Zohoのセキュリティに関する実施方法、ポリシーおよびインフラストラクチャー

更新日:2018年10月23日

世界中で約3,000万人のユーザーがZohoサービスを利用しています。個人、中小企業、大企業など、あらゆる規模の企業と個人が、それぞれのニーズに従いZohoサービスのセキュリティとユーザーデータの保護サービスを利用しています。当社はセキュリティを非常に重要視しており、お客さまのデータを確実に保護するための包括的な実施方法、技術、ポリシーを開発しました。

お客さまが現在、パソコン端末や自社サーバーにデータを保存している場合、当社はより優れたレベルのセキュリティを提供できるものと考えております。

このページでは、お客さまのデータが確実に保護されるように実装された当社のセキュリティに関するメカニズムやプロセスの概要を説明します。

当社のセキュリティ実施方法は、物理的セキュリティ、ネットワークセキュリティ、人的セキュリティ、冗長性および事業継続性の4つに分類されています。

物理的セキュリティ

当社のデータセンターは、現在利用可能な施設の中で、最も安全な施設で運営されており、物理的な攻撃や論理的な攻撃だけでなく、地震、火災、洪水などの自然災害からも守られています。

  • 週7日24時間365日のセキュリティ:お客さまのデータを格納するデータセンターは、民間の警備会社による週7日24時間365日の監視体制に置かれています。
  • 監視カメラ:各データセンターは、暗視カメラによって週7日24時間365日体制で監視されています。
  • 入退館管理:Zohoのデータセンターへの立ち入りは、事前に許可を受けた少人数のみに厳しく制限されています。
  • 生体認証を含む2段階認証:Zohoのデータセンターへの立ち入りを管理するために、生体認証を含む、2種類の認証方法を併用しています。
  • 所在の非公開:Zohoのサーバーの所在地は非公開であり、攻撃の対象になりにくいように、一般的な外観の施設内部に設置されています。
  • 防弾壁:Zohoのサーバーは、防弾壁の内側で安全に保護されています。

ネットワークセキュリティ

Zohoサービスのユーザーデータは、ZohoセキュリティチームとZohoのシステムインフラストラクチャーによって、高度な電子攻撃からも保護されています。ここでは、ハッキングリスクを回避するため、Zohoサービスのネットワークセキュリティ運用の一部のみを記述しています。Zohoサービスの導入を検討する上で、ネットワークセキュリティに関する詳細な情報が必要な場合には、当社までお問い合わせください。

  • 通信の安全性:Zohoサービスへのデータ送信は、すべてTLS 1.2プロトコルを使用して暗号化されています。また、当社では、SHA-256中間CA証明書により、ユーザーのブラウザーから当社サービスに対する安全な接続を確保しています。暗号化には、AES_CBC/AES_GCMの256ビット/128ビットキーを、メッセージ認証にはSHA2、キー交換メカニズムにはECDHE_RSAを使用するなど、最新かつ強力な暗号方式を採用しています。
  • IDS/IPS:当社のネットワークは、認証を受けた極めて強力なIDS(侵入検知システム)・ IPS(侵入防止システム)によって防護・選別されています。
  • アクセスの管理と監査:すべてのアクセスに対して管理と監査を実施しています。
  • 分散オペレーションシステム:Zohoのアプリケーションは、安全な分散オペレーションシステムを採用し、脆弱性が最小限に抑えられています。
  • ウイルススキャン:Zohoのサーバーへのアクセスは、有害ウイルスの侵入を防止するため、定期的に更新される最新のウイルススキ定義ファイルを利用して自動的にスキャンが行わます。

人的プロセス

データセンターインフラストラクチャーの設計および運用には、技術だけでなく、統制されたプロセスも必要です。これには、エスカレーション、管理、ナレッジ共有、リスクに関する方針だけでなく、日常業務に関する方針も含まれます。Zohoのセキュリティチームは、データセンターの設計および運用に関する長年の経験を元に、時間をかけて当社のプロセスを継続的に改善しています。Zohoは、セキュリティとデータ保護に関するリスクを管理するため、世界クラスの運用プロセスを整備しています。

  • 従業員の厳選:機密情報の取り扱いに関する最高レベルの資格を持つ従業員のみがデータセンター内のデータにアクセスできます。従業員のアクセスは記録され、パスワードは厳しく管理されています。
  • 定期監査:Zohoデータセンターでは、セキュリティ管理について定期的に監査が行われています。また、業務プロセスはすべて、経営陣により審査されています。
  • 業務の必要性に基づくアクセス:Zohoデータセンター内のユーザーデータおよび顧客データへアクセスできる従業員は、顧客データへのアクセスは、お客さまへのサポート提供やトラブルシューティングなどアクセスが必要な、ごく少数の厳選された従業員に限定されています。また、実際のデータアクセスは、(サポート作業の一貫として)顧客の承認を得ているか、サポートおよびメンテナンスのためにセキュリティ管理責任者が承認した場合に限られます。

冗長性および事業継続性

クラウドコンピューティングの基本的な考え方の1つは、コンピューターリソースには、障害が発生するという認識と前提です。当社では、これを念頭に置いて、システムやインフラストラクチャーを設計しています。

  • 分散グリッドアーキテクチャー:Zoho サービスは、分散グリッドアーキテクチャー上で運営されています。これは、サーバーに障害が発生しても、システムやサービスに顕著な影響が発生しないことを意味しています。実際、毎週のように複数のサーバーで障害が発生していますが、お客さまがそれに気づくことはありません。サーバーには障害が発生するということを念頭にシステムを設計し、そのことを考慮したインフラストラクチャーを実装しています。
  • 電力供給の冗長構成:Zohoは、電力供給から配電まで、電源の冗長性を考慮して、サーバーを構成しています。
  • インターネット接続の冗長性:Zohoのインターネット接続は、複数のTire-1 ISPを介しており、いずれか1つのISPに障害や遅延が発生した場合でも、お客さまは、アプリケーションや情報に確実にアクセスできます。
  • ネットワーク機器の冗長構成:Zohoは、内部ネットワークのあらゆるレベルでの単一障害点をなくすため、ネットワーク機器(スイッチ、ルーター、セキュリティゲートウェイ)を冗長化しています。
  • 冷却装置・温度制御装置の冗長構成:迅速な処理を行う高性能コンピューティングリソースからは大量の熱が発生するため、円滑な運用には冷却が必要です。Zohoのサーバーは、N+2冗長構成のHVACシステムと温度管理システムによって保護されています。
  • ジオミラーリング:お客さまのデータは、災害発生時の迅速な復旧と事業継続の目的として、複数の地域でミラーリングされています。
  • 防火対策:Zohoのデータセンターは、業界標準の防火・火災制御システムにより保護されています。
  • データ保護とバックアップ:ユーザーのデータは、複数のサーバーで定期的にバックアップされています。これにより、ハードウェアの障害や災害発生時にも速やかにデータを保護・復旧できます。

セキュリティ認証

ISO/IEC 27001は、情報セキュリティに関する国際規格の1つであり、「情報セキュリティマネジメントシステム」とも呼ばれます。この認証は高い国際基準に準拠する組織にのみ与えられます。Zohoは、アプリケーション、システム、人員、技術およびプロセスに関するISO/IEC 27001:2013認証を取得しています。

SOC 2 - Zohoは、SOC 2 Type IIに準拠しています。SOC 2は、AICPAのトラストサービス原則の基準を満たす内部統制の設計および運用の有効性の評価です。

Zohoのコンプライアンスの詳細については、こちらを参照ください。

当社のセキュリティポリシーや認証の詳細については、security@zohocorp.comまでお問い合わせください。
コンプライアンスに関する報告書のコピーをご希望の方は、sales@zohocorp.comまでお問い合わせください。

情報セキュリティの脆弱性に関するの報告先

Zohoは、サービスのセキュリティを向上する上で、セキュリティ研究者による研究を重視しており、正式な報告を受けた脆弱性を検証、再現し、これに対応するため当該コミュニティーと連携することをお約束しています。セキュリティの脆弱性に関するご報告は、https://bugbounty.zoho.com/までお知らせください。

  • bsi-assurance
  • bsi-assurance
  • TRUSTe