カスタマーサービスを安全に提供する

Zendesk Security

Zendeskは140,000以上もの企業から信頼され、大切な顧客データをおまかせいただいています。この事実を軽々しく受け止めるわけにはいきません。エンタープライズクラスのセキュリティ機能と、アプリケーション、システム、ネットワークの包括的な監視機能を組み合わせることにより、顧客データおよびビジネスのデータを常に安全に保護いたします。Zendeskのお客様は、データの保管とやり取り、そしてビジネスが安全に保護されることで、ご安心いただけます。

データシートを見る

データセンター&ネットワークセキュリティ

物理セキュリティ
設備・施設 ZendeskはISO 27001、PCI/DSSサービスプロバイダーレベル 1、SOC II のいずれかに準拠したAWSデータセンターでサービスデータをホストしています。

AWSインフラストラクチャサービスには、バックアップ電源、HVACシステム、防火設備が含まれており、サーバーつまりお客様のデータ保護に役立ちます。
オンサイトセキュリティ AWSオンサイトセキュリティには、セキュリティガード、フェンシング、セキュリティフィード、侵入検知技術のようなセキュリティ対策機能を多く採用しています。AWSフィジカルセキュリティについてさらに詳しく
監視 すべての本番ネットワークシステム、ネットワーク接続されたデバイス、および回路は、Zendeskスタッフによって常時監視され、論理的に管理されます。物理的なセキュリティ、電源、インターネット接続は、AWSによって監視されます。
場所 Zendeskでは米国、EUおよびアジア太平洋にあるAWSデータセンターを活用しています。カスタマーは、サービスデータの保管先として「米国のみ」または「EUのみ」を選択できます* (現時点では、Zendesk Chatは「EUのみ」だけをお選びいただけます)。データホスティングの地域オプションについてさらに詳しく

*Data Center Location Add-onでのみ利用可能
ネットワークセキュリティ
専任のセキュリティチーム 当社のグローバルに展開するセキュリティチームは、セキュリティアラートやセキュリティイベントの発生に備えて24時間年中無休で待機しています。
保護 当社のネットワークは、主要AWSセキュリティサービス、Cloudflare edge保護ネットワーク、定期的な監査、悪意のあるトラフィックとネットワーク攻撃を監視・防御するネットワークインテリジェンス技術により、保護されています。
アーキテクチャ 当社のネットワークセキュリティアーキテクチャは、複数のセキュリティゾーンで構成されています。データベースサーバーなど、より機密性の高いサーバーは、最も信頼性の高いゾーンで保護されます。他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーン内に収容されます。ゾーンに応じて、追加のセキュリティ監視およびアクセス制御が適用されます。DMZは、インターネットと内部ネットワークとの間、および信頼性の異なるゾーン間で利用できます。
ネットワークの脆弱性スキャン ネットワークセキュリティスキャンにより、コンプライアンスに準拠していないシステムや潜在的に脆弱なシステムをすばやく特定するための深い洞察を得られます。
サードパーティによる侵入テスト 社内で広範に実施するスキャニングとテストプログラムに加えて、毎年サードパーティのセキュリティ専門家に依頼し、Zendeskの本番ネットワーク全体に対する幅広い侵入テストを実行しています。
セキュリティインシデントイベント管理(SIEM) セキュリティインシデントイベント管理(SIEM)システムは、重要なネットワークデバイスとホストシステムから膨大なログを収集します。SIEMは、調査と対応のための相関イベントに基づいて、セキュリティチームに通知するトリガに警告します。
侵入検知と防御 サービスの入力ポイントと出力ポイントが装備されており、変則的挙動を監視・検知します。ここに挙げたシステムはすべて、インシデントと値が所定のしきい値を超えたときに警告を生成し、新たな脅威に基づいて定期的に更新される署名を使用するように構成されています。これには、24時間年中無休のシステム監視も含まれます。
脅威インテリジェンスプログラム Zendeskは、多数の脅威インテリジェンス共有プログラムに参加しています。Zendeskは、これらの脅威インテリジェンスネットワークに投稿された脅威を監視し、当社のリスクおよびエクスポージャーに基づいて対処します。
DDoS攻撃の緩和策 ZendeskはDDoS軽減のため、多層アプローチを構築しました。Cloudflareとのコア技術のパートナーシップによって、ネットワークエッジの防御が提供されますが、あわせて、AWSスケーリングと保護ツールの使用、AWS DDoS特定サービスの使用により、さらに強靭な保護を提供します。
論理アクセス Zendeskの本番ネットワークへのアクセスは、明示的なneed-to-know原則で制限されています。最小特権の原則で運用され、頻繁に監査および監視されており、Zendeskのオペレーションチームによって管理されています。Zendeskの本番ネットワークにアクセスする従業員は、多要素認証を実行する必要があります。
セキュリティインシデント対応 システムアラートが発生すると、イベントは、オペレーション、ネットワークエンジニアリング、セキュリティ保障を提供する当社の24時間年中無休チームにエスカレートされます。従業員は、コミュニケーションチャネルおよびエスカレーションパスを含む、セキュリティインシデント対応プロセスのトレーニングを受けています。
暗号化
転送時の暗号化 業界標準のベストプラクティスであるHTTPSおよびTransport Layer Security(TLS)を使用し、Zendesk Supportサーバー/Chatサーバーとその利用者との間の通信を暗号化します。さらに、メールを暗号化するためにTLSがサポートされています。
保管時の暗号化 Zendeskのお客様には、データ保存時の暗号化による保護というメリットがあります。サービスデータはAWSへ保存時、AES 256 キー暗号化を使用して暗号化されます。
可用性と継続性
アップタイム Zendeskは、だれでもアクセスできるシステムステータスWebページを公開しており、システム可用性の詳細情報、保守スケジュール、サービスインシデント履歴、関連するセキュリティイベントなどを掲載しています。
冗長性 Zendeskは、サービスクラスタリングおよびネットワーク冗長性を採用し、単一障害点を解消しています。当社の厳格なバックアップ体制と、強化されたディザスタリカバリサービスの提供により、サービスデータが使用可能な各地域でリプリケートされるため、ハイレベルのサービスアベイラビリティのご提供が可能になっています。
ディザスタリカバリ Zendeskのディザスタリカバリ(DR)プログラムは、災害発生時に当社のサービスを稼動し続けること、または速やかに復旧することを保証します。これは、堅牢な技術環境の構築、災害復旧計画の策定、およびテストを通じて達成されます。
ディザスタリカバリの強化 強化されたディザスタリカバリのパッケージには、復帰時間目標(RTO)と目標復旧時点(RPO)の契約上の目標が追加されています。この契約上の目標は、指定された災害時に、強化されたディザスタリカバリのお客様の業務に優先順位をつけるZendeskの機能によってサポートされています。*Advanced Securityアドオンでのみ使用可能

アプリケーションセキュリティ

安全な開発(SDLC)
セキュリティトレーニング 少なくとも毎年1回、エンジニアはセキュアコーディングトレーニングに参加します。このトレーニングでは、OWASP Top 10のセキュリティ上のリスク、よくある攻撃ベクトル、およびZendeskのセキュリティ管理について学びます。
Ruby on Railsフレームワークセキュリティ管理 Zendeskの製品のほとんどは、Ruby on Railsフレームワークセキュリティ管理を活用し、 OWASP Top 10のセキュリティ上のリスクにさらされないように対策しています。このような固有のコントロールは、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、およびSQLインジェクション(SQLI)への露出を削減しています。
QA 当社の品質保証(QA)部門がコードベースをレビューし、テストします。アプリケーションセキュリティ専任のエンジニアが、コード内のセキュリティ脆弱性を特定し、テストし、トリアージします。
環境の分離 テスティング環境およびステージング環境は、論理的に本番環境と分離されています。実際のサービスデータは、開発環境またはテスト環境では一切使用されません。
アプリケーションの脆弱性
動的な脆弱性スキャン 当社では、定評あるサードパーティ製のセキュリティツールを導入し、OWASP Top 10のセキュリティ上の欠陥に対して、主要アプリケーションの継続的な動的スキャニングを行っています。さらに、社内に専任の製品セキュリティチームを組織しています。同チームは、エンジニアリングチームと協力してテストを重ね、発見された問題を修復しています。
静的コード分析 プラットフォーム用およびモバイルアプリケーション用のソースコードリポジトリはどちらも、統合された静的解析ツール経由で、セキュリティ上の問題がないかスキャンされます。
セキュリティ侵入テスト 広範な社内用スキャンおよびテストプログラムに加えて、四半期ごとにサードパーティのセキュリティ専門家に依頼し、Zendesk製品ファミリ内のさまざまなアプリケーションに対する詳細な侵入テストを実行しています。
責任ある開示/バグバウンティプログラム 当社の責任ある開示プログラムはお客様だけでなく、セキュリティ研究者に、 HackerOneとのパートナーシップを通じて、Zendeskのセキュリティ脆弱性をテストおよび通知するための手段を提供します。

製品のセキュリティ機能

認証セキュリティ
認証オプション SupportおよびChatの管理者/エージェントには、Zendeskサインインをお勧めします。さらに、Zendesk Supportでは、SSOおよびGoogle認証を有効にすることができます。

SupportおよびChatのエンドユーザー向けに、Zendeskサインインをサポートしています。さらに、Zendesk Supportでは、エンドユーザー認証用にソーシャルメディア(Facebook、Twitter、Google)のSSOを有効にすることができます。
シングルサインオン(SSO) シングルサインオン(SSO)を使用すると、Zendesk Supportインスタンス用に追加のログイン資格情報の入力を要求することなく、ユーザーを自社のシステムで認証できます。JSON Web Token(JWT)とSecurity Assertion Markup Language(SAML)のどちらもサポートされます。セキュリティとサインイン設定についてさらに詳しく

*SAML はProfessionalおよびEnterpriseアカウントでのみ使用可能
*JWTはTeamアカウント以上でのみ使用可能
設定可能なパスワードポリシー Zendesk SupportとZendesk Guideのパスワードセキュリティレベルは、低、中、高の3種類です。また、エージェントと管理者向けにパスワードルールをカスタマイズできます。エンドユーザー向けのパスワードセキュリティレベルと、管理者/エージェント向けのパスワードセキュリティレベルには、それぞれ異なるレベルを設定できます。パスワードセキュリティレベルを変更できるのは管理者だけです。

*ProfessionalおよびEnterpriseアカウントでのみ使用可能。
2要素認証(2FA) Zendesk SupportインスタンスでZendeskサインインを使用する場合、エージェントおよび管理者向けに2要素認証(2FA)を有効にできます。Zendeskでは、SMSやAuthenticator(認証)アプリを使ってパスコードを作成できます。2要素認証を活用し、ご自身の環境でエンタープライズSSOと連結させ、独自のZendesk用認証方法を選択することも可能です。 2要素認証でZendeskアカウントに追加のセキュリティレイヤを提供することで、なりすましで他の人にサインインされないよう保護します。2要素認証についてさらに詳しく
資格情報の安全な保管 Zendeskは認証情報の安全な保管のベストプラクティスに従っており、人間が読める形式でパスワードを格納することはありません。パスワードは、安全な、暗号化された一方向のハッシュ値として格納されます。
APIセキュリティおよび認証 Zendesk Support APIの認証方式はTLSのみです。APIに対して認証を行う場合、ユーザー名とパスワードから成るBASIC認証を使用することも、APIトークンとユーザー名の組み合わせを使用することもできます。また、OAuth認証もサポートされています。APIセキュリティについてさらに詳しく
追加の製品セキュリティ機能
ロールベースのアクセス制御 Zendeskアプリケーション内のデータへのアクセスはロールベースで管理され(RBAC)、きめ細かなアクセス権を定義するように構成できます。Zendeskには所有者、管理者、エージェント、エンドユーザーなどのユーザーのタイプごとに、様々な権限レベルが用意されています。Supportユーザーロールユーザーアクセスおよびセキュリティについてさらに詳しく
IP制限 Zendesk SupportおよびChatは、管理者が定義した特定のIPアドレスからのアクセスのみを許可するように設定できます。これらの制限は、すべてのユーザーに適用することも、エージェントのみに適用することもできます。IP制限についてさらに詳しく

*Enterprise SupportアカウントおよびChat Enterpriseでのみ使用可能
プライベート添付ファイル Zendesk Supportでは、ユーザーがチケットの添付ファイルを閲覧しようとしたときにサインインを要求するように、インスタンスを設定することができますそのように設定しない場合、長くランダムなトークンチケットIDを使用して添付ファイルにアクセスできます。
伝送時のセキュリティ Zendesk UIとAPIにおける通信はすべて、パブリックネットワークを介した業界標準のHTTPS/TLSを使用して暗号化されます。これにより、お客様とZendeskとの間に発生するトラフィックすべてが、伝送中にセキュリティ保護されます。また、メールについては、当社の製品はデフォルトでTLSによる日和見暗号化を活用しています。Transport Layer Security(TLS)は、同等のサービスによってこのプロトコルがサポートされているメールサーバー間において盗聴を軽減するために、メールを暗号化して安全に配信するプロトコルです。
メールの署名(DKIM/DMARC) Zendeskに外部メールドメインを設定した場合、Zendesk Supportが提供するDKIM(Domain Keys Identified Mail)およびDMARC(Domain-based Message Authentication, Reporting & Conformance)を利用して、Zendeskから送信するメールに署名を行います。これらの機能をサポートしているメールサービスを使用することで、なりすましメールを防ぐことができます。メールのデジタル署名についてさらに詳しく
デバイス追跡 セキュリティを強化するために、Zendesk Supportインスタンスは、各ユーザーアカウントのサインイン時に使用されたデバイスを追跡します。ユーザーが新しいデバイスからアカウントにサインインした場合、そのデバイスがユーザープロフィールのデバイスリストに追加されます。新しいデバイスがリストに追加されるとユーザーにメール通知が届くので。身に覚えがなく疑わしい場合は、フォローアップできます。疑わしいセッションは、エージェントのUIから終了させることができます。
機密データ墨消し機能 Zendesk SupportおよびChatの墨消し機能は、チケットのコメント、カスタムフィールド、チャットに入力された機密データを墨消し(削除)します。この機能により、機密情報を保護できます。届いたチケットに機密情報が含まれていた場合、その情報は墨消しされ、Zendeskにデータが保存されることはありません。機密データ保護についてさらに詳しく

*Enterpriseアカウントでのみ使用可能
ヘルプセンター用のスパムフィルター Zendesk Supportは、エンドユーザーによるスパム投稿がヘルプセンターやWebポータルに公開されないように未然に防ぐ、スパムフィルタリングサービスを提供しています。ヘルプセンターでのスパムフィルタリングについてさらに詳しく.

コンプライアンス証明書とメンバーシップ

セキュリティコンプライアンス
SOC 2 Type II Zendeskには、SOC 2 Type IIレポートがあり、NDA契約締結の上で閲覧可能です。詳細については、security@zendesk.comまでお問い合わせください。
ISO 27001:2013 Zendeskは、ISO 27001:2013の認定を受けています。証明書は こちらでダウンロードできます
ISO 27018:2014 Zendeskは、ISO 27018:2014の認定を受けています。証明書は こちらでダウンロードできます
メンバーシップ
Skyhigh Enterprise-Ready Zendeskは、CloudTrust™プログラムの最高評価であるSkyhigh Enterprise-Ready™シールを取得しています。これは、完全なデータ保護、身元確認、サービスのセキュリティ、ビジネス慣行、および法的保護のための最も厳格な要件を満たすクラウドサービスに贈られるものです。
Cloud Security Alliance Zendeskは、Cloud Security Alliance(CSA)のメンバーです。CSAは、クラウドコンピューティングにおけるセキュリティ確保を実現するためのベストプラクティスの使用の推進を使命とする非営利組織です。CSAは、Security, Trust & Assurance Registry(STAR)を立ち上げました。これは、誰でもアクセスできる公開レジストリで、クラウドプロバイダが様々なクラウドコンピューティングのセキュリティコントロールについて登録し公開することができます。Zendeskは、デューデリジェンスの自己評価の結果に基づいて、公開されているConsensus Assessment Initiative(CAI)アンケートを完了しました。
プライバシー証明書
TRUSTe® Privacy Certification Programs Zendeskのプライバシーに関するプログラム、ポリシー、プラクティスは、EU-米国間のプライバシーシールドおよびスイス-米国間のプライバシーシールドの要件を満たしています。https://www.privacyshield.gov/listに記載されている企業は、米国商務省とのプライバシーシールド参加を自己証明しています。TRUSTeは、検証に関するプライバシーシールド補足原則の要件と一致するプライバシーシールドのコンプライアンスを確認します。
EU-米国およびスイス-米国間のプライバシーシールド認証 Zendeskは米国-EU間およびスイス-米国間のプライバシーシールド フレームワーク遵守について米国商務省に認証を受けており、 プライバシーシールド参加を自己証明している企業の米国商務省リストに記載されています。認証は、当社が欧州およびスイスから米国への個人データの移動についてプライバシーシールドの原則を遵守していることを確認しています。
プライバシーポリシー Zendeskのプライバシーについてさらに詳しく
業界標準へのコンプライアンス
HIPAA 当社は適切なセキュリティ設定オプションをZendesk製品で活用し、お客様のHIPAA遵守の取り組みをサポートします。また、購読者による実施には、Business Associate Agreement(BAA)を提供できます。

*BAAは高度なセキュリティアドオンをご購入いただいた場合にのみ利用でき、特定のZendesk製品にのみ適用されます(特別な設定ルールが適用されます)。
PCI環境でのZendeskの使用 PCI準拠に関するホワイトペーパーをご覧ください。Zendesk SupportのPCI準拠のフィールドもお読みいただけます。

*Enterpriseアカウントが必要

追加のセキュリティ手順

セキュリティ意識向上
ポリシー Zendeskは、幅広いトピックに対応する包括的なセキュリティポリシーのセットを策定しています。これらのポリシーは、およびZendeskの情報資産へのアクセス権を持つすべての従業員および請負業者に公開および提供されています。
トレーニング すべての新入社員は、雇用時および年に1回、セキュリティ意識向上のトレーニングに出席します。すべてのエンジニアは、毎年セキュアなコーディングに関するトレーニングを受講します。セキュリティチームは、メールやブログ投稿、社内イベントにおけるプレゼンテーションを通じて、セキュリティ意識の更なるアップデートを提供します。
従業員の審査
身元調査 Zendeskは、現地の法律に従って、新しい従業員全員に対して身元調査を行います。また、請負業者に対しても同じ調査を必ず行っています。身元調査には、犯罪歴、学歴、就労資格証明などの調査を含みます。清掃スタッフも身元調査の対象です。
機密保持契約 すべての新入社員は、採用プロセス中にこの調査の対象となります。また、機密保持契約書への署名も求められます。

ダウンロード可能なセキュリティリソース

もちろんZendeskのリソースも保護されています。ご覧になりたい場合は、以下のフォームに必要事項を入力してください。

名を入力してください
姓を入力してください
有効なメールアドレスを入力してください
国を選択してください

会社の情報をご入力ください

会社名を入力してください
従業員数を選択してください
業種を選択してください
また、Zendeskの製品やサービスに関するお知らせをお送りください。(メールの配信はいつでも中止できます。)
オプションを選択してください

お問い合わせが完了しました。

折り返し担当者よりご連絡いたします。

問題が発生したようです。

ページを再度読み込んでフォームの入力をやり直していただくか、または、support@zendesk.comまで直接メールでお問い合わせください。

リクエストを送信しています。しばらくお待ちください。

当社のSOC 2レポートへのアクセスが必要な場合は、security@zendesk.comにメールでお問い合わせください