Zohoのセキュリティに関する慣行、ポリシーおよびインフラストラクチャー

更新日:2018年5月30日

世界中で約3,000万人のユーザーがZohoサービスを利用しており、個人、小企業、中企業、大企業など、あらゆる規模の企業と個人が、それぞれのニーズに従ってZohoサービスのセキュリティとユーザーデータの保護サービスを利用しています。当社はセキュリティを非常に真摯に受け止めており、お客様のデータを確実に保護するための包括的な実施方法、技術、ポリシーを開発しました。

お客様が現在、パーソナルコンピューターや自社サーバーにデータを保存している場合、当社は現時点でのセキュリティよりも優れたセキュリティレベルを提供できるものと考えております。

このページでは、お客様のデータが確実に保護されるように実装したメカニズムやプロセスの概要を説明します。当社のセキュリティ実施方法は4つに分類されています。すなわち、物理的セキュリティ、ネットワークセキュリティ、人的プロセス、冗長性および事業継続性です。

物理的セキュリティ

当社のデータセンターは、現在利用可能な施設の中では、最も安全な施設で運営されており、物理的な攻撃や論理的な攻撃だけでなく、地震、火災、洪水などの自然災害からも守られています。

  • 週7日24時間時間365日のセキュリティ:お客様のデータを格納するデータセンターは、民間の警備会社によって週7日24時間365日体制で守られています。
  • 監視カメラ:各データセンターは、暗視カメラによって週7日24時間365日体制で監視されています。
  • 入退館管理:Zohoのデータセンターへの立ち入りは、事前に許可を受けた少人数のみに厳しく制限されています。
  • 生体認証を含む2要素認証:Zohoのデータセンターへの立ち入りを管理するために、生体認証を含む、2種類の認証方法を併用しています。
  • 立地の安全性:Zohoのサーバーは、攻撃の対象になりにくいように、一般的な外観をした非公開の場所の内部に設置されています。
  • 防弾壁:Zohoのサーバーは、防弾壁の内側で安全に保護されています。

ネットワークセキュリティ

Zohoサービスのユーザーデータは、ZohoセキュリティチームとZohoのシステムインフラストラクチャーによって、高度な電子攻撃からも保護されています。ここで紹介するのは、Zohoサービスのネットワークセキュリティ運用の一部であり、意図的に概要のみを記述しています。どのような対策が取られているかはハッカーが最も知りたいことだからです。Zohoサービスの導入を検討する上で、ネットワークセキュリティに関する詳細な情報が必要な場合には当社までお問い合わせください。

  • セキュアな通信:Zohoサービスへのデータ送信は、すべてTLS 1.2プロトコルを使用して暗号化されています。また、当社では、SHA 256ベースのCAが発行する証明書を使用して、ユーザーのブラウザーから当社サービスに対する安全な接続を確保しています。暗号化には、AES_CBC/AES_GCMの256ビット/128ビット鍵、メッセージ認証にはSHA2、鍵交換メカニズムとしてECDHE_RSAなど、最新の強力な暗号方式を使用しています。
  • IDS/IPS:当社のネットワークは、認証を受けた極めて強力なIntrusion Detection / Intrusion Prevention System(侵入検知/侵入防止システム)によって防護されています。
  • 管理と監査:すべてのアクセスに対して管理と監査を実施しています。
  • 安全なOSの採用:Zohoのアプリケーションは、安全なスライスダウン型オペレーティングシステム内で実行されており、脆弱性が最小限に抑えられています。
  • ウイルススキャン:Zohoのサーバーへのトラフィックは、有害なウイルスが侵入しないように、定期的に更新される最新のウイルススキャンプロトコルにより自動的にスキャンされます。

人的プロセス

データセンターインフラストラクチャーの設計および運用には、技術だけでなく、統制されたプロセスへの高度なアプローチも必要です。これには、エスカレーション、管理、知識共有、リスクに関する方針だけでなく、日常業務に関する方針が含まれます。Zohoのセキュリティチームは、データセンターの設計および運用に関して長年の経験があり、時間をかけて当社のプロセスを継続的に改善しています。Zohoは、セキュリティとデータ保護に関するリスクを管理するために世界クラスの取り組みを整備しています。

  • 要員の厳選:高レベルの機密情報にアクセスする資格を持つ従業員だけがデータセンターのデータにアクセスできます。従業員のアクセスは記録され、パスワードは厳しく管理されています。顧客データへのアクセスは、お客様のためにサポートを提供したり、トラブルシューティングを行ったりするためにアクセスが必要な、ごく少数の選ばれた従業員に制限されています。
  • 監査:Zohoデータセンターでは、セキュリティ管理について定期的に監査が行われています。また、業務プロセスはすべて、経営陣により審査されています。
  • 業務の必要性に基づくアクセス:Zohoデータセンター内のユーザーデータおよび顧客データへアクセスできる従業員は、指定された少数の要員に限り可能であり、かつサポートやトラブルシューティングが必要な場合に限定されています。また、(サポート作業の一貫として)顧客の承認を得ているか、サポートおよびメンテナンスのためにセキュリティ管理責任者が承認した場合に限られます。

冗長性および事業継続性

クラウドコンピューティングの基本的な考え方の一つに、コンピューターリソースは、いつか障害が発生するという認識と前提があります。当社では、これを念頭に置いて、システムやインフラストラクチャーを設計しています。

  • 分散型のグリッドアーキテクチャー:Zoho Servicesは、分散グリッドアーキテクチャー上で運営されています。このことは、サーバーに障害が発生しても、システムやサービスに顕著な影響がないことを意味しています。実際、毎週のように複数のサーバーで障害が発生していますが、お客様がそれに気づくことはありません。サーバーにはいつか障害が発生するということを念頭に、システムを設計し、そのことを考慮してインフラストラクチャーを実装しています。
  • 電力供給の冗長構成:Zohoは、電力供給から配電まで、電源の冗長性を考慮して、サーバーを構成しています。
  • インターネット接続の冗長性:Zohoは、複数のティア1 ISPを通じて、世界、そしてお客様とつながっています。したがって、いずれか1つのISPに障害や遅延が発生した場合でも、お客様は、アプリケーションや情報に確実にアクセスすることができます。
  • ネットワーク機器の冗長構成:Zohoは、内部ネットワークのあらゆるレベルで単一障害点をなくすため、ネットワーク機器(スイッチ、ルーター、セキュリティゲートウェイ)を冗長化しています。
  • 冷却装置や温度制御装置の冗長構成:迅速処理を行う高性能コンピューティングリソースからは大量の熱が発生するため、円滑な運用には冷却が必要です。Zohoのサーバーは、N+2冗長構成のHVACシステムと温度管理システムによって保護されています。
  • 地理的ミラーリング:お客様のデータは、災害復旧と事業継続の目的で、別々の地域でミラーリングされています。
  • 防火対策:Zohoのデータセンターは、業界標準の防火・火災制御システムにより守られています。
  • データ保護とバックアップ:ユーザーのデータは、複数のサーバーで定期的にバックアップされています。これにより、ハードウェアの障害や災害の発生時のデータを保護することができます。

セキュリティ認証

ISO/IEC 27001は、最も広く認められた、独立機関による国際的なセキュリティ規格の一つです。この認証は、ISOの高いグローバル基準に準拠している組織に与えられます。Zohoは、アプリケーション、システム、人員、技術およびプロセスに関するISO/IEC 27001:2013認証を取得しています。

SOC 2 - Zohoは、SOC 2 Type IIに準拠しています。SOC 2は、AICPAのTrustサービス原則の基準を満たす内部統制の設計および運用の有効性の評価です。

Zohoのコンプライアンスの詳細については、こちらのプレゼンテーションを参照してください。

当社のセキュリティポリシーや認証の詳細については、security@zohocorp.comまでお問い合わせください。
コンプライアンスに関する報告書のコピーをご希望の方は、sales@zohocorp.comまでお問い合わせください。

情報セキュリティ脆弱性の報告

Zohoは、サービスのセキュリティを向上するうえで、セキュリティ研究者による研究を重視しており、正式な報告を受けた脆弱性を検証、再現し、これに対応するためにセキュリティ業界全体と連携することに取り組んでいます。セキュリティ上の問題が発生した場合は、https://bugbounty.zoho.com/でご報告ください。

  • bsi-assurance
  • bsi-assurance
  • TRUSTe