データのセキュリティーとポリシー
Zoho Vault では、Host-Proof Hosting技術を採用しています。これは、セキュリティー専門家による徹底的なテストを経て、幅広い支持を得た安全で実績のある仕組みです。Host-Proof Hostingは、機密データを暗号化してホスティングするという考えに基づいており、クライアントはサーバーに転送されることのないマスターパスワードを使用してのみ、データへのアクセスと管理ができます。サーバーの機能は、ブラウザーが送信する暗号化されたデータの維持と取得にのみ限定されており、プレーン形式の機密データには実際にアクセスできません。暗号化と復号化はすべて、クライアント側(ブラウザー)で行われます。
ユーザーによってZoho Vault に保存されたパスワードやその他の機密データはすべて、完全に非公開の状態が維持され、それらを保存したユーザーだけが表示できます。すべてのユーザーデータは、ユーザーのZoho Vault マスターパスワードを使用してブラウザーで暗号化/復号化され、暗号化されたデータのみがZoho のサーバーに保存されます。ユーザーのマスターパスワードは、Zoho Vault によってどこかに保存されることはありません。そのため、Zoho でさえ、データにアクセスすることはできません。
安全な接続
上で説明したとおり、インターネット上で送信されるのは暗号化されたデータ(AES-256ビット)のみです。また、サーバーへのすべての接続に対しても、強力な暗号を使用したトランスポート層セキュリティー(TLS 1.2/1.3)暗号化の使用を義務付けています。
脆弱性テストを実施済み
- Zoho Vault は、クロスサイトスクリプティング(XSS)、SQLインジェクション、その他の脆弱性に対して包括的なテストを実施しました。
- すべての入力データが検証済みです
パスワードの安全な共有
Zoho Vault では、組織内の信頼するメンバーとパスワードを安全に共有できます。共有プロセスは、情報セキュリティーとプライバシーの最高基準を満たすよう設計されています。
共有プロセスには、Host-Proof HostingとRSA暗号化の両方を採用しています。組織の各ユーザー用にRSAの公開キーと非公開キーが生成されます。組織の管理者とユーザーは、共有プロセスを開始するために1回限りのプロセスで「ハンドシェイク」を実行します。ハンドシェイクの実行中、管理者とユーザーとの間でキーが共有されます。プロセス全体はバックグラウンドで実行され、手作業による操作は必要ありません。技術面について詳しく知りたい場合は、以下のプロセス全体の詳細を参照してください。
ステップ1
組織の管理者がZoho Vault に登録すると、管理者用にRSA公開/非公開キーのペアがOrg Keyと共に生成されます。ここでのOrg Keyは、組織に固有のAES 256ビットキーです。管理者の非公開キーは、管理者のマスターパスワードを使って暗号化され、Zoho Vault のデータベースに保存されます。同様に、Org Keyも管理者のRSA公開キーを使って暗号化され、データベースに保存されます。Zoho Vault には、管理者の非公開キーとOrg Keyの暗号化されたキーのみ保存されます。Host-Proof Hostingモデルの場合、管理者のマスターパスワードは、サーバーのどこにも保存されません。管理者の元にのみ残ります。
ステップ2
ユーザーがZoho Vault に登録すると、各ユーザー用にRSA公開/非公開キーのペアが生成されます。ユーザーの非公開キーは、ユーザーのマスターパスワードを使って暗号化され、Zoho Vault のデータベースに保存されます。
ステップ3
管理者がユーザーとの「ハンドシェイク」を実行すると、データベースに保存されている暗号化されたOrg Keyが取得され、管理者の非公開キーを使って復号化されます。その後、Org KeyがユーザーのRSA公開キーを使って暗号化されます。この新しい暗号化されたOrg Keyは、ユーザーと共有され、データベースのユーザー専用スペースに保存されます。このプロセスは、Zoho Vault の各ユーザーに対してそれぞれ実行されます。
ステップ4
ユーザーがパスワードを共有しようとすると、ユーザーの非公開キー(暗号化された形式でデータベースに保存)が取得され、ユーザーのマスターパスワードを使って復号化されます。次に、管理者がユーザーと共有した、暗号化されたOrg Keyが取得されます。暗号化されたOrg Keyは、ユーザーの非公開キーを使って復号化されます。ここで、共有するパスワードは、Org Keyを使って暗号化されます。
パスワードの共有 - 全体の流れ
では例を使って説明します。ユーザーのジョンは組織の管理者であり、既存のパスワードを組織内のユーザー5人(佐藤さん、鈴木さん、田中さん、高橋さん、木村さん)と共有するとします。
- パスワードは、佐藤さんによって共有され、所有されているため、佐藤さんのマスターパスワードを使って暗号化されてから、Zoho Vault に保存されます。
- 共有プロセスが開始すると、パスワードは佐藤さんのマスターパスワードを使って復号化されます。
- ここで、パスワードはOrg Keyを使って暗号化され、データベースに保存されます。
- これで、佐藤さんはこのパスワードを5人のユーザー全員と共有できるようになります。内部では、Org Keyを使って暗号化されたこのパスワードは、佐藤さん、鈴木さん、田中さん、高橋さん、木村さんにマッピングされます。
ユーザーはどのようにしてこのパスワードを取得しますか?
- ユーザーは各自のマスターパスワードを使って、それぞれのRSA非公開キーを復号化します。
- 次に、ユーザーは各自のRSA非公開キー(前のステップで取得したキー)を使って、暗号化されたOrg Keyを復号化します。
- ユーザーは、Org Keyを使ってパスワードを取得します。
共有したパスワードを変更するとどうなりますか?
鈴木さんが共有パスワードを変更するとします。
- 共有パスワードはOrg Keyを使って復号化され、表示されます。
- 新しいパスワードはOrg Keyを使って暗号化され、データベースで更新されます。
重要:
共有パスワードの暗号化と復号化に使用されるOrg Keyは、パスワードが組織内で共有されている場合、ブラウザーに存在します。技術に精通したユーザーであれば、Zoho Vault にサインインしてOrg Keyを取得することは可能ですが、このキーは、保持者がZoho Vault のデータベースにアクセスしなければ利用できません。Zoho のデータセンターは最新のセキュリティーステップを採用しているため、これはほぼ不可能と言えます。Zoho Vault はHost-Proof Hosting技術を導入しており、Zoho ですらOrg Keyにはアクセスできないのです。
Zoho のセキュリティーポリシー
百万のユーザーがZoho のアプリケーションを利用
世界中で100万人を超えるユーザーがZoho 製品にアクセスしており、個人と企業は、それぞれのニーズを満たすために、Zoho のセキュリティーとデータ保護に期待しています。セキュリティーを非常に重視する当社では、お客様のデータの安全確保に役立てるために、広範囲にわたる慣行、技術およびポリシーを整備しています。Zoho のセキュリティー戦略について詳しくは、Zoho のセキュリティーポリシーをご覧ください。
パスワードの徹底したセキュリティーを入手
Zoho Vault は、企業と個人向けの安全なパスワード管理ソリューションです。