カスタマーサービスを安全に提供する

侵入を防ぐ

Zendeskはセキュリティに非常に真剣に取り組んでいます。このことは、当社にデータを信託しているフォーチュン100およびフォーチュン500ランキング企業の数が証明しています。エンタープライズクラスのセキュリティ機能と、アプリケーション、システム、ネットワークの包括的な監視機能を組み合わせることにより、顧客データを常に安全に保護しておりますので、当社のお客様は言うまでもなく、すべての顧客に安心してご利用いただけます。

コンプライアンス証明書とメンバーシップ

ベストプラクティスと業界標準を活用して、業界で認められている一般的なセキュリティとプライバシーの枠組みに準拠しており、これによってお客様のコンプライアンス基準も満たすことができます。

セキュリティコンプライアンス
SOC 2 Type II

当社は定期的に監査を行い、SOC 2 Type IIの最新レポートを常備しています。リクエストに応じて、秘密保持契約(NDA)の締結により閲覧いただくことができます。SOC 2 Type IIの最新レポートはこちらからご請求ください。

ISO 27001:2013

Zendeskは、ISO 27001:2013の認定を受けています。証明書はこちらでダウンロードできます。

ISO 27018:2014

Zendeskは、ISO 27018:2014の認定を受けています。証明書はこちらでダウンロードできます。

FedRAMP LI-SaaS

Zendeskは、LI-SaaS(Low Impact Software-as-a-Service)のFedRAMPとして認定され、FedRAMPマーケットプレイスに掲載されています。米国政府機関の顧客は、こちらのパッケージアクセスリクエストフォームに必要事項を記入するか、またはfedramp@zendesk.comにリクエストを送信して、Zendesk FedRAMPセキュリティパッケージへのアクセスをリクエストできます。

業界標準へのコンプライアンス
HIPAA

当社は適切なセキュリティ設定オプションをZendesk製品で活用し、お客様のHIPAA遵守の取り組みをサポートします。また、購読者による実施には、Business Associate Agreement(BAA)を提供できます。

*BAAは高度なコンプライアンスアドオンをご購入いただいた場合にのみ利用でき、特定のZendesk製品にのみ適用されます (特別な設定要件を適用)。

PCI DSS

PCI 準拠に関するホワイトペーパーをご覧ください。Zendesk SupportのPCI 準拠のフィールドもお読みいただけます。

*Enterpriseアカウントが必要

コンプライアンスのPCI構成証明(AoC)およびコンプライアンス証明書については、こちらをクリックして入手してください。

メンバーシップ
Skyhigh Enterprise-Ready

Zendeskは、CloudTrust™プログラムの最高評価であるSkyhigh Enterprise-Ready™シールを取得しています。これは、完全なデータ保護、身元確認、サービスのセキュリティ、ビジネス慣行、および法的保護のための最も厳格な要件を満たすクラウドサービスに贈られるものです。

Cloud Security Alliance

Zendeskは、Cloud Security Alliance(CSA)のメンバーです。CSAは、クラウドコンピューティングにおけるセキュリティ確保を実現するためのベストプラクティスの使用の推進を使命とする非営利組織です。CSAは、Security, Trust & Assurance Registry(STAR)を立ち上げました。これは、誰でもアクセスできる公開レジストリで、クラウドプロバイダが様々なクラウドコンピューティングのセキュリティコントロールについて登録し公開することができます。Zendeskは、デューデリジェンスの自己評価の結果に基づいて、公開されているConsensus Assessment Initiative(CAI)アンケートを完了しました。

CSA CAIQは、こちらからダウンロードしていただけます。

IT-ISAC

Zendeskは、民間企業が有する英知の結集を中心に、進化する技術を利用し、共同してセキュリティ強化に取り組む組織、IT-ISACのメンバーです。IT-ISACでは、関連する違法な脅威に関する情報資料や対処方法などの共有と協力が可能です。この組織は、Zendeskを安全に保護するというミッションに役立つインテリジェンス、インサイダー脅威、フィジカルセキュリティ、そしてその他専門分野の分科会を管理しています。

最初の

Zendeskは、世界各地からインシデント対応チームが集まる国際フォーラム、FIRSTのメンバーです。コンピュータ関連のセキュリティインシデントに協力して対処し、インシデント防止プログラムを促進する活動を行っています。FIRSTのメンバーは、技術情報やツール、手法、プロセス、ベストプラクティスの開発に取り組み、共有に努めています。FIRSTのメンバーとして、Zendesk Securityはほかのメンバーと協力し、結集した知識、スキル、経験を活用して世界に広がる電子社会の一層安心かつ安全な環境の構築を推進します。

プライバシー証明書とデータ保護
法務関連のリソース

当社の法的およびプライバシー条件については、以下のサイトをご覧ください:

アーティファクト

ご要望に応じてご提供できる資料を多数ご用意しております。

直接ダウンロード可能なリソース(NDA対象外)

以下のダウンロード可能なリソースにアクセスするには、以下のボタンをクリックしてください。

ISO 27001:2013 認証

ISO 27018:2014 認証

SOC 3 Report

データシート / ホワイトペーパー

コンプライアンスのPCI構成証明(AoC)およびコンプライアンス証明書

ネットワークアーキテクチャ図

  • Support / Guide
  • Chat
  • Talk

CSA CAIQ

リソース入手はこちら
NDAリソース

以下のリソースは、ファイルにNDAが必要な場合があります。下記のボタンをクリックしてアクセスしてください。

保険証明書

SOC 2 Type II Report

年間侵入テストの概要

事業継続性とディザスタリカバリテストの概要

SIG LIte

VSA

リソース入手はこちら

クラウドセキュリティ

データセンターの物理的なセキュリティ
設備・施設

Zendeskは ISO 27001、PCI DSS サービスプロバイダーレベル 1、SOC 2のいずれか、またはすべてに準拠したAWSデータセンターでサービスデータをホストしています。AWSの準拠についてさらに詳しく。

AWSインフラストラクチャサービスには、バックアップ電源、HVACシステム、防火設備が含まれており、サーバーつまりお客様のデータ保護に役立ちます。AWSのデータセンターコントロールについてさらに詳しく。

オンサイトセキュリティ

AWSオンサイトセキュリティには、セキュリティガード、フェンシング、セキュリティフィード、侵入検知技術のようなセキュリティ対策機能を多く採用しています。AWSフィジカルセキュリティについてさらに詳しく。

データホスティングの場所

Zendeskでは米国、EUおよびアジア太平洋にあるAWSデータセンターを活用しています。Zendeskサービスデータのデータホスティングの場所についてさらに詳しく。

サービスデータの保管先として「米国のみ」または「EEAのみ」を選択できます。*データホスティングの地域オプションとサービスデータタイプの制限についてさらに詳しく。

*Data Center Location Add-onでのみ利用可能

ネットワークセキュリティ
専任のセキュリティチーム

当社のグローバルに展開するセキュリティチームは、セキュリティアラートやセキュリティイベントの発生に備えて24時間年中無休で待機しています。

保護

当社のネットワークは、主要AWSセキュリティサービス、Cloudflare edge保護ネットワーク、定期的な監査、既知の悪意のあるトラフィックとネットワーク攻撃を監視・防御するネットワークインテリジェンス技術により、保護されています。

当社のネットワークセキュリティアーキテクチャは、複数のセキュリティゾーンで構成されています。データベースサーバーなど、より機密性の高いサーバーは、最も信頼性の高いゾーンで保護されます。他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーン内に収容されます。ゾーンに応じて、追加のセキュリティ監視およびアクセス制御が適用されます。DMZは、インターネットと内部ネットワークとの間、および信頼性の異なるゾーン間で利用できます。

ネットワークの脆弱性スキャン

ネットワークセキュリティスキャンにより、コンプライアンスに準拠していないシステムや潜在的に脆弱なシステムをすばやく特定するための深い洞察を得られます。

サードパーティによる侵入テスト

社内で広範に実施するスキャニングとテストプログラムに加えて、毎年サードパーティのセキュリティ専門家に依頼し、 Zendeskの制作部門や企業ネットワーク全体で幅広い侵入テストを実行しています

セキュリティインシデントイベント管理

セキュリティインシデントイベント管理(SIEM)システムは、重要なネットワークデバイスとホストシステムから膨大なログを収集します。SIEMは、調査と対応のための相関イベントに基づいて、セキュリティチームに通知するトリガに警告します。

侵入検知と防御

サービスの入力ポイントと出力ポイントが装備されており、変則的挙動を監視・検知します。ここに挙げたシステムはすべて、インシデントと値が所定のしきい値を超えたときに警告を生成し、新たな脅威に基づいて定期的に更新される署名を使用するように構成されています。これには、24時間年中無休のシステム監視も含まれます。

脅威インテリジェンスプログラム

Zendeskは、多数の脅威インテリジェンス共有プログラムに参加しています。脅威インテリジェンス ネットワークに投稿された脅威を監視し、リスクに基づいて対応します。

DDoS攻撃の緩和策

ZendeskはDDoS軽減のため、多層アプローチを構築しました。Cloudflareとのコア技術のパートナーシップによって、ネットワークエッジの防御が提供されますが、あわせて、AWSスケーリングと保護ツールの使用、AWS DDoS特定サービスの使用により、さらに強靭な保護を提供します。

論理アクセス

Zendeskの本番ネットワークへのアクセスは、明示的なneed-to-know原則で制限されています。最小特権の原則で運用され、頻繁に監査および監視されており、Zendeskのオペレーションチームによって管理されています。Zendeskの本番ネットワークにアクセスする従業員は、多要素認証を実行する必要があります。

セキュリティインシデント対応

システムアラートが発生すると、イベントは、オペレーション、ネットワークエンジニアリング、セキュリティ保障を提供する当社の24時間年中無休チームにエスカレートされます。従業員は、コミュニケーションチャネルおよびエスカレーションパスを含む、セキュリティインシデント対応プロセスのトレーニングを受けています。

暗号化
転送時の暗号化

Zendesk UIとAPIにおける通信はすべて、パブリックネットワークを介した業界標準のHTTPS/TLS(TLS 1.2 以上)を通じて暗号化されます。これにより、お客様とZendeskとの間に発生するトラフィックすべてが、伝送中にセキュリティ保護されます。また、メールについては、当社の製品はデフォルトでTLSによる日和見暗号化を活用しています。Transport Layer Security(TLS)は、同等のサービスによってこのプロトコルがサポートされているメールサーバー間において盗聴を軽減するために、メールを暗号化して安全に配信するプロトコルです。例外として、SMS機能、サードパーティのアプリ、インテグレーション、お客様が任意で導入するサービスの利用時は暗号化が行われない場合があります。

保管時の暗号化

サービスデータはAWSへの保存時、AES-256キーを使用して暗号化されます。

可用性と継続性
アップタイム

Zendeskは、だれでもアクセスできる システムステータスWebページを公開しており、システム可用性の詳細情報、保守スケジュール、サービスインシデント履歴、関連するセキュリティイベントなどを掲載しています。

冗長性

Zendeskは、サービスクラスタリングおよびネットワーク冗長性を採用し、単一障害点を解消しています。当社の厳格なバックアップ体制と、 拡張ディザスタリカバリサービスにより、サービスデータが使用可能な範囲で複製されるため、ハイレベルなサービスをお客様に提供することができます。

ディザスタリカバリ

当社のディザスタリカバリ(DR)プログラムは、当社のサービスを常に利用できる状態に維持、また災害発生時には簡単に復旧するよう機能します。これは、堅牢な技術環境の構築、災害復旧計画の策定、およびテストを通じて達成されます。詳細はこちら

ディザスタリカバリの強化

拡張ディザスタリカバリのパッケージには、復帰時間目標(RTO)と目標復旧時点(RPO)の契約上の目標が追加されています。この契約上の目標は、指定された災害時に、強化されたディザスタリカバリのお客様の業務に優先順位をつけるZendeskの機能によってサポートされています。

* 拡張ディザスタリカバリ アドオンをご購入いただいた場合にのみご利用いただけます。

アプリケーションセキュリティ

安全な開発(SDLC)
セキュアコードトレーニング

少なくとも毎年1回、エンジニアはセキュアコーディングトレーニングに参加します。このトレーニングでは、 OWASP Top 10 のセキュリティ上のリスク、よくある攻撃ベクトル、およびZendeskのセキュリティ管理について学びます。

フレームワークセキュリティ管理

Zendeskはセキュリティ制御機能を備えた最新かつ安全なオープンソースを活用し、OWASP Top 10のセキュリティリスクにさらされないよう対応しています。このような固有の制御機能は、SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)への露出を削減しています。

品質保証

当社の品質保証(QA)部門がコードベースをレビューし、テストします。アプリケーションセキュリティ専任のエンジニアが、コード内のセキュリティ脆弱性を特定し、テストし、トリアージします。

環境の分離

テスティング環境およびステージング環境は、論理的に本番環境と分離されています。サービスデータは、開発環境やテスト環境では一切使用されません。

脆弱性の管理
動的な脆弱性スキャン

当社では、サードパーティ製のセキュリティツールを導入し、OWASP Top 10のセキュリティリスクに対し、主要アプリケーションの動的スキャンを継続的に行っています。社内に専任の製品セキュリティチームを置いてテストを実施、エンジニアリングチームと協力して、検知された問題の修正を行っています。

静的コード分析

プラットフォーム用およびモバイルアプリケーション用のソースコードリポジトリはどちらも、統合された静的解析ツール経由で、セキュリティ上の問題がないかスキャンされます。

サードパーティによる侵入テスト

社内で広範に実施するスキャニングとテストプログラムに加えて、Zendeskはサードパーティのセキュリティ専門家に依頼し、Zendeskファミリーの複数のアプリケーションに対しても精密な侵入テストを実施しています。

責任ある開示/バグバウンティプログラム

当社の責任ある開示プログラムはお客様だけでなく、セキュリティ研究者に、HackerOneとのパートナーシップを通じて、Zendeskのセキュリティ脆弱性をテストおよび通知するための手段を提供します。

製品のセキュリティ

認証セキュリティ
認証オプション

お客様は、エンドユーザーやエージェントの認証のため、Zendeskネイティブ認証、ソーシャルメディアのシングルサインオン(SSO)(Facebook、Twitter、Google)、エンタープライズSSO(SAML、JWT)を使用することができます。ユーザーアクセスについてさらに詳しく。

設定可能なパスワードポリシー

管理センターから入手できる製品のZendeskネイティブ認証では、低、中、高の3段階のパスワードセキュリティレベルがあります。また、エージェントと管理者向けにはパスワードルールをカスタマイズすることも可能です。エンドユーザー向けのパスワードセキュリティレベルと、管理者/エージェント向けのパスワードセキュリティレベルには、それぞれ異なるレベルを設定できます。パスワードセキュリティレベルを変更できるのは管理者だけです。設定可能なパスワードポリシーについてさらに詳しく。

2要素認証(2FA)

管理センターから入手できる製品のZendeskネイティブ認証では、SMSや認証アプリを通じてエージェントや管理者向けの 2要素(2FA)をご利用いただけます。2FAについてさらに詳しく。

サービス資格情報の保管

Zendeskは認証情報の安全な保管のベストプラクティスに従っており、人間が読める形式でパスワードを格納することはありません。パスワードは、安全な、暗号化された一方向のハッシュ値として格納されます。

追加の製品セキュリティ機能
ロールベースアクセスコントロール

Zendeskアプリケーション内のデータへのアクセスはロールベースアクセスコントロール(RBAC)で管理され、きめ細かなアクセス権を定義するように構成できます。Zendeskには所有者、管理者、エージェント、エンドユーザーなどのユーザーのタイプごとに、様々な権限レベルが用意されています。

ユーザーロールについてさらに詳しく:

グローバルセキュリティ、およびユーザーアクセスについての詳細はこちらをご覧ください。

IP制限

Zendesk製品は、管理者が定義した特定のIPアドレスからのアクセスのみ許可するよう設定することができます。これらの制限は、すべてのユーザーに適用することも、エージェントのみに適用することもできます。IP制限についてさらに詳しく:

プライベート添付ファイル

ユーザーがチケットの添付ファイルを閲覧する際にサインインを求めるようインスタンスを設定することができます。プライベート添付ファイルについてさらに詳しく。

メールの署名(DKIM/DMARC)

Zendeskに外部メールドメインを設定した場合、Zendesk が提供する DKIM(Domain Keys Identified Mail)および DMARC(Domain-based Message Authentication, Reporting & Conformance)を利用して、Zendeskから送信するメールに署名を行います。これらの機能をサポートしているメールサービスを使用することで、なりすましメールを防ぐことができます。メールのデジタル署名についてさらに詳しく。

デバイス追跡

Zendeskは各ユーザーアカウントのサインインに使用されたデバイスを追跡します。ユーザーが新しいデバイスからアカウントにサインインした場合、そのデバイスがユーザープロフィールのデバイスリストに追加されます。新しいデバイスがリストに追加されるとユーザーにメール通知が届くので。身に覚えがなく疑わしい場合は、フォローアップできます。疑わしいセッションは、エージェントのUIから終了させることができます。デバイスの追跡についてさらに詳しく。

機密データ墨消し機能

手動の墨消し機能では、Supportのチケットコメントに入力された機密データを墨消し、もしくは削除したり、添付ファイルを安全に削除することで、機密情報を保護することが可能です。チケットからのデータ削除はUIもしくはAPIを通じて行われ、機密情報がZendeskに保存されることはありません。UIあるいはAPIを通じた墨消し機能についてさらに詳しく。

自動墨消し機能は、SupportとChatの両方でLuhnのチェックに一致する有効なクレジットカードのプライマリーアカウント番号(CC PAN)に一致する数字の文字列を自動的に墨消しする機能です。SupportChatの自動墨消し機能についてさらに詳しく。

Zendesk Supportでは、PCIに準拠したクレジットカード番号の入力欄を設定でき、下4桁以外の番号を墨消し処理します。ZendeskのPCI準拠についてさらに詳しく。

ヘルプセンター用のスパムフィルター

Zendeskのスパムフィルタリングサービスでは、エンドユーザーのスパム投稿がヘルプセンターで公開されないように設定することが可能です。ヘルプセンターでのスパムフィルタリングについてさらに詳しく。

人事部門のセキュリティ

セキュリティ意識向上
ポリシー

Zendeskは、幅広いトピックに対応する包括的なセキュリティポリシーのセットを策定しています。これらのポリシーは、およびZendeskの情報資産へのアクセス権を持つすべての従業員および請負業者に公開および提供されています。

トレーニング

全従業員は入社時から毎年、セキュリティ意識向上トレーニングに参加します。全エンジニアは毎年セキュアコードトレーニングを受けています。加えて、セキュリティチームは、メールやブログ投稿、社内イベントにおけるプレゼンテーションを通じて、セキュリティ意識に関する最新情報を展開しています。

従業員の審査
身元調査

Zendeskは、現地の法律に従って、新しい従業員全員に対して身元調査を行います。また、請負業者に対しても同じ調査を必ず行っています。身元調査には、犯罪歴、学歴、就労資格証明などの調査を含みます。清掃スタッフも身元調査の対象です。

機密保持契約

新入社員は全員、秘密保持契約への署名が求められます。