原文最終更新日(翻訳対象):2020年8月10日

概要

このセキュリティ規定は、以下について記載しています。

  •   組織的セキュリティ
  •   物理的セキュリティ
  •   インフラストラクチャーのセキュリティ
  •   データセキュリティ
  •   IDとアクセス管理
  •   運用セキュリティ
  •   インシデント管理
  •   責任ある情報開示
  •   ベンダー管理
  •   お客さまによるセキュリティ管理

組織的セキュリティ

当社は、セキュリティ目標の明確化と利害関係者のリスク緩和を実現する情報セキュリティ管理システム(ISMS)を導入しています。また、顧客データのセキュリティ、可用性、データの処理、完全性、機密性を確保する厳格なポリシーと手続きを採用しています。

従業員の身元調査

Zohoは、従業員に対して身元調査を行います。この調査は信頼できる外部機関によって実施されます。犯罪歴の有無、雇用歴、学歴の確認が行われ、この調査が完了するまでその従業員にはユーザーにリスクを与える可能性のあるタスクは割り当てられません。

セキュリティ意識の向上

当社従業員は入社後、機密保持契約および使用許諾方針に署名し、情報セキュリティ、プライバシー、コンプライアンスの研修を受講します。さらに、定期的な試験を通じて理解度が評価され、必要な分野のトレーニングを受講します。また、従業員の役割に応じて、特定分野に特化したセキュリティトレーニングも提供します。

当社は、社員が定期的に確認する社内コミュニティ内で情報セキュリティ、プライバシー、コンプライアンスに関する継続的な教育を実施し、当社のセキュリティ対策について最新の情報を提供します。また、セキュリティおよびプライバシーに関する意識を高めイノベーションを導く社内イベントを実施します。

セキュリティおよびプライバシー対策専任チーム

当社は、セキュリティおよびプライバシーに関する自社プログラムを実施、管理する専任チームを設置しています。本チームは、当社の防御システムを設計、管理し、セキュリティ審査のプロセスを構築し、疑わしい活動を検出するため社内ネットワークを常時監視します。また、当社の技術チームに対してコンサルティングおよびガイダンスを提供します。

内部監査、コンプライアンス

当社はZoho内の手順やポリシーを審査し、各種標準規格との整合性を確保するコンプライアンス専任チームを設置しており、それらの標準規格を満たすために必要な管理策、プロセス、システムを決定しています。また、定期的な内部監査を行い、第三者による独立した監査と評価も実施します。

詳細については、コンプライアンス一覧を確認ください。

エンドポイントセキュリティ

当社の従業員に提供されるパソコン端末はすべて最新バージョンで稼働し、またセキュリティソフトを搭載しています。当社のセキュリティ基準に準拠するため、すべての端末は適切に設定され、パッチを適用するZohoのエンドポイント管理ツールで追跡、監視されます。端末は、保存データが暗号化され、強力なパスワードが設定され、アイドル時にはロックされるようにデフォルト設定されているため安全です。業務に使用するモバイル端末は、当社のセキュリティ基準を確実に満たすため、モバイル端末管理システムに登録されます。

物理的セキュリティ

ワークスペース

アクセスカードを使用して当社のリソース(建物、インフラストラクチャー、施設)へのアクセスを管理しています。当社は、従業員、請負業者、ベンダーおよび訪問者に対し異なるアクセスカードを支給します。これにより、それぞれの目的に応じたアクセスのみが許可されます。人事(HR)チームが、役割に応じた目的を定義、管理しています。また、異常の検知、対処を目的にアクセス記録を保持します。  

データセンター

当社データセンターでは、コロケーションプロバイダーが建物、冷却、電源および物理的セキュリティに関する責任を持ち、当社がサーバーとストレージを提供しています。データセンターへの立ち入りは、許可を受けた少数の人員のみに制限されています。その他のアクセスには申請の承認プロセスが必要とされ、各マネージャーから承認された場合にのみ許可されます。敷地への立ち入りにはさらに、2段階認証と生体認証が求められます。インシデントが発生した場合は、アクセスログ、活動記録、カメラ映像が利用されます。

監視

当社は、現地の規制に従い配置したCCTV(監視)カメラを通じて、当社のすべてのビジネスセンターおよびデータセンターへの入退出を監視しています。現地の要件に従って一定の期間、映像のバックアップを利用できます。

インフラストラクチャーのセキュリティ

ネットワークセキュリティ

当社のネットワークセキュリティと監視技術は、複数レイヤーにおける保護と防御をもたらすように設計されています。ファイアウォールを使用して、当社のネットワークへの不正アクセスや望ましくないトラフィックから保護しています。当社のシステムは、機密データ保護のためにいくつかのネットワークに分離されています。テストと開発業務をサポートするシステムは、ManageEngineの実稼働インフラストラクチャーをサポートするシステムとは別のネットワークが置かれています。

ファイアウォールへのアクセスは、厳格に、定期的に監視されています。ファイアウォールに行われたすべての変更は、ネットワークエンジニアが日々確認しています。さらに、これらの変更は3か月ごとに確認され、ルールの更新および修正が行われます。当社のネットワーク運用センター専任チームは、インフラストラクチャーとアプリケーションをモニタリングし、矛盾や疑わしい活動を検出します。重要なパラメーターはすべて、当社独自のツールを使って継続的にモニタリングし、当社の実稼働環境において異常な、または疑わしい活動があった場合には、通知されます。

ネットワークの冗長性

当社プラットフォームのすべてのコンポーネントは冗長性を持たせています。サーバーの不具合が及ぼす影響からシステムとサービスを保護するため、分散グリッドアーキテクチャを採用しています。サーバーに不具合が生じたとしても、データとManageEngineクラウドサービスはそのまま利用できるため、ユーザーは普段と同じように作業を進めることができます。

さらに、端末レベルでの冗長性を確保するため、複数のスイッチ、ルーター、セキュリティゲートウェイを採用。内部ネットワークに単一障害点が生じないようにしています。

DDoS攻撃への対策

当社は、信頼のおけるサービスプロバイダーの技術を利用し、当社サーバーへのDDoS攻撃を防止しています。これらの技術は複数のDDoS緩和機能を提供し、正常なトラフィックの通過を許可する一方で、悪意のあるトラフィックによる混乱の発生を防止しています。当社のWebサイト、アプリケーション、APIの高い可用性とパフォーマンスはこのようにして維持されています。

サーバーのハードニング(堅牢化)

開発とテスト活動用に設定されたすべてのサーバーは、ハードニング(使用されていないポートやアカウントを無効にしたり、既定のパスワードを削除することによるシステム強化)されています。ベースとなるオペレーティングシステム(OS)のイメージには、サーバーハードニングが実施されており、このOSイメージがサーバーに設定され、複数サーバー間の一貫性が保証されます。

侵入検知および防止

当社の侵入検知システムは、個々の端末のホストベースのシグナルと、当社サーバー内のモニタリングポイントからのネットワークベースのシグナルを記録しています。当社の侵入検知システムは、個々の端末のホストベースのシグナルと、当社サーバー内のモニタリングポイントからのネットワークベースのシグナルを記録しています。このデータの上に構築された規則とマシンインテリジェンスにより、セキュリティエンジニアにインシデント警告が発せられます。アプリケーション層に、ホワイトリストおよびブラックリスト規則の両方で稼働する当社独自のWebアプリケーションファイアーウォール(WAF)があります。

インターネットサービスプロバイダ(ISP)レベルで、ネットワーク層からアプリケーション層への攻撃を処理するためのスクラビング、ネットワークルーティング、レート制限、およびフィルタリングなど、マルチレイヤーのセキュリティ対策が実装されています。そして、クリーンなトラフィック、信頼性の高いプロキシサービス、サイバー攻撃を受けた際の迅速なレポート提供が可能です。  

データセキュリティ

セキュアバイデザイン(Secure by Design)

すべての変更と新機能を変更管理ポリシーで管理し、アプリケーションへのすべての変更が、実稼働環境に実装される前に承認を受けるようにします。当社のソフトウェア開発ライフサイクル(SDLC)では、安全なコーディングに関するガイドラインの遵守を義務付けています。また、当社のコード分析ツール、脆弱性スキャナー、人による審査プロセスを用いてセキュリティ問題を引き起こす可能性のあるコード変更を審査しています。

当社の強固なセキュリティフレームワークはOWASP標準をベースにアプリケーション層に実装されており、SQLインジェクション、クロスサイトスクリプティング、アプリケーション層へのDOS攻撃などの脅威を緩和する機能を提供しています。  

データ分離

当社のフレームワークでは、お客さまにクラウドスペースを提供、維持しています。各顧客のサービスデータは、そのフレームワークの一連の安全なプロトコルを使用し、論理的に他の顧客のデータから分離されています。そのため、顧客のサービスデータが他の顧客にアクセスされることはありません。

お客さまが当社のサービスをご利用になるときは、当社のサーバーにサービスデータが保存されます。お客さまのデータは、Zohoではなくお客さまが所有しています。当社はこのデータをお客さまから同意を得ることなくいかなる第三者にも開示しません。

暗号化

送受信時: パブリックネットワーク経由でサーバーに送信される顧客データは、強力な暗号化プロトコルを使用して保護されます。当社サーバーへのすべての接続に、Webアクセス、APIアクセス、モバイルアプリ、IMAP/POP/SMTPメールクライアントアクセスなどを含むすべての接続に対して、暗号文が強力なトランスポート層セキュリティ(TLS 1.2/1.3)暗号化の使用を義務付けています。これにより、接続に際して送信・受信側の双方の認証が可能になり、データ転送が暗号化されるため、安全な接続が保証されます。さらに、電子メールの場合、当社のサービスはデフォルトでTLSを利用します。TLSは電子メールを安全に暗号化して配信するため、ピアサービスがTLSをサポートするメールサーバー間の盗聴リスクを軽減します。

当社は、当社の暗号化接続でPerfect Forward Secrecy(PFS)をフルサポートしているため、今後なんらかの危険に晒されるようなことがあったとしても、以前の通信内容が復号化される可能性はありません。また、すべてのWeb接続に対してHTTP Strict Transport Securityヘッダー(HSTS)を有効にしました。そのため、最新のブラウザーに安全でないページURLを入力した場合でも、暗号化された接続を介してのみ接続するようになります。 そして、Webでは、すべての認証Cookieに安全なフラグを付けます。

保存時: 顧客データは保存時に、256ビット高度暗号化標準(AES)で暗号化されます。保存時に暗号化されるデータは、サービスに応じて異なります。当社はその鍵を社内の鍵管理サービス(KMS)を使用して所有および管理します。マスター鍵を使ってデータ暗号化鍵を暗号化することで、セキュリティレイヤーを追加します。マスター鍵とデータ暗号化鍵は、物理的に分離されており、アクセスが制限された別々のサーバーに保管されます。

Zohoでの暗号化に関する詳しい情報は、こちら をご確認ください。当社サービスにおける暗号化されるデータについては、こちらをご確認ください。

サービス 暗号化される項目
ServiceDesk Plus Cloud 個人情報を含むすべてのカスタム項目とファイル
Desktop Central Cloud 認証トークン、パスワード、すべてのファイル
Mobile Device Manager Plus Cloud 認証トークン、パスワード、すべてのファイル
Patch Manager Plus Cloud 認証トークン、パスワード、すべてのファイル
Remote Access Plus Cloud 認証トークン、パスワード、すべてのファイル
Log360 Cloud 出力したレポート、招待URLに含まれる機密情報、ドメインとマシンの資格情報、エージェントの一意の識別子に対するトークン、パスワード
Identity Manager Plus ディレクトリプロパティ、ディレクトリトークン、認証コード
Site24x7 メールID、携帯電話番号、ホスト名、IPアドレス
Alarms One メールID、携帯電話番号、エージェントホスト名とIPアドレス、組み込まれたサードパーティ製アプリケーションの認証情報、APIキー、トークン

データの保持と廃棄

当社は、お客さまがManageEngineクラウドサービスの利用を選択している限り、お客さまのアカウント内のデータを保持します。Zohoのユーザーアカウントを終了すると、お客さまのデータは、6か月ごとに行われるクリーンアップにおいてアクティブなデータベースから削除されます。アクティブなデータベースから削除されたデータは、3か月後にバックアップから削除されます。お客さまのアカウントが支払いのないまま連続120日間無効になっている場合は、お客さまに事前の通知と、データをバックアップするオプションを提供し、そのアカウントを終了させます。

検証済みかつ認定済みのベンダーが、使用不能な端末の廃棄を行います。それまで、当社は端末を分類し安全な場所に保管します。端末内部に保管された情報は、廃棄前にフォーマットされます。故障したハードディスクは消磁し、シュレッダーを使って物理的に破壊します。故障したソリッドステートドライブ(SSD)は、暗号消去(crypto-erase)し、細断します。

IDとアクセス管理

シングルサインオン(SSO)

Zohoは、ユーザーが同じサインインページと同じ認証情報を用いて複数のサービスにアクセスできるシングルサインオン(SSO)を提供しています。Zohoサービスへのサインインは、統合されたIdentity and Access Management(IAM)サービスを介して行なわれます。シングルサインオン用のSAMLもサポートされているため、LDAP、ADFSなどのお客様が使用しているIDプロバイダーを統合できます。

SSOにより、サインインプロセスの簡略化、コンプライアンスの保証、効果的なアクセス管理とレポートの提供、パスワードを複数管理する負担の軽減、脆弱なパスワードの設定防止が可能です。

多要素認証

パスワードの他に、追加認証を要求することで、更なるセキュリティを提供します。これにより、パスワードが侵害された場合の不正アクセスのリスクを大幅に下げることができます。Zoho One-Authを使用して、多要素認証を設定できます。現在、生体認証であるTouch IDやFace ID、プッシュ通知、QRコード、タイムベースワンタイムパスワード(Time-based OTP)などさまざまな方式がサポートされています。

また、多要素認証として、Yubikeyハードウェアセキュリティキーもサポートされています。

管理的アクセス

当社では、技術的なアクセスコントロールと内部ポリシーにより、従業員が恣意的にユーザーデータにアクセスすることを禁じています。データ漏洩リスクを低減するため、最小権限の原則とロールベースアクセス制御の原則に従っています。

実稼働環境へのアクセスは、中央ディレクトリで管理され、強力なパスワード、2段階認証、パスフレーズで保護されたSSH鍵を組み合わせた認証を行っています。さらに、こうしたアクセスは厳しい規則によってセキュリティ強化された端末で別のネットワークを経由して行われます。また、すべての操作を記録し、定期的に監査しています。

運用セキュリティ

ログとモニタリング

当社は、サービス、当社ネットワークの内部トラフィック、端末やターミナルの使用により収集された情報をモニタリングし分析しています。この情報をイベントログ、監査ログ、障害ログ、管理者ログ、オペレーターログの形式で記録しています。これらのログは自動的にモニタリングされ、当社が異常(従業員アカウントでの通常とは異なるアクティビティや顧客データへのアクセスの試みなど)を認識するのに役立てられています。当社は、アクセス管理を一元的に管理し可用性を確保するため、これらのログを、容易にアクセスできない様に隔離した安全なサーバーに保管しています。

ManageEngineクラウドサービスのすべてのお客さまは、ユーザーが行ったすべての更新と削除操作を記録した監査ログを利用できます。

脆弱性の管理

当社には、認証を受けた第三者スキャンツールや社内ツールを組み合わせてセキュリティの脅威を積極的にスキャンし、自動および手動で侵入テストを行う専用の脆弱性管理プロセスがあります。さらに、当社セキュリティチームは受信セキュリティレポートの審査、公開メーリングリスト、ブログ投稿、Wikiのモニタリングを積極的に行い、当社のインフラストラクチャーに影響を与える可能性のあるセキュリティインシデントを検出しています。

修正を必要とする脆弱性を確認した場合、それを記録し、重要度に基づき優先順位を設定しオーナーに割り当てます。さらに、関連リスクを確認し、脆弱なシステムにパッチが適用されるか、該当する管理策が適用されるかのどちらかによりその案件がクローズされるまで、その脆弱性を追跡します。

マルウェアと迷惑メール対策

当社では、すべてのユーザーのファイルを、Zohoのエコシステムを介したマルウェアの拡散を防止するよう設計された当社の自動スキャンシステムを用いてスキャンしています。

当社がカスタマイズしたアンチマルウェアエンジンが、外部の複数の脅威情報ソースから定期的にアップデートを受け、ブラックリストに挙げられた署名や悪意のあるパターンに対してファイルをスキャンします。さらに、機械学習技術が組み込まれた当社専用の検出エンジンにより、マルウェアからの顧客データ保護を確実にします。

Zohoは、送信ドメイン認証技術(DMARC)を迷惑メール防止の手段としてサポートしています。DMARCは、センダー・ポリシーフレーム・ワーク(SPF)とドメインキー・アイデンティファイド・メール(DKIM)を使用し、メッセージが真正であることを検証します。また、当社独自の検出エンジンを使用しManageEngineクラウドサービスが迷惑メールやフィッシング活動などでの不正使用を特定します。当社にはさらに、ソフトウェアからのシグナルをモニタリングし、不正使用に関する苦情に対処する迷惑メール対策専任チームが存在します。詳しくは、こちら

バックアップ

当社では、ManageEngineのデータセンター用にZoho Admin Console (ZAC)を使用して、データベースの差分バックアップを日別、週次でフルバックアップを行っています。データセンターに保存されるバックアップデータは元データと同じ場所に保存され、保存時にAES-265ビットアルゴリズムを使用した暗号化が行われ、tar.gz形式で保存されます。バックアップデータはすべて、3か月間保持されます。保持期間内にお客さまからデータリカバリーのリクエストがあった場合には、バックアップからデータを復元し、お客さまが安全にデータへアクセスできる環境を提供します。このデータ復元にかかる期間は、データのサイズおよびその複雑さに応じて異なります。

バックアップデータの安全性を確保するため、バックアップサーバーではRAID(Redundant Array of Independent Disks)を使用しています。すべてのバックアップは定期的にスケジュールされ、追跡されます。障害が発生した場合には、バックアップが再実行され、すぐに修正されます。完全バックアップの整合性と検証チェックは、ZACツールを使用して自動的に行われます。

お客様には、各種Zoho サービスからデータをエクスポートすることでデータの定期的なバックアップをスケジュール実施し、それらのデータをお客様のローカル環境に保管することを強く推奨します。

災害復旧と事業継続

アプリケーションデータは、回復性の高い(resilient)ストレージに保管され、データセンター間で複製されます。プライマリデータセンターのデータは、ほぼリアルタイムで、セカンダリデータセンターに複製されます。プライマリデータセンターに不具合が生じた場合、セカンダリデータセンターが役目を引き継ぎ最小のロスタイム、またはロスタイムなしにスムーズに運用を継続させます。どちらのデータセンターも、複数のISPでインターネット接続をしています。

事業継続を保証するための物理的対策として、電源のバックアップ、温度調節システム、火災防止システムを備えています。これらの対策は、高回復性(リジリレンス)の実現に役立ちます。当社は、データの冗長に加えて、サポートとインフラの管理など当社の主要なオペレーションに関する事業継続計画を有しています。

インシデント管理

レポート

当社は、インシデント管理専任チームを設置しています。当社の環境においてインシデントが発生した場合には、該当するお客さまに、行うべきアクションと共に通知します。当社は、適切な是正措置を取りそのインシデントを追跡し対処します。該当する場合はいつでも、当社は該当するお客さまに関連するインシデントについて必要な証拠を提供します。さらに、管理策を実装し同様のインシデント再発を予防します。

お客さまが incidents@zohocorp.comにて当社に報告したセキュリティまたはプライバシーに関するインシデントには、最優先で対応します(英語対応)。全体的なインシデントの場合には、ブログ、フォーラム、ソーシャルメディアを通じてユーザーに通知します。特定の個人ユーザーまたは組織に生じたインシデントの場合には、(当社に登録済みの組織管理者の主メールアドレスへの)メールにより当事者に通知します。

侵害通知

当社はデータ管理者として、一般データ保護規制(GDPR)に従い、侵害に気づいてから72時間以内に、関連するデータ保護機関に通知します。固有の要件については、必要に応じてお客さまにも通知します。当社はデータ処理者として、不当な遅延なく関連するデータ管理者に通知します。

責任ある情報開示

セキュリティ研究者のコミュニティと連携することを目的に、「Bug Bounty」において脆弱性報告プログラムが実施されています。これにより、セキュリティリ研究者の業績を認識し、報いています。当社はそのコミュニティと協力し、報告された脆弱性に対する適切なソリューションの検証、再現、対応、合法化、実装に取り組んでいます。

何かお気づきになったことがあれば、その問題を https://bugbounty.zohocorp.com/にて報告してください。当社に脆弱性を直接報告する場合は、  security@manageengine.comにメールしてください(英語対応)。

ベンダーおよび第三者サプライヤーの管理

当社は、当社のベンダー管理ポリシーに基づき、当社のベンダーを評価し認定しています。当社は、新規ベンダーが当社にサービスを提供するプロセスを理解し、リスク評価を実施してから採用します。当社は、当社が顧客に対して約束している機密性、可用性、完全性を遵守することをベンダーに要求する契約を締結することにより、適切な措置を講じて当社のセキュリティスタンスが確実に維持されるようにしています。当社は、管理策を定期的に審査し組織のプロセスとセキュリティ措置の効果的な運用をモニタリングしています。

お客さまによるセキュリティ管理

以上、当社が安心・安全なセキュリティをお客さまに提供するために努めていることについて説明しました。次に、お客さまがご自身でセキュリティを確保するために行っていただきたいことをお伝えします。

  •  強力でユニークなパスワードの設定と保護
  •  多要素認証の利用
  •  最新のプラウザーバージョン、モバイルOSおよびアップデートされたモバイルアプリケーションを使用して、脆弱性に対するパッチが適用されている事を確実にし、最新のセキュリティ機能を使用する。
  •  当社のクラウド環境からデータを共有する場合には、合理的な予防策を講じる。
  •  自身の情報を個人情報もしくは機密情報に分類し、それに応じてラベルを付ける。
  •  自身のアカウントにリンクされた端末、アクティブなWebセッション、第三者のアクセスをモニタリングし、自身のアカウント活動における異常を検出し、自身のアカウントに付与される役割と特権を管理する。
  •  Zohoまたはお客さまご自身が信頼するその他のサービスになりすましてお客さまの機密情報を不正利用する可能性のある見慣れないメール、ウェブサイト、リンクに注意し、フィッシングやマルウェアの脅威を認識する。

当社と連携しながら安全なクラウド環境を確保する方法については、Zohoとの責任の共有についてをご覧ください。クラウドのセキュリティとプライバシーという観点において、お客さまとZohoの責任共有モデルについて分析しました。双方がどのように協力し、個々の責任を果たしていくべきか、次のサイトよりご確認いただけます。

最後に

すべてのお客さまのデータのセキュリティ確保はお客さまの権利であり、終わる事のないZohoのミッションと考えています。当社は、お客さまのデータの安全の確保に、これまでと同様、今後も努力し続けます。ここに記載された事項に関するご質問は、よくある質問をご確認いただくか、security@manageengine.comまでお気軽にお問い合わせください(英語対応)。

お客さまと弊社の契約関係には、本文書の英語版が適用されます。本文書はお客さまの利便性の向上を目的として提供されており、本文書の英語版が規定する契約関係には影響を与えません。本文書の英語版については ManageEngine Security Practices, Policies & Infrastructure をご覧ください。