はじめに

Zohoは、あらゆるビジネス課題の解決を目的としたソフトウェア(SaaS)を提供しており、世界で数百万ユーザーが利用しています。当社はサービスのセキュリティを重要視しており、当社の業務プロセス、サービス、そして社員に反映されています。ここには、データセキュリティ、運用セキュリティ、物理的セキュリティなど当社のセキュリティ対策の手法について記載しています。

最終更新日:2020年7月12日

概要

このセキュリティ規定は、以下について記載しています。

  •   組織的セキュリティ
  •   物理的セキュリティ
  •   インフラストラクチャーのセキュリティ
  •   データセキュリティ
  •   IDとアクセス管理
  •   運用セキュリティ
  •   インシデント管理
  •   責任ある情報開示
  •   ベンダー管理
  •   お客さまによるセキュリティ管理

組織的セキュリティ

当社は、セキュリティ目標の明確化と利害関係者のリスク緩和を実現する情報セキュリティ管理システム(ISMS)を導入しています。また、顧客データのセキュリティ、可用性、データの処理、完全性、機密性を確保する厳格なポリシーと手続きを採用しています。

従業員の身元調査

Zohoは、従業員に対して身元調査を行います。この調査は信頼できる外部機関によって実施されます。犯罪歴の有無、雇用歴、学歴の確認が行われ、この調査が完了するまでその従業員にはユーザーにリスクを与える可能性のあるタスクは割り当てられません。 

セキュリティ意識の向上

当社従業員は入社後、機密保持契約および使用許諾方針に署名し、情報セキュリティ、プライバシー、コンプライアンスの研修を受講します。テストによってその理解度を評価し、さらに学習が必要な項目を判別します。従業員の役割によって必要とされる特定のセキュリティ要件の研修を実施します。

当社は、社員が定期的に確認する社内コミュニティ内で情報セキュリティ、プライバシー、コンプライアンスに関する継続的な教育を実施し、当社のセキュリティ対策について最新の情報を提供します。また、セキュリティおよびプライバシーに関する意識を高めイノベーションを導く社内イベントを実施します。

セキュリティおよびプライバシー対策専任チーム

当社は、セキュリティおよびプライバシーに関する自社プログラムを実施、管理する専任チームを設置しています。このチームは、当社の防御システムを設計、管理し、セキュリティ審査のプロセスを構築し、疑わしい活動を検出するため社内ネットワークを常時監視します。また、当社の技術チームに対してコンサルティングおよびガイダンスを提供します。

内部監査、コンプライアンス

当社はZoho内の手順やポリシーを審査し、各種標準規格との整合性を確保するコンプライアンス専任チームを設置しており、それらの標準規格を満たすために必要な管理策、プロセス、システムを決定しています。また、内部監査や第三者による外部監査やアセスメントも実施しています。

詳細については、 コンプライアンス一覧 を確認ください。

エンドポイントセキュリティ

当社の従業員に提供されるパソコン端末はすべて最新バージョンで稼働し、またセキュリティソフトを搭載しています。当社のセキュリティ基準に準拠するため、すべての端末は適切に設定され、パッチを適用するZohoのエンドポイント管理ツールで追跡、監視されます。
端末は、保存データが暗号化され、強力なパスワードが設定され、アイドル時にはロックされるようにデフォルト設定されているため安全です。業務に使用するモバイル端末は、当社のセキュリティ基準を確実に満たすため、モバイル端末管理システムに登録されます。

物理的セキュリティ

ワークスペース

アクセスカードを使用して当社のリソース(建物、インフラストラクチャー、施設)へのアクセスを管理しています。当社は、従業員、請負業者、ベンダーおよび訪問者に対し異なるアクセスカードを支給します。これにより、それぞれの目的に応じたアクセスのみが許可されます。人事(HR)チームが、役割に応じた目的を定義、管理しています。また、異常の検知、対処を目的にアクセス記録を保持します。

データセンター

当社データセンターでは、コロケーションプロバイダーが建物、冷却、電源および物理的セキュリティに関する責任を持ち、当社がサーバーとストレージを提供しています。データセンターへの立ち入りは、許可を受けた少数の人員のみに制限されています。その他のアクセスには申請の承認プロセスが必要とされ、各マネージャーから承認された場合にのみ許可されます。敷地への立ち入りにはさらに、2段階認証と生体認証が求められます。インシデントが発生した場合は、アクセスログ、活動記録、カメラ映像が利用されます。

監視

当社は、現地の規制に従い配置したCCTV(監視)カメラを通じて、当社のすべてのビジネスセンターおよびデータセンターへの入退出を監視しています。現地の要件に従って一定の期間、映像のバックアップを利用できます。

インフラストラクチャーのセキュリティ

ネットワークセキュリティ

当社のネットワークセキュリティと監視技術は、複数レイヤーにおける保護と防御をもたらすように設計されています。ファイアウォールを使用して、当社のネットワークへの不正アクセスや望ましくないトラフィックから保護しています。当社のシステムは、機密データ保護のためにいくつかのネットワークに分離されています。テストと開発業務をサポートするシステムは、Zohoの実稼働インフラストラクチャーをサポートするシステムとは別のネットワークが置かれています。

ファイアウォールへのアクセスは、厳格に、定期的に監視されています。ファイアウォールに行われたすべての変更は、ネットワークエンジニアが日々確認しています。さらに、これらの変更は3か月ごとに確認され、ルールの更新および修正が行われます。当社のネットワーク運用センター専任チームは、インフラストラクチャーとアプリケーションをモニタリングし、矛盾や疑わしい活動を検出します。重要なパラメーターはすべて、当社独自のツールを使って継続的にモニタリングし、当社の実稼働環境において異常な、または疑わしい活動があった場合には、通知されます。

ネットワークの冗長性

当社プラットフォームのすべてのコンポーネントは冗長性を持たせています。サーバーの不具合が及ぼす影響からシステムとサービスを保護するため、分散グリッドアーキテクチャを採用しています。サーバーに不具合が生じたとしても、データとZoho サービスはそのまま利用できるため、ユーザーは普段と同じように作業を進めることができます。

さらに、端末レベルでの冗長性を確保するため、複数のスイッチ、ルーター、セキュリティゲートウェイを採用。内部ネットワークに単一障害点が生じないようにしています。

DDoS攻撃への対策

当社は、信頼のおけるサービスプロバイダーの技術を利用し、当社サーバーへのDDoS攻撃を防止しています。これらの技術は複数のDDoS緩和機能を提供し、正常なトラフィックの通過を許可する一方で、悪意のあるトラフィックによる混乱の発生を防止しています。当社のWebサイト、アプリケーション、APIの高い可用性とパフォーマンスはこのようにして維持されています。

サーバーのハードニング(堅牢化)

開発とテスト活動用に設定されたすべてのサーバーは、ハードニング(使用されていないポートやアカウントを無効にしたり、既定のパスワードを削除することによるシステム強化)されています。ベースとなるオペレーティングシステム(OS)のイメージには、サーバーハードニングが実施されており、このOSイメージがサーバーに設定され、複数サーバー間の一貫性が保証されます。

侵入検知および防止

当社の侵入検知システムは、個々の端末のホストベースのシグナルと、当社サーバー内のモニタリングポイントからのネットワークベースのシグナルを記録しています。当社の実稼働ネットワークに存在するすべてのサーバーの管理的アクセス、特権コマンドの使用、システムコールが記録されます。このデータの上に構築された規則とマシンインテリジェンスにより、セキュリティエンジニアにインシデント警告が発せられます。アプリケーション層に、ホワイトリストおよびブラックリスト規則の両方で稼働する当社独自のWebアプリケーションファイアーウォール(WAF)があります。

インターネットサービスプロバイダ(ISP)レベルで、ネットワーク層からアプリケーション層への攻撃を処理するためのスクラブ、ネットワークルーティング、レート制限、およびフィルタリングなど、マルチレイヤーのセキュリティ対策が実装されています。

データセキュリティ

セキュアバイデザイン(Secure by Design)

すべての変更と新機能を変更管理ポリシーで管理し、アプリケーションへのすべての変更が、実稼働環境に実装される前に承認を受けるようにします。当社のソフトウェア開発ライフサイクル(SDLC)では、安全なコーディングに関するガイドラインの遵守を義務付けています。また、当社のコード分析ツール、脆弱性スキャナー、人による審査プロセスを用いてセキュリティ問題を引き起こす可能性のあるコード変更を審査しています。

当社の強固なセキュリティフレームワークはOWASP標準をベースにアプリケーション層に実装されており、SQLインジェクション、クロスサイトスクリプティング、アプリケーション層へのDOS攻撃などの脅威を緩和する機能を提供しています。

データ分離

当社のフレームワークでは、お客さまにクラウドスペースを提供、維持しています。各顧客のサービスデータは、そのフレームワークの一連の安全なプロトコルを使用し、論理的に他の顧客のデータから分離されています。そのため、顧客のサービスデータが他の顧客にアクセスされることはありません。

お客さまが当社のサービスをご利用になるときは、当社のサーバーにサービスデータが保存されます。お客さまのデータは、Zohoではなくお客さまが所有しています。当社はこのデータをお客さまから同意を得ることなくいかなる第三者にも開示しません。

暗号化

送受信時:パブリックネットワークを介して当社に送信される顧客データはすべて、強力な暗号化プロトコルを用いて保護されています。当社サーバーへのすべての接続に、Webアクセス、APIアクセス、モバイルアプリ、IMAP/POP/SMTPメールクライアントアクセスなどを含むすべての接続に対して、暗号文が強力なトランスポート層セキュリティ(TLS 1.2/1.3)暗号化の使用を義務付けています。その接続に関わる両当事者の認証を認め、転送されるデータを暗号化することで、安全な接続が保証されます。さらに、メールについては、当社のサービスはデフォルトでOpportunistic TLS(日和見暗号化)を利用しています。TLSは、メールを暗号化し安全に配信し、ピアサービスがこのプロトコルをサポートする場合に、メールサーバー間の盗聴を緩和します。

当社は、当社の暗号化接続でPerfect Forward Secrecy(PFS)をフルサポートしているため、今後なんらかの危険に晒されるようなことがあったとしても、以前の通信内容が復号化される可能性はありません。当社は、すべてのWeb接続に対してHTTP Strict Transport Security(HSTS)を有効にしています。これにより、当社サイトで安全ではないページへのURLを入力したとしても、最新のブラウザーによる当社への接続はすべて、暗号化された接続に限定されます。さらにWeb上には、当社の認証クッキーはすべて安全であるというフラグがつけられます。

保存時:顧客データは保存時に、256ビット高度暗号化標準(AES)で暗号化されます。保存時に暗号化されるデータは、サービスに応じて異なります。当社はその鍵を社内の鍵管理サービス(KMS)を使用して所有および管理します。マスター鍵を使ってデータ暗号化鍵を暗号化することで、セキュリティレイヤーを追加します。マスター鍵とデータ暗号化鍵は、物理的に分離されており、アクセスが制限された別々のサーバーに保管されます。

Zohoでの暗号化に関する詳しい情報は、こちらをご確認ください。当社サービスにおける暗号化されるデータについては、こちらをご確認ください。

データの保持と廃棄

当社は、お客さまがZoho サービスの利用を選択している限り、お客さまのアカウント内のデータを保持します。Zohoのユーザーアカウントを終了すると、お客さまのデータは、6か月ごとに行われるクリーンアップにおいてアクティブなデータベースから削除されます。アクティブなデータベースから削除されたデータは、3か月後にバックアップから削除されます。お客さまのアカウントが支払いのないまま連続120日間無効になっている場合は、お客さまに事前の通知と、データをバックアップするオプションを提供し、そのアカウントを終了させます。

検証済みかつ認定済みのベンダーが、使用不能な端末の廃棄を行います。それまで、当社は端末を分類し安全な場所に保管します。端末内部に保管された情報は、廃棄前にフォーマットされます。故障したハードディスクは消磁し、シュレッダーを使って物理的に破壊します。故障したソリッドステートドライブ(SSD)は、暗号消去(crypto-erase)し、細断します。

IDとアクセス管理

シングルサインオン(SSO)

Zohoは、ユーザーが同じサインインページと同じ認証情報を用いて複数のサービスにアクセスできるシングルサインオン(SSO)を提供しています。Zoho サービスにサインインするには、必ず当社の統合IDおよびアクセス管理(IAM)サービスを経由する必要があります。また、シングルサインオンのためにSAMLもサポートしており、お客さまがZoho サービスにサインインする際に、自社のLDAP、ADFSなどのIDプロバイダ―を統合し、利用できるようになっています。

SSOにより、サインインプロセスの簡略化、コンプライアンスの保証、効果的なアクセス管理とレポートの提供、パスワードを複数管理する負担の軽減、脆弱なパスワードの設定防止が可能です。

多要素認証

パスワードの他に、追加認証を要求することで、更なるセキュリティを提供します。これにより、パスワードが侵害された場合の不正アクセスのリスクを大幅に下げることができます。Zoho サービスでは、Zoho One-Auth を使用して、多要素認証を設定できます。現在、生体認証であるTouch IDやFace ID、プッシュ通知、QRコード、タイムベースワンタイムパスワード(Time-based OTP)などさまざまな方式がサポートされています。
また、多要素認証として、Yubikey ハードウェアセキュリティキーもサポートされています。

管理的アクセス

当社では、技術的なアクセスコントロールと内部ポリシーにより、従業員が恣意的にユーザーデータにアクセスすることを禁じています。データ漏洩リスクを低減するため、最小権限の原則とロールベースアクセス制御の原則に従っています。

実稼働環境へのアクセスは、中央ディレクトリで管理され、強力なパスワード、2段階認証、パスフレーズで保護されたSSH鍵を組み合わせた認証を行っています。さらに、こうしたアクセスは厳しい規則によってセキュリティ強化された端末で別のネットワークを経由して行われます。また、すべての操作を記録し、定期的に監査しています。

運用セキュリティ

ログとモニタリング

当社は、サービス、当社ネットワークの内部トラフィック、端末やターミナルの使用により収集された情報をモニタリングし分析しています。この情報をイベントログ、監査ログ、障害ログ、管理者ログ、オペレーターログの形式で記録しています。これらのログは自動的にモニタリングされ、当社が異常(従業員アカウントでの通常とは異なるアクティビティや顧客データへのアクセスの試みなど)を認識するのに役立てられています。当社は、アクセス管理を一元的に管理し可用性を確保するため、これらのログを、容易にアクセスできない様に隔離した安全なサーバーに保管しています。

Zoho サービスのすべてのお客さまは、ユーザーが行ったすべての更新と削除操作を記録した監査ログを利用できます。

脆弱性の管理

当社には、認証を受けた第三者スキャンツールや社内ツールを組み合わせてセキュリティの脅威を積極的にスキャンし、自動および手動で侵入テストを行う専用の脆弱性管理プロセスがあります。さらに、当社セキュリティチームは受信セキュリティレポートの審査、公開メーリングリスト、ブログ投稿、Wikiのモニタリングを積極的に行い、当社のインフラストラクチャーに影響を与える可能性のあるセキュリティインシデントを検出しています。

修正を必要とする脆弱性を確認した場合、それを記録し、重要度に基づき優先順位を設定しオーナーに割り当てます。さらに、関連リスクを確認し、脆弱なシステムにパッチが適用されるか、該当する管理策が適用されるかのどちらかによりその案件がクローズされるまで、その脆弱性を追跡します。

マルウェアと迷惑メール対策

当社では、すべてのユーザーのファイルを、Zohoのエコシステムを介したマルウェアの拡散を防止するよう設計された当社の自動スキャンシステムを用いてスキャンしています。当社がカスタマイズしたアンチマルウェアエンジンが、外部の複数の脅威情報ソースから定期的にアップデートを受け、ブラックリストに挙げられた署名や悪意のあるパターンに対してファイルをスキャンします。さらに、機械学習技術が組み込まれた当社専用の検出エンジンにより、マルウェアからの顧客データ保護を確実にします。 

Zohoは、送信ドメイン認証技術(DMARC)を迷惑メール防止の手段としてサポートしています。DMARCは、センダー・ポリシーフレーム・ワーク(SPF)とドメインキー・アイデンティファイド・メール(DKIM)を使用し、メッセージが真正であることを検証します。また、当社独自の検出エンジンを使用しZoho サービスが迷惑メールやフィッシング活動などでの不正使用を特定します。当社にはさらに、ソフトウェアからのシグナルをモニタリングし、不正使用に関する苦情に対処する迷惑メール対策専任チームが存在します。詳しくは、 こちら を確認してください。

バックアップ

当社では、Zoho のデータセンター用にZoho Admin Console (ZAC)を使用して、データベースの差分バックアップを日別、週次でフルバックアップを行っています。データセンターに保存されるバックアップデータは元データと同じ場所に保存され、保存時にAES-265ビットアルゴリズムを使用した暗号化が行われ、tar.gz形式で保存されます。バックアップデータはすべて、3か月間保持されます。

保持期間内にお客さまからデータリカバリーのリクエストがあった場合には、バックアップからデータを復元し、お客さまが安全にデータへアクセスできる環境を提供します。このデータ復元にかかる期間は、データのサイズおよびその複雑さに応じて異なります。

バックアップデータの安全性を確保するため、バックアップサーバーではRAID(Redundant Array of Independent Disks)を使用しています。すべてのバックアップは定期的にスケジュールされ、追跡されます。障害が発生した場合には、バックアップが再実行され、すぐに修正されます。完全バックアップの整合性と検証チェックは、ZACツールを使用して自動的に行われます。

お客様には、各種Zoho サービスからデータをエクスポートることでデータの定期的なバックアップをスケジュール実施し、それらのデータをお客様のローカル環境に保管することを強く推奨します。

災害復旧と事業継続

アプリケーションデータは、回復性の高い(resilient)ストレージに保管され、データセンター間で複製されます。プライマリデータセンターのデータは、ほぼリアルタイムで、セカンダリデータセンターに複製されます。プライマリデータセンターに不具合が生じた場合、セカンダリデータセンターが役目を引き継ぎ最小のロスタイム、またはロスタイムなしにスムーズにに運用を継続させます。どちらのデータセンターも、複数のISPでインターネット接続をしています。

事業継続を保証するための物理的対策として、電源のバックアップ、温度調節システム、火災防止システムを備えています。これらの対策は、高回復性(リジリレンス)の実現に役立ちます。当社は、データの冗長に加えて、サポートとインフラの管理など当社の主要なオペレーションに関する事業継続計画を有しています。

インシデント管理

レポート

当社は、インシデント管理専任チームを設置しています。当社の環境においてインシデントが発生した場合には、該当するお客さまに、行うべきアクションと共に通知します。当社は、適切な是正措置を取りそのインシデントを追跡し対処します。当社は、該当する場合、いつでも、お客様に適用されるインシデントを特定し、アプリケーションログとと監査ログ の形式の必要なエビデンスを収集、取得し、お客様に提供します。さらに、管理策を実装し同様のインシデント再発を予防します。

お客さまがincidents@zohocorp.comにて当社に報告したセキュリティまたはプライバシーに関するインシデントには、最優先で対応します(英語対応)。全体的なインシデントの場合には、ブログ、フォーラム、ソーシャルメディアを通じてユーザーに通知します。特定の個人ユーザーまたは組織に生じたインシデントの場合には、(当社に登録済みの組織管理者の主メールアドレスへの)メールにより当事者に通知します。 

侵害通知

当社はデータ管理者として、一般データ保護規制(GDPR)に従い、侵害に気づいてから72時間以内に、関連するデータ保護機関に通知します。固有の要件については、必要に応じてお客さまにも通知します。当社はデータ処理者として、不当な遅延なく関連するデータ管理者に通知します。 

責任ある情報開示

セキュリティ研究者のコミュニティと連携することを目的に、「Bug Bounty」において脆弱性報告プログラムが実施されています。これにより、セキュリティリ研究者の業績を認識し、報いています。当社はそのコミュニティと協力し、報告された脆弱性に対する適切なソリューションの検証、再現、対応、合法化、実装に取り組んでいます。

何かお気づきになったことがあれば、その問題を https://bugbounty.zoho.com/ にて報告してください。当社に脆弱性を直接報告する場合は、 security@zohocorp.com にメールしてください(英語対応)。

ベンダーおよび第三者サプライヤーの管理

当社は、当社のベンダー管理ポリシーに基づき、当社のベンダーを評価し認定しています。当社は、新規ベンダーが当社にサービスを提供するプロセスを理解し、リスク評価を実施してから採用します。当社は、当社が顧客に対して約束している機密性、可用性、完全性を遵守することをベンダーに要求する契約を締結することにより、適切な措置を講じて当社のセキュリティスタンスが確実に維持されるようにしています。当社は、管理策を定期的に審査し組織のプロセスとセキュリティ措置の効果的な運用をモニタリングしています。

お客さまによるセキュリティ管理

これまで、さまざまな分野において当社が実施しているセキュリティ対策について解説しました。ここでは、お客さま自身がセキュリティを確保するために実施できる対策について解説します。

  •   強力でユニークなパスワードの設定と保護
  •   多要素認証の利用
  •   最新のプラウザーバージョン、モバイルOSおよびアップデートされたモバイルアプリケーションを使用して、脆弱性に対するパッチが適用されている事を確実にし、最新のセキュリティ機能を使用する。
  •   当社のクラウド環境からデータを共有する場合には、合理的な予防策を講じる。
  •   自身の情報を個人情報もしくは機密情報に分類し、それに応じてラベルを付ける。
  •   自身のアカウントにリンクされた端末、アクティブなWebセッション、第三者のアクセスをモニタリングし、自身のアカウント活動における異常を検出し、自身のアカウントに付与される役割と特権を管理する。
  •   Zohoまたはお客さまご自身が信頼するその他のサービスになりすましてお客さまの機密情報を不正利用する可能性のある見慣れないメール、ウェブサイト、リンクに注意し、フィッシングやマルウェアの脅威を認識する。

最後に

すべてのお客さまのデータのセキュリティ確保はお客さまの権利であり、終わる事のないZohoのミッションと考えています。当社は、お客さまのデータの安全の確保に、これまでと同様、今後も努力し続けます。ここに記載された事項に関するご質問は、よくあるご質問をご確認いただくか、 security@zohocorp.com までお気軽にお問い合わせください(英語対応)。

お客さまと弊社の契約関係には、本文書の英語版が適用されます。本文書はお客さまの利便性の向上を目的として提供されており、本文書の英語版が規定する契約関係には影響を与えません。本文書の英語版については  Zoho Security Practices, Policies & Infrastructure をご覧ください。