。

業界標準へのコンプライアンス
HIPAA

Zendeskは、製品に適切なセキュリティ設定オプションを実装することで、お客様のHIPAA遵守の取り組みをサポートします。 また、サブクスクライバーによる実施には、事業提携契約書(Business Associate Agreement、BAA)を提供できます。

*BAAのご利用は高度なコンプライアンスのアドオンをご購入いただいた場合に限られ、特定のZendesk製品にのみ適用されます(専用の設定要件が適用されます)。

PCI DSS

PCIコンプライアンスに関するホワイトペーパーとZendesk SupportのPCI準拠フィールドについてをご覧ください。

*Enterpriseアカウントのみ

コンプライアンスのPCI構成証明(AoC)およびコンプライアンス証明書は、こちらでダウンロードできます。

HDS

HDS認定は、Zendeskがデータの機密性、完全性、そして顧客やパートナーへの可用性を保証することを検証するものです。 Zendeskは、独立した第三者監査機関の監査に基づき、この認定審査を行っています。 Zendeskは、Zendeskの特定の製品の適切なセキュリティ設定オプション(専用の設定要件が適用されます)を利用し、お客様がHDSで定められた義務を履行するための支援を行っています。 また、サブスクライバーの認定取得をサポートするHDS用資料を用意しています。

FSQS

Zendeskは、FSQS(Financial Services Qualification System)認定の事業者として、加盟する金融機関が提示するすべての要件(ステージ1およびステージ2)を満たしています。 最新のFSQS認定証はこちらでご確認いただけます。

FSQSの詳しい情報は、https://hellios.com/fsqs/をご覧ください。

メンバーシップ
Skyhigh Enterprise-Ready™

Zendeskは、CloudTrust™プログラムの最高評価であるSkyhigh Enterprise-Ready™シールを取得しています。 これは、データ保護、身元確認、サービスセキュリティ、ビジネスプラクティス、法的保護の各分野において最も厳格な要件を満たすクラウドサービスに贈られるものです。

Cloud Security Alliance

Zendeskは、Cloud Security Alliance(CSA)のメンバーです。CSAは、クラウドコンピューティングにおけるセキュリティ確保を実現するためのベストプラクティスの使用の推進を使命とする非営利組織です。 CSAが立ち上げたSecurity, Trust & Assurance Registry(STAR)は誰でもアクセス可能な公開レジストリで、クラウドプロバイダは様々なクラウドコンピューティングのセキュリティコントロールを登録し、公開することができます。 Zendeskは、デューデリジェンスの自己評価の結果に基づき、公開されているConsensus Assessment Initiative(CAI)アンケートに回答しました。

CSA CAIQは、こちらでダウンロードできます。

IT-ISAC

Zendeskは、IT-ISACのメンバーです。IT-ISACは、進化する技術を活用しながら、セキュリティに対する共通の取り組みを推進する多様な民間企業をまとめることを目的としたグループです。 IT-ISACでは、脅威インテリジェンスに関する重要かつ実用的な情報や対策方法などを共有し、協力し合うことができます。 また、Zendeskのシステムを安全に保護するというミッションに役立つインテリジェンス、インサイダー脅威、フィジカルセキュリティをはじめとする各専門分野の分科会が運営管理されています。

FIRST

Zendeskは、世界各地からインシデント対応チームが集まる国際フォーラム、FIRSTのメンバーです。コンピュータ関連のセキュリティインシデントに協力して対処し、インシデント防止プログラムを促進する活動を行っています。 FIRSTのメンバーは、技術情報やツール、手法、プロセス、ベストプラクティスの開発に取り組み、共有に努めています。 Zendeskのセキュリティチームは、FIRSTのメンバーとして他のメンバーと協力し、それぞれの知識やスキル、経験を活かすことで、より安全かつ安心なグローバル電子社会の実現を目指しています。

プライバシー証明書とデータ保護
法務関連のリソース

当社の法的およびプライバシーに関する規約は、以下をご覧ください:

アーティファクト

お客様のご要望に応じて閲覧可能な多数の資料を用意しています。

直接ダウンロード可能なリソース(NDA対象外)

以下のリソースはボタンをクリックしてダウンロードが可能です。

ISO 27001:2013認証証明書

ISO 27018:2014認証証明書

SOC 3レポート

データシート / ホワイトペーパー

コンプライアンスのPCI構成証明(AoC)およびコンプライアンス証明書

ネットワークアーキテクチャ図

  • Support / Guide
  • Chat
  • Talk

CSA CAIQ

FSQS

Risk LedgerでのZendesk Securityプロフィール

リソース入手はこちら
NDAリソース

以下のリソースは、閲覧にNDAが必要となる場合があります。 下記のボタンをクリックしてアクセスしてください。

保険証明書

SOC 2 Type II レポート

年間侵入テストの概要

事業継続性とディザスタリカバリテストの概要

SIG Lite

VSA

HECVAT Lite

すでにご利用中のお客様は、管理者画面よりこれらのリソースにアクセスできます。

クラウドセキュリティ

データセンターの物理的なセキュリティ
設備・施設

ZendeskはISO 27001、PCI DSSサービスプロバイダーレベル1、SOC 2のいずれか、またはすべてに準拠したAWSデータセンターでサービスデータを保護しています。 AWSのコンプライアンスについてさらに詳しく。

AWSインフラストラクチャサービスには、バックアップ電源、HVACシステム、防火設備が含まれ、サーバーとお客様のデータを保護しています。 AWSのデータセンターコントロールについてさらに詳しく。

オンサイトセキュリティ

AWSオンサイトセキュリティには、セキュリティガード、フェンス、セキュリティフィード、侵入検知技術など、様々なセキュリティ対策機能が含まれています。 AWSフィジカルセキュリティについてさらに詳しく。

データホスティングの場所

Zendeskは米国、EUおよびアジア太平洋地域にあるAWSデータセンターを利用しています。 Zendeskサービスデータのデータホスティングの場所についてさらに詳しく。

サービスデータの保管先として「米国のみ」または「EEAのみ」を選択できます。*データホスティングの地域オプションとサービスデータタイプの制限についてさらに詳しく。

*Data Center Locationアドオンでのみ利用可能

ネットワークセキュリティ
専任のセキュリティチーム

世界各地に配備されたZendeskのセキュリティチームは、セキュリティアラートやセキュリティイベントの発生に備え、24時間年中無休で待機しています。

保護

Zendeskのネットワークは、AWSの主要なセキュリティサービス、Cloudflareのエッジ保護ネットワーク、定期的な監査、既知の悪意あるトラフィックとネットワーク攻撃を監視して防御するネットワークインテリジェンス技術により、保護されています。

Zendeskのネットワークセキュリティアーキテクチャは、複数のセキュリティゾーンで構成されています。 データベースサーバーなどのより機密性の高いシステムは、最も信頼性の高いゾーンで保護されます。 他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーン内に格納されます。 ゾーンに応じて、追加のセキュリティ監視およびアクセス制御が適用されます。 DMZは、インターネットと内部ネットワークとの間、および信頼性の高さが異なるゾーン間で利用できます。

ネットワークの脆弱性スキャン

ネットワークセキュリティスキャンにより、コンプライアンスに準拠していないシステムや潜在的に脆弱なシステムをすばやく特定するためのインサイトを取得できます。

サードパーティによる侵入テスト

社内で広範に実施するスキャニングとテストプログラムに加えて、毎年サードパーティのセキュリティ専門家に依頼し、Zendeskの制作部門や企業ネットワーク全体で幅広い侵入テストを実行しています。

セキュリティインシデントイベント管理

Zendeskのセキュリティインシデントイベント管理(SIEM)システムは、重要なネットワークデバイスとホストシステムから膨大なログを収集します。 SIEMは、調査と対応のための相関イベントに基づいて、セキュリティチームに通知するトリガに警告します。

侵入検知と防御

サービスの入力ポイントと出力ポイントが装備されており、変則的挙動を監視・検知します。 ここに挙げたシステムはすべて、インシデントと値が所定のしきい値を超えたときに警告を生成し、新たな脅威に基づいて定期的に更新される署名を使用するように構成されています。 これには、24時間年中無休のシステム監視も含まれます。

脅威インテリジェンスプログラム

Zendeskは、様々な脅威インテリジェンス共有プログラムに参加しています。 脅威インテリジェンスネットワークに投稿された脅威を監視し、リスクに基づいて対応します。

DDoS攻撃の緩和策

Zendeskは多層アプローチを構築し、DDoS攻撃を軽減しています。 Cloudflareとコア技術を連携させることでネットワークエッジを防御するだけでなく、AWSスケーリングと保護ツール、またAWS DDoS特定サービスを併せて使用することにより、さらに強靭な保護機能を提供します。

論理アクセス

Zendeskの本番ネットワークへのアクセスは、明示的な「Need to knowの原則」により制限されています。また最小特権の原則で運用され、頻繁に監査および監視されており、Zendeskのオペレーションチームが管理しています。 Zendeskの本番ネットワークにアクセスする従業員は、多要素認証を実行する必要があります。

セキュリティインシデント対応

システムアラートが発生すると、オペレーション、ネットワークエンジニアリング、セキュリティ保証を提供するZendeskの24時間年中無休セキュリティチームにイベントがエスカレーションされます。 従業員は、コミュニケーションチャネルおよびエスカレーションパスを含む、セキュリティインシデント対応プロセスのトレーニングを受けています。

暗号化
転送時の暗号化

Zendesk UIとAPIにおける通信はすべて、パブリックネットワークを介した業界標準のHTTPS/TLS(TLS 1.2以上)を通じて暗号化されます。 これにより、お客様とZendeskとの間に発生するすべてのトラフィックが、転送時も安全に保護されます。 またメールについては、デフォルトでTLSによる日和見暗号化を採用しています。 Transport Layer Security(TLS)は、メールを暗号化して安全に配信するプロトコルです。同等のサービスによってこのプロトコルがサポートされているメールサーバー間において、盗聴を軽減します。 例外として、SMS機能、サードパーティのアプリ、インテグレーション、サブスクライバーが任意で導入するサービスの利用時は暗号化が行われない場合があります。

保管時の暗号化

サービスデータはAWSへの保存時に、AES-256暗号鍵を使用して暗号化されます。

可用性と継続性
アップタイム

Zendeskは、誰でもアクセス可能なシステムステータスWebページを公開しており、システム可用性の詳細情報、保守スケジュール、サービスインシデント履歴、関連するセキュリティイベントなどを掲載しています。

冗長性

Zendeskは、サービスクラスタリングおよびネットワーク冗長化により、単一障害点を解消しています。 厳格なバックアップ体制と、拡張ディザスタリカバリサービスにより、サービスデータがアベイラビリティゾーンを超えて複製されるため、ハイレベルなサービスをお客様に提供することができます。

ディザスタリカバリ

Zendeskのディザスタリカバリ(DR)プログラムは、災害発生時でもZendeskのサービスの稼動を維持すること、あるいは速やかに復旧させることを保証するものです。 堅牢な技術環境の構築、災害復旧計画の策定、様々なテストの実施などにより実現されています。

拡張ディザスタリカバリ

拡張ディザスタリカバリのパッケージには、契約上の目標復旧時間(RTO)と目標復旧時点(RPO)が含まれています。 これらの契約上の目標は、災害宣言が出された場合に、拡張ディザスタリカバリのお客様の業務を優先的に遂行する機能と連動しています。

*拡張ディザスタリカバリ用アドオンをご購入いただいた場合にのみご利用いただけます。

アプリケーションセキュリティ

安全な開発(SDLC)
セキュアコードトレーニング

エンジニアは毎年、年に1回以上セキュアコードトレーニングに参加します。このトレーニングでは、OWASP Top 10のセキュリティ上のリスク、よくある攻撃ベクトル、およびZendeskのセキュリティ管理について学びます。

フレームワークセキュリティ管理

Zendeskはセキュリティ制御機能を備えた最新かつ安全なオープンソースを活用し、OWASP Top 10のセキュリティリスクにさらされないよう対応しています。 このような固有の制御機能は、SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)への露出を削減しています。

品質保証

Zendeskの品質保証(QA)部門がコードベースをレビューし、テストします。 アプリケーションセキュリティ専任のエンジニアが、コード内のセキュリティ脆弱性を特定し、テストし、トリアージします。

環境の分離

テスト環境およびステージング環境は、論理的に本番環境と分離されています。 サービスデータは、開発環境やテスト環境では一切使用されません。

脆弱性の管理
動的な脆弱性スキャン

Zendeskはサードパーティ製のセキュリティツールを導入し、OWASP Top 10のセキュリティリスクに対し、主要アプリケーションの動的スキャンを継続的に行っています。 社内に専任の製品セキュリティチームを置いてテストを実施し、エンジニアリングチームと協力して、検知された問題の修正を行っています。

静的コード分析

プラットフォーム用およびモバイルアプリケーション用のソースコードリポジトリはどちらも、統合された静的解析ツール経由で、セキュリティ上の問題がないかスキャンされます。

サードパーティによる侵入テスト

社内で広範に実施するスキャニングとテストプログラムに加えて、Zendeskはサードパーティのセキュリティ専門家に依頼し、Zendeskファミリーの複数のアプリケーションに対しても精密な侵入テストを実施しています。

責任ある開示 / バグバウンティプログラム

Zendeskの責任ある開示プログラムは、HackerOneとのパートナーシップを通じて、Zendeskのセキュリティ脆弱性をテストおよび通知するための手段を、お客様とセキュリティ研究者に提供します。

製品のセキュリティ

認証セキュリティ
認証オプション

お客様は、エンドユーザーやエージェントの認証のため、Zendeskネイティブ認証、ソーシャルメディアのシングルサインオン(SSO)(Facebook、Twitter、Google)、エンタープライズSSO(SAML、JWT)を使用することができます。 ユーザーアクセスについてさらに詳しく。

設定可能なパスワードポリシー

管理センターから入手できる製品のZendeskネイティブ認証には、低、中、高の3段階のパスワードセキュリティレベルがあります。また、エージェントと管理者向けにはパスワードルールをカスタマイズすることも可能です。 エンドユーザー向けのパスワードセキュリティレベルと、管理者およびエージェント向けのパスワードセキュリティレベルには、それぞれ異なるレベルを設定できます。 パスワードセキュリティレベルを変更できるのは管理者のみです。 設定可能なパスワードポリシーについてさらに詳しく。

2要素認証(2FA)

管理センターから入手できる製品のZendeskネイティブ認証では、SMSや認証アプリを通じてエージェントや管理者向けの2要素認証(2FA)をご利用いただけます。 2FAについてさらに詳しく。

サービス資格情報の保管

Zendeskは、認証情報の安全な保管に関するベストプラクティスに従い、人間が読める形式でパスワードを格納することはありません。パスワードは、安全で暗号化された、一方向のハッシュ値として格納されます。

追加の製品セキュリティ機能
ロールベースアクセスコントロール

Zendeskアプリケーション内のデータへのアクセスはロールベースアクセスコントロール(RBAC)で管理され、きめ細かなアクセス権を定義するよう構成できます。 Zendeskにはオーナー、管理者、エージェント、エンドユーザーなどのユーザーのタイプごとに、様々な権限レベルが用意されています。

ユーザーロールについてさらに詳しく:

グローバルセキュリティ、およびユーザーアクセスについての詳細はこちらをご覧ください。

IP制限

Zendesk製品は、管理者が定義した特定のIPアドレスからのアクセスのみ許可するよう設定することができます。 これらの制限は、すべてのユーザーに適用することも、エージェントのみに適用することもできます。 IP制限についてさらに詳しく:

プライベート添付ファイル

ユーザーがチケットの添付ファイルを閲覧する際にサインインを求めるようインスタンスを設定することができます。 プライベート添付ファイルについてさらに詳しく。

メールの署名(DKIM/DMARC)

Zendeskに外部メールドメインを設定した場合、Zendeskが提供するDKIM(Domain Keys Identified Mail)およびDMARC(Domain-based Message Authentication, Reporting & Conformance)を利用して、Zendeskから送信するメールに署名を行います。 これらの機能をサポートしているメールサービスを使用することで、なりすましメールを防ぐことができます。 メールのデジタル署名についてさらに詳しく。

デバイス追跡

Zendeskは各ユーザーアカウントのサインインに使用されたデバイスを追跡します。 ユーザーが新しいデバイスからアカウントにサインインした場合、そのデバイスがユーザープロフィールのデバイスリストに追加されます。 新しいデバイスがリストに追加されるとユーザーにメール通知が届き、身に覚えがない場合は追跡できます。 疑わしいセッションは、エージェントのUIから終了させることができます。 デバイスの追跡についてさらに詳しく。

機密データ墨消し機能

手動の墨消し機能では、Supportのチケットに入力された機密データの墨消しや削除、および添付ファイルを安全に削除することにより、機密情報を保護することができます。 チケットからのデータの削除はUIまたはAPIを通じて行われ、機密情報がZendeskに保存されることはありません。 UIあるいはAPIを通じた墨消し機能についてさらに詳しく。

自動墨消し機能は、SupportとChatの両方でLuhnアルゴリズムのチェックに一致する有効なクレジットカードのプライマリーアカウント番号(CC PAN)に一致する数字の文字列を自動的に墨消しする機能です。 SupportChatの自動墨消し機能についてさらに詳しく。

Zendesk Supportでは、PCIに準拠したクレジットカード番号の入力欄を設定でき、下4桁以外の番号を墨消し処理します。 ZendeskのPCIコンプライアンスについてさらに詳しく。

ヘルプセンター用のスパムフィルター

Zendeskのスパムフィルタリングサービスでは、エンドユーザーのスパム投稿がヘルプセンターで公開されないように設定することが可能です。 ヘルプセンターでのスパムフィルタリングについてさらに詳しく。

人事部門のセキュリティ

セキュリティ意識の向上
ポリシー

Zendeskは、幅広いトピックに対応する包括的なセキュリティポリシーを策定しています。 これらのポリシーは、Zendeskの情報資産へのアクセス権を持つ全従業員と請負業者に公開および提供されています。

トレーニング

全従業員が入社時から毎年、セキュリティ意識向上トレーニングに参加しています。 また全てのエンジニアが毎年セキュアコードトレーニングを受けています。 さらにセキュリティチームは、メールやブログ投稿、社内イベントにおけるプレゼンテーションを通じて、セキュリティ意識に関する最新情報を提供しています。

従業員の審査
身元調査

Zendeskは現地の法律に従い、新しい従業員全員を対象に身元調査を行います。 また、請負業者に対しても必ず同じ調査を行っています。 身元調査には、犯罪歴、学歴、就労資格証明などの調査が含まれます。 清掃スタッフも身元調査の対象です。

機密保持契約

新入社員は全員、秘密保持契約への署名が求められます。