データセンター

データセンターはどこにありますか？

Zohoのデータセンターは以下の地域に設置されています。

• アメリカ合衆国（US）
• 欧州連合（EU）
• インド（IN）
• オーストラリア（AU）
• 中国（CN）
• 日本（JP）
• カナダ（CA）
• サウジアラビア（SA）
• アラブ首長国連邦（UAE）

それぞれのデータセンターは特定の国を担当しています。対象国の詳細については、Know Your Data Centerページをご覧ください。

Zohoのデータセンターはどのようなコンプライアンス認証を取得していますか？

お客様のデータは、世界各地のベストインクラスなデータセンターで管理されています。各施設は独自のコンプライアンス認証を取得しています。下記の認証は2025年6月時点のものであり、常に業界基準の変化に合わせてコンプライアンス体制の強化に努めています。

国	場所	コンプライアンス基準
USA	Quincy （主要）	SOC 1 種類 II、SOC 2 種類 II、ISO 27001
	ダラス (セカンダリ)	SOC 1 種類 II、SOC 2 種類 II
インド	ムンバイ (プライマリ)	ISO 27001、ISO 20000-1:2018、SOC 1 種類 II、SOC 2 種類 II
	チェンナイ (セカンダリ)	ISO 27001
オーストラリア	シドニー （プライマリ）	SOC 1 種類 II、SOC 2 種類 II、ISO 27001
	メルボルン （セカンダリ）	SOC 1 種類 II、SOC 2 種類 II、ISO 27001
ヨーロッパ	アムステルダム （プライマリ）	ISO 27001、ISO 22301、SOC 2 種類 II
	ダブリン (セカンダリ)	ISO 9001、ISO 27001、SOC 1 タイプ II、SOC 2 タイプ II、ISO 22301
中国	上海 (プライマリ)	ISO 27001、ISO 22301
	北京 (セカンダリ)	ISO 9001、ISO 27001、ISO 22301
日本	東京 (プライマリ)	ISO 27001、SOC 1 種類 II（ISAE 3402）
	大阪 (セカンダリ)	ISO 27001、SOC 2 種類 II
カナダ	トロント (プライマリ)	ISO 27001、SOC 1 種類 II、SOC 2 種類 II
	モントリオール (セカンダリー)	ISO 27001、SOC 1 種類 II、SOC 2 種類 II
サウジアラビア	リヤド (プライマリー)	ISO 27001
	ジッダ (セカンダリー)	ISO 27001

同時利用に制限はありますか？データセンターは高いトラフィック量に対応できますか？

いいえ、同時利用に関する制限はありません。高い可用性とスケーラビリティを確保するために、Zohoでは複数のアプリケーションサーバーによって支えられた共有クラスターモデルを採用しています。これらのサーバーはアプリケーショングループとして構成され、各グループが特定の機能を担当します。プラットフォームはクラスタ内でワークロードを自動的にスケールし、水平および垂直の両方で、すべての顧客に対して高トラフィックにも効率的に対応します。

データセンターおよび施設を物理的に保護するために導入されている仕組みは何ですか？    

当社のリソース（建物、インフラ、設備）へのアクセスは、利用、入退室、使用を含み、アクセスカードを用いて管理しています。従業員、契約業者、仕入先、来訪者には、それぞれの入館目的ごとに異なるアクセスカードを発行し、必要な範囲内でアクセスを制限しています。人事（HR）チームが役割ごとの目的を設定・維持しており、アクセスログを管理して異常を検知・対応します。

データセンターでは、コロケーションプロバイダーが建物、冷却、電源、実地セキュリティを担当し、当社がサーバーやストレージを提供しています。データセンターへのアクセスは、認証済みの限られたメンバーのみに制限されており、それ以外のアクセスはチケット発行後、各マネージャーの承認を得て許可されます。さらに、2要素認証や生体認証が必須であり、敷地への入場が管理されています。アクセスログ、活動データ、カメラ映像もインシデント発生時には利用可能です。

すべての法人センターやデータセンターでは、CCTVカメラを現地規制に従って設置し、すべての入退室の動きを監視しています。バックアップ映像は、場所ごとの要件に応じて一定期間保存されています。

クラウドデータセンターにおける環境セキュリティ管理はどのようなものですか？

当社施設では、温度管理、継続的なモニタリング、省エネルギー管理、実地セキュリティなど、多様な実地および環境コントロールを実施しています。

予防策として、深刻な環境災害（洪水、竜巻、地震、ハリケーンなど）によるプライマリデータセンターへの影響を最小限に抑えるため、セカンダリデータセンターも設置しています。

災害時に情報処理施設の可用性をどのように確保していますか？（複数のデータセンター、ホットサイト、コールドサイトなど）    

アプリケーションデータは、耐障害性の高いストレージに保存され、データセンター間でレプリケートされています。プライマリDCのデータはセカンダリDCへほぼリアルタイムでレプリケーションされます。万一プライマリDCが障害を起こした場合は、セカンダリDCが引き継ぎ、業務はスムーズに継続され、時間的な損失は最小限または発生しません。両方のセンターには複数のISPが用意されています。

法人継続性を確保するため、電源バックアップ、温度管理システム、火災予防システムなどの実地対策を講じています。これらの対策により、レジリエンスを実現しています。また、データの冗長化に加え、サポートやインフラ管理などのメジャーアップデート業務における法人継続プランも整備しています。

火災抑制システムや電源バックアップは業界標準に準拠していますか？

はい。当社のデータセンターは、業界標準の火災抑制システム、冗長化された電源バックアップ、気候管理対策を備えており、運用のレジリエンスと法人継続性を確保しています。停電時にはGenset発電機を使用し、最大72時間まで運用が可能です。

当社では、法人 Continuity and Disaster Recovery (BC/DR) 戦略の一環として、これらのシステムを定期的にテストおよび保守しています。また、定期的なDR訓練も実施し、これらの対策の有効性を認証するとともに、インフラの安全性および信頼性に関するベストプラクティスの遵守を確保しています。

データセンターの復旧性を証明するために、Disaster Recovery (DR) 訓練は少なくとも年1回実施されていますか？

はい、計画的なDisaster Recovery (DR) 訓練を毎年実施し、データセンターの復旧性を認証しています。

プライマリサイトとフェイルオーバーサイト間で有効-有効構成を提供していますか？

はい。当社ではhot-site（有効-有効）構成を使用しており、プライマリサイトで障害が発生した場合でも、シームレスなフェイルオーバーと最小限のサービス中断を実現しています。プライマリデータセンターのデータは常にセカンダリデータセンターにレプリケーションされており、障害時も可用性を確保するためセカンダリ側ではリードオンリーのバージョンを提供しています。

グリーンデータセンターやサステナビリティの取り組みに対応していますか？

はい。当社は、インフラストラクチャを設計することでグリーンデータセンターの取り組みを実施し、エネルギー効率を最大化し、環境への影響を最小化しています。

当社のシステムは、省エネルギー冷却、電力管理、ハードウェア最適化戦略を含みます。また、可能な限り再生可能エネルギーをデータ元とし、持続可能な運用を実践することでカーボンフットプリントの削減に努めています。
当社のサステナビリティへの取り組みの詳細はこちらをご覧ください：ESGページ。

お客様のアプリケーションがホストされているクラウド／データセンターのサーバーには、どのようなアンチマルウェア／EDRソリューションが導入されていますか？    

当社は、ユーザーデータの安全性を確保し、悪意あるコンテンツの拡散を防ぐため、積極的な対策を講じています。独自開発のアンチマルウェアエンジンは、機械学習機能を強化しており、新たな脅威にもリアルタイムで適応し、強固な保護を提供します。すべてのユーザーファイルは、外部の脅威インテリジェンスで定期的に更新される自動マルウェア検出システムでスキャンされます。このシステムは、既知の悪意あるシグネチャや疑わしいパターンと照合してファイルをチェックしています。

スパムやメールなりすまし対策として、Zoho はドメインベースのメッセージ認証・報告・適合（DMARC）をサポートしており、SPF や DKIM と連携してメッセージの真正性を認証します。さらに、自社開発の検出エンジンを活用し、フィッシングやスパム活動などの不正行為の監視および防止を行っています。

専任のアンチスパムチームが常時システムのシグナルを監視し、不正行為のレポートに対応することで、プラットフォームの健全性を維持しています。

クラウドやデータセンター内のサーバーにはどのように定期的にパッチが適用されていますか？

社内ネットワーク内で集中管理されたパッチツールを使用し、すべてのノートパソコンおよびワークステーションに関連するパッチ、ホットフィックス、セキュリティ更新プログラムを配布しています。運用環境は、定められたパッチ管理規定に従って更新されており、セキュリティおよびシステムパッチが適時適用されるよう保証しています。

クラウドアカウントまたはデータセンター内で、ユーザーアクセスはデータ、設定、サービスに対し権限制限のもと管理されていますか？

法人のニーズや情報セキュリティ・プライバシー要件に合わせた、明確なアクセス制御規定を設けています。不正な従業員による顧客データへのアクセスを防止するための技術的な管理と社内ポリシーが適用されています。アクセスは、Need-to-KnowおよびNeed-to-使用するの原則に基づき、業務上必要な者のみがデータにアクセスできるようにしています。

さらに、最小権限の原則を徹底し、役割ベースのアクセス制御 (RBAC)を導入することで、データ漏えいリスクを最小限に抑えています。情報システムへのすべてのアクセスは、認証済みの担当者による適切な承認が必要です。役割変更や従業員の退職時には、速やかにアクセス権限を剥奪しています。

また、多要素認証 (MFA)をリモートアクセスや重要システムへのアクセス時に必須とし、全体的なセキュリティ体制を強化しています。

クラウド／データセンターサービスから顧客のPersonally Identifiable Information（個人情報）の漏洩を制限するために設定されているポリシーは何ですか？    

厳格なアクセス制御ポリシーを適用しており、センシティブなデータへのアクセスや変更を行う権限は、認証済みの担当者に最小権限の原則に基づいて付与されます。すべてのセンシティブな操作は監査証跡として記録され、データ漏洩や流出の試みを検知し、注意喚起が可能です。さらに、機微な情報やユーザーがアップロードしたファイルは保存時に暗号化され、堅牢なデータの保護を実現しています。

データセンターとの通信は安全ですか？    

すべての顧客データは、公開ネットワークを通じてサーバーへ送信される際、強力な暗号化プロトコルで保護されています。ウェブアクセス、API通話、モバイルアプリ、IMAP/POP/SMTPメールクライアントアクセスを含むすべての外部連携において、強力な暗号スイートを用いたTransport Layer Security（TLS 1.2/1.3）の使用を義務付けています。

これにより、接続に関与する両者の認証とすべてのデータの転送時暗号化によって、高度なセキュリティレベルが確保されます。

メール通信については、サービスがopportunistic TLSを初期設定で利用しています。これにより、プロトコルをサポートするメールサーバー間で暗号化されたメール送信が可能となり、配送中の盗聴リスクを効果的に低減します。

インフラストラクチャ（クラウドまたはデータセンター）における特権ユーザーのアクセス権は定期的に見直されていますか？

はい。特権アクセス権は6カ月ごとに加え、必要に応じて随時見直しを行っています。

本番環境のクラウドまたはデータセンターにホストされているワークロードへアクセスする際、VPNは必須ですか？

はい。本番ワークロードへ安全にアクセスするためには、クラウドまたはデータセンター環境へのVPNアクセスが必須です。

Zoho Creatorはオンプレミス展開をサポートしていますか？

はい、Zoho Creatorはクラウド版とオンプレミス版の両方で利用可能です。詳細については オンプレミスページをご覧ください。

また、ハイブリッドデプロイメントもサポートしており、クラウド上でアプリケーションを作成・管理しつつ、標準環境でホスティングできます。詳しくはハイブリッドホスティングのページをご覧ください。

データの保存・送信・保護

データはどのように、どこで保存・保護されますか？

データ保存：
Zohoは世界中の最先端データセンターでデータをホスティングしています。Zohoにユーザー登録する際、標準の国を選択でき、これによりデータセンターの場所が決まります。国はプロセスを簡単にするため、IPアドレスに基づき自動的に選択されます。この選択により、アカウントは該当するデータセンターでホストされ、法令順守やパフォーマンス向上のためにローカライズされた保存が実現します。

データの保護:
Zoho は、データを保存時に AES-256 encryption を用いて暗号化し、高度なデータの保護を実現しています。機密性の高いデータは、Zoho 独自の キー Management サービス (KMS) によりさらに保護されます。セキュリティ強化のため、マスターキーと暗号化キーは別々に保管され、データの機密性と完全性が維持されます。この多層的なアプローチにより、Zoho のデータストレージは安全性と信頼性の両面で優れています。

データの暗号化および保護の仕組みについての詳細は、Zoho Creator の Zoho Creator 暗号化ページ をご参照ください。

データセンターのセキュリティおよびアクセス管理:
当社のデータセンターは、建物のインフラ、冷却、電力、現場のセキュリティを担当する co-場所プロバイダー により管理されています。当社は、サーバーおよびストレージの提供を担当しています。

• データセンターへのアクセスは、認証済みの限られたグループの担当者のみに制限されています。
• その他のアクセス要求はチケットシステム経由で処理され、管理者の承認が必要です。
• 敷地内への入場には、2要素認証および生体認証が必須です。
• アクセスログ、活動データ、カメラ映像を保存し、あらゆるインシデントを監視しています。

監視:
当社データセンターおよび法人施設内のすべての入退館を積極的に監視しています。これはCCTVカメラを現地の規制に準拠して設置し、実施しています。バックアップ映像は場所ごとの要件に基づき一定期間保存され、徹底した監視と迅速なインシデント対応を実現しています。

その他の詳細については、ZohoのDatacenterおよびSecurityページをご参照ください。

データはデータベースに保存されている際や送信時に暗号化されていますか？

はい、Zoho Creatorは暗号化を保存時および輸送中の両方で使用しており、お客様のデータは常に保護されています。

データ暗号化（輸送中）

すべての顧客データは、Zohoサーバーへの公開ネットワーク経由での送信時に強力な暗号化プロトコルを使用して保護されています。ZohoはTransport Layer Security（TLS 1.2/1.3）の強力な暗号をすべての外部連携で使用することを義務付けています。対象には以下が含まれます：

• Webアクセス
• APIアクセス
• Zoho モバイルアプリ
• IMAP/POP/SMTP メールクライアントアクセス

これにより、安全な通信が実現され、両方の当事者を認証し、移動済みデータを暗号化します。

追加のセキュリティ対策：

• メール向けOpportunistic TLS：対向サーバーが対応している場合、メール送信を暗号化します。
• Perfect 転送 Secrecy（PFS）：今後セキュリティが侵害されても、過去の通信内容が復号されるのを防ぎます。
• HTTP Strict Transport Security（HSTS）：すべてのWebトラフィックの外部連携を暗号化することを強制します。
• セキュア認証クッキー：すべての認証クッキーにセキュア属性を付与し、不正アクセスを防止します。

静止時データの暗号化

Zoho Creator に保存された機微な顧客データは、256ビット 詳細 Encryption スタンダード（AES）で暗号化されています。保存時の暗号化方式は、利用中のサービスによって異なります。

Zoho は、独自のキー Management サービス（KMS）で暗号鍵を管理しています。さらに、データ暗号化鍵はマスターキーで暗号化されており、マスターキーは物理的に分離され、異なるサーバーに限定されたアクセス権で保存されています。

Zoho Creator の追加暗号化設定

項目レベルの暗号化

• Zoho Creator の一部の項目では、追加の暗号化レイヤーを利用でき、機密性・重要性の高い情報や個人情報（個人情報）を保護できます。
• 「Encrypt Data」を項目プロパティで有効にして、機微なデータを取り扱う項目を保護できます。詳細は、こちらの 項目のデータ暗号化ドキュメントをご参照ください。

• 電子的保護対象医療情報（ePHI） (Electronic Protected Health Information)は、電子的に作成、保存、送信、または受領される保護された医療データを指します。
• Zoho Creator では、フォームビルダー内のContains Health Info（健康情報を含む）の項目プロパティを有効にすることで、項目を電子的保護対象医療情報（ePHI）として分類できます。アプリケーションの設定内で、どのユーザーが表示またはアクセスできるかの権限を管理できます。

レポートレベルのデータマスキング

• Zoho Creator の暗号化項目はレポートでマスク可能であり、機密データを権限のないユーザーから非表示にすることができます。
• 役割ベースのアクセス制御（RBAC）やパーミッションセットにより、管理者はユーザーごとに暗号化項目の表示設定を管理できます。

暗号化のためのBYOK

Zoho Creator は BYOK に対応しており、Zoho の初期設定 KEK の代わりに、ご自身のキー暗号化キー（KEK）を使用できます。Thales などの外部キー管理システム（KMS）からキーを連携したり、独自のカスタムキーを使用したりすることも可能です。
Zoho Creator の BYOK について詳しくはこちら。

詳細については、暗号化ページおよびZoho Creator の暗号化についてをご覧ください。

ユーザーのプライバシー保護のためにマスキングされる機微なデータの種類は？

Zoho Creator に保存されている機微なデータには、Personally Identifiable Information（個人情報）（氏名やメールアドレスなど）や、Electronic Protected Health Information（電子的保護対象医療情報（ePHI））（健康関連データなど）が含まれ、これらはすべてマスキングされ、プライバシーとセキュリティが確保されます。

レポートにおける暗号化データのマスキング

• Zoho Creator で暗号化された項目はレポートでマスキングでき、機微なデータが権限のないユーザーには非表示となります。
• 役割ベースのアクセス制御（RBAC）やパーミッションセットを利用することで、管理者は暗号化項目の表示設定を管理でき、ユーザーの役割や権限に応じて機微なデータへのアクセスを制限できます。

この包括的なマスキング手法により、機密性および完全性がユーザー情報に対して確保され、必要な場合のみ認証済みユーザーが機密データへアクセスできるようになります。

自分のデータは自分のリージョン内に保存されていますか？

Zohoは、お客様のデータが関連するリージョン内に保存されることを保証しています。ユーザー登録の際、自動的に担当者として該当する国のデータセンター（DC）が割り当てられます。割り当てられたデータセンターのプライマリおよびセカンダリ拠点は同一リージョン内にあり、選択済みのリージョン内にデータが留まるようになっています。

サインアップ時に国を選択するよう求められ、項目は利便性のためIP住所に基づき自動入力されます。

データセンターの所在地やお客様のデータが各リージョンでどのように管理されているかの詳細は、Know Your Data Centerページをご覧ください。

データのバックアップは保持されていますか？バックアップされたデータはどこに保存されていますか？

はい、通常通りお客様のデータのバックアップを保持しています。データのバックアップは同じデータセンター内に安全に保存され、AES-256ビットアルゴリズムで暗号化されて保護されています。バックアップはtar.gz形式で保存され、3か月間保持されます。

Zoho Creatorは、イン商品バックアップ機能も提供しており、ユーザーが自身のアプリケーションおよびデータのバックアップを手動で生成・ダウンロードすることが可能です。これらのバックアップは、追加のセキュリティやリカバリー設定のためローカルに保存できます。

詳細情報は、 バックアップと復元ページをご覧ください。

バックアップされたデータは暗号化されていますか？

はい、すべてのバックアップデータは暗号化されており、セキュリティと機密性を確保しています。当社はAES-256暗号化を使用して、データセンターに保管されているデータのバックアップを保護し、不正アクセスを防止しています。

当社では増分バックアップを毎日、フルバックアップを毎週、Zoho Admin Console (ZAC) を利用してZohoの各データセンターで実施しています。データのバックアップは同じ場所にtar.gz形式で保存され、3か月間保持されます。保持期間内に顧客からデータリカバリのご要望があった場合、当社はデータを復元し、安全なアクセスを提供します。復元の所要時間はデータのサイズやリクエスト内容の複雑さによって異なります。

データの安全性をさらに高めるため、バックアップサーバーにはRAID（Redundant Array of Independent Disks）を採用し、信頼性と障害耐性を確保しています。すべてのバックアップは定期的にスケジュール・管理されています。障害が発生した場合は自動再実行が開始され、即時に解決します。ZACツールはフルバックアップに対して整合性および検証チェックも行い、データの一貫性を維持しています。

さらに追加の保護のため、顧客ご自身でも定期的にバックアップのスケジュールを設定し、データをエクスポートして自社インフラに保存されることを強く推奨します。アプリケーションのバックアップについては詳細はこちら

どのようにして私のデータが他の顧客のデータと安全に分離されていることを保証していますか？

Zohoはマルチテナントアーキテクチャを採用しており、お客様のデータは他の顧客のデータとともに保存されています。しかし、サービスのデータストレージ内で論理的に分離することで、お客様のデータが安全に隔離されるよう徹底しています。インフラストラクチャはクラウドリソースを効率的に分散・管理し、それぞれの顧客データが論理的に分離されるよう、安全なプロトコルを用いて運用しています。

複数の顧客が同じ物理インフラを共有していても、強力なアクセス制御と論理的なパーティショニングによって、データはお客様専用として保護されています。暗号化、ユーザー認証、厳格なアクセス方針により、不正アクセスを防止し、他の顧客が他人のデータを閲覧・変更できないようにしています。

これらの対策は業界のベストプラクティスに準拠しており、マルチテナント環境でのプライバシー・セキュリティ・コンプライアンスの確保に努めています。

従業員に対するアイデンティティおよびアクセス制御は実施していますか？

はい、当社では法人、情報セキュリティ、およびプライバシー要件に基づいた強固なアクセス制御規定を導入しています。これらの管理策の主な目的は、機密情報を保護し、必要な役割の担当者のみがデータやリソースへアクセスできるようにし、不正アクセスを防ぐことです。

アクセス制御規定は、「知る必要がある」「使用する必要がある」という2つの原則に基づいて設計されています。これにより、従業員は業務に必要な情報のみにアクセスできるようになっています。

技術的なアクセス制御と社内方針を組み合わせて運用し、それらは定期的に見直されています。最小権限の原則および役割ベースの権限設定を活用し、ユーザーデータへのアクセスを厳格に制限しています。これにより、不正なデータ漏洩リスクを低減し、認証された者のみが機密情報にアクセスできるようにしています。

詳細はこちら

私のデータは御社サーバーにどのくらい保存されますか？

Zoho 顧客である限り、データは保存されます。サブスクリプションが終了した場合、データは当社のデータ保持規定に従って取り扱われます。サブスクリプション終了後、データは当社サーバー上で三か月間安全に保管されます。この保持期間中は、プライバシーとセキュリティを最優先し、業界スタンダードの暗号化や厳格なアクセス制御により、すべての保存データを保護します。

保持期間終了後は、業界のベストプラクティスを用いて、データを安全に廃棄し、不正アクセスや復元を防止します。詳細については、当社のプライバシーポリシーページをご参照ください。

実地およびネットワークセキュリティ

Zoho のインフラストラクチャはどの程度安全ですか？

お客様のデータは、世界中のベストインクラスのデータセンターでホストされています。これらのデータセンターは、堅牢なセキュリティ対策が施された最先端のインフラストラクチャを備えており、データの安全性が確保されています。以下は、実施しているセキュリティ対策の主なポイントです。

• 実地 Access Controls: アクセスカード、2要素認証、バイオメトリクス認証など、厳格なアクセス管理を導入し、認証済みの方のみが施設へ入力できるようにしています。
• Access Logs and Monitoring: アクセスログを保管し、不審な点があれば追跡・対応します。また、CCTVカメラを設置し、入退室の動きを監視しています。
• Network Security: ファイアウォールを使用中で、不正アクセスを防止しています。また、システムはネットワークごとに分割され、機密データを保護しています。ファイアウォールの変更については定期的にレビューを行い、セキュリティを確保しています。
• Encryption: データ輸送中は強力な暗号化プロトコル（TLS 1.2/1.3）で保護し、保存データは256ビットAESで暗号化されています。暗号鍵は自社所有で、社内のキー管理サービス（KMS）により管理・運用しています。
• Monitoring and Incident Response: 専任のネットワークオペレーションセンターチームがインフラやアプリケーションを監視し、不一致や不審な活動を検知します。異常や不審な活動が発生した場合は、通知が実行済みとなります。

全体として、インフラストラクチャには機密性の高い顧客データを保護するための堅牢なセキュリティ対策が備わっています。

詳細については、セキュリティホワイトペーパーをご覧ください。

認証済みの方のみが施設へ入力できるよう、実地アクセス管理を導入していますか？

はい、当社は職場において、アクセス カードのヘルプを活用し、リソース（建物、インフラ、施設）へのアクセス（利用・入場・使用）を管理しています。従業員、契約業者、仕入先、訪問者には、入館目的に応じて厳格に制限された異なるアクセス カードを提供しています。人事（HR）チームが役割ごとに目的を策定・維持しています。アクセスログを保持し、異常の特定と住所確認を行っています。

• データセンターにて
  当社のデータセンターでは、co-場所プロバイダーが建物、冷却、電力、実地セキュリティの責任を担い、当社がサーバーとストレージを提供しています。データセンターへのアクセスは、認証済みの限られたグループの担当者に限定されています。それ以外の者はチケット申請が必要で、各担当マネージャーの承認後にのみ許可されます。追加の2要素認証や生体認証が必須で、敷地内へ入力できます。アクセスログ、活動データ、カメラ映像は、万が一の際に利用可能です。
• 監視
  すべての法人センターおよびデータセンターでは、CCTVカメラを現地法規に従って設置し、敷地内のすべての入退出を監視しています。

ファイアウォールを使用していますか？

はい、当社は業界スタンダードのファイアウォールを使用し、不正アクセスや望ましくないトラフィックからネットワークを保護しています。システムは複数のネットワークに慎重に分割されており、機密データの保護を徹底しています。さらに、テストおよび開発環境は、Zohoの主要な運用を支える本番インフラストラクチャとは異なるネットワークでホストされています。

ファイアウォールへのアクセスは厳格かつ定期的なスケジュールで厳重に監視されています。ネットワークエンジニアがファイアウォールへのすべての変更を毎日確認し、これらの変更は半年ごとに包括的な確認を受け、ファイアウォールルールの更新と最適化を行います。さらに、専任のネットワークオペレーションセンター（NOC）チームが、インフラとアプリケーションの両方に対し、常時監視を行い、不正や疑わしい活動を速やかに検知します。自社開発のモニタリングツールを用いて、すべての重要パラメーターを追跡し、本番環境で異常や不審な挙動が検出された場合は即時に通知が実行されます。

このような多層的なファイアウォールと監視体制により、システムの安全性と完全性を確保しています。

ネットワークの安全性はどの程度ですか？

当社のネットワークセキュリティは堅牢で適切に管理され、常時監視されています。お客様のデータを最高レベルで保護するための設計となっています。主なセキュリティ対策の一部をご紹介します：

• 通常ネットワーク脆弱性スキャン：外部の第三者ツールを用いて毎週脆弱性スキャンを実施し、潜在的なセキュリティリスクを特定し、脆弱性に対して積極的に対応します。
• アプリケーションペネトレーションテスト：半年ごとに社内ペネトレーションテストを実施し、実際の攻撃をシミュレーションしてアプリケーションの脆弱性を特定し、対応しています。
• アクセス制御：厳格なアクセス制御を実施しており、実地アクセスカード、2要素認証、および生体認証を含みます。これにより、認証済みの担当者のみが施設やデータセンターへアクセスできます。
• ファイアウォール管理：ファイアウォールを使用してネットワークへの不正アクセスを防止しています。ネットワークエンジニアがファイアウォールのアクセスやすべての変更を毎日確認し、ファイアウォールルールの総合的な見直しを半年ごとに実施しています。
• ネットワークセグメンテーション：機密データを保護するため、ネットワークセグメンテーションを実施しています。テストや開発活動を支えるシステムは、プロダクションインフラストラクチャとは別のネットワークでホスティングされており、リスクを最小限に抑えています。
  無線ネットワークのセキュリティにおいては、社内Wi-Fiへのアクセスには多要素認証（MFA）が必要です。リモートアクセスにはVPNとMFAの両方でさらにセキュリティを強化しています。オフィス内では、ゲスト用Wi-Fiネットワークを提供しており、社内ネットワークとは分離されており、社内データへのアクセス権がありません。。
• 継続的なモニタリング：専任のネットワークオペレーションセンター（NOC）チームが、インフラストラクチャやアプリケーションを常時監視し、不一致や不審な活動を検知します。異常または不審な活動が発生した際には即時通知され、迅速な対応が可能です。
• 暗号化：お客様のデータ保護のため、TLS 1.2/1.3 などの強力な暗号化プロトコルをデータ輸送中に使用し、機密性の高い顧客データは256ビットAES暗号化で保存します。

これらの対策により、データはすべてのタイミングで安全に保護され、当社チームが常にネットワークセキュリティの監視および強化を行い、不正アクセスの防止と情報の完全性確保に努めています。

DDoS攻撃を防ぐための対策は実施していますか？

はい、当社は信頼性の高い業界スタンダードのソリューションを採用し、信頼できるサービスプロバイダーからの対策により、サーバーへのDDoS攻撃を防止しています。これらのソリューションは強力なDDoS緩和機能を備え、悪意のあるトラフィックを効果的にフィルタリングし、正当なトラフィックのみを通過させます。そのため、ウェブサイト、アプリケーション、APIは攻撃を受けた場合でも高い可用性と最適なパフォーマンスを維持します。

SIEM（Security Information and Event Management）ツールは導入していますか？

はい、当社独自の内部SIEMツールを用いて異常な挙動を監視・検知しています。サービスやネットワーク内の内部トラフィック、端末やデバイスの利用状況から得られた情報を監視・分析しています。これらの情報は、イベントログ、監査ログ、障害ログ、管理者ログ、オペレーターログの形式でデータ化されます。ログは自動的に監視・分析され、取引先での異常活動や顧客データへのアクセス試行などの異常を特定するのに役立っています。

災害復旧および法人継続性

災害復旧規定はありますか？インフラで災害が発生した場合、どのように管理しますか？

当社では堅牢な災害復旧プランを策定しており、迅速な対応と復旧によりダウンタイムを最小限に抑え、法人継続性を確保しています。プライマリDCが障害を起こした場合は、セカンダリDCが引き継ぎ、運用が滞りなく継続され、時間的な損失も最小限または発生しません。両データセンターには複数のISPが備わっています。

法人継続性を確保するため、バックアップ電源、温度管理システム、火災予防システムなどの実地対策も整えています。これらの対策により高いレジリエンスを実現しています。データの冗長化に加え、サポートやインフラ管理といった主要運用業務に対する法人継続プランも策定しています。DR訓練は定期的に実施され、法人継続性の維持に努めています。

ディザスターリカバリーサイトは、プライマリサイトとの参照関係でどこに位置していますか？

アプリケーションデータはレジリエントストレージ上に保存され、データセンター間でレプリケーションされています。プライマリデータセンター（DC）のデータはほぼリアルタイムでセカンダリDCに複製されます。プライマリDCに障害が発生した場合、セカンダリDCがシームレスに引き継ぎ、ダウンタイムを最小限またはゼロに抑えます。

Zohoのディザスターリカバリーサイトは同じ国の別の地理的場所に戦略的に配置されています。これにより、冗長性を確保しつつ、地域のデータレジデンシー要件にも準拠しています。

さらに安全性を高めるため、セカンダリ（リカバリー）サイトのデータはリードオンリー形式で保持され、無断の変更を防ぎつつ事業継続性を確保しています。プライマリおよびセカンダリ両方のデータセンターに複数のISPが導入されており、信頼性の向上を図っています。

その他の詳細については、ZohoのDatacenterをご覧ください。

災害発生後、データはどのくらいの速さで復旧できますか？

プライマリDCの障害時は、セカンダリDCが引き継ぎ、ダウンタイムや時間的損失を最小限またはゼロに抑えてスムーズに運用が継続されます。 データベース障害の場合、Recovery Point Objective（RPO）は30分、Recovery Time Objective（RTO）は60分です。

RPOおよびRTOは何ですか？

Recovery Point Objective（RPO）は30分、Recovery Time Objective（RTO）は60分です。

お客様のデータが常に利用可能であることをどのように保証していますか？

Zohoは、複数層の冗長性と堅牢なインフラストラクチャによってデータの高い可用性を確保しています。具体的には、以下の方法で実現しています。

• 多層での冗長化：Zohoは、インフラストラクチャやインターネットサービスプロバイダー（ISP）レベルなど、さまざまな層に冗長性を構築しています。これにより、ひとつのコンポーネントに障害が発生しても、別のコンポーネントがシームレスに引き継ぐため、サービスの中断を最小限に抑えることができます。
• データのレプリケーション：プライマリデータセンターのデータは、常にセカンダリデータセンターへ複製されています。万が一プライマリデータセンターに問題が発生した場合でも、セカンダリデータセンターが引き継ぎ、データへの継続的なアクセスを保証します。
  プライマリデータセンターで問題が発生した場合でも、セカンダリデータセンターからはZohoアプリの読み取り専用バージョンが常に利用可能です。これにより、ユーザーは自身のデータにアクセスでき、法人の事業継続性が確保されます。

これらの対策により、予期しない障害が発生した場合でも、一貫した信頼性の高いデータアクセスを実現しています。

パフォーマンスおよびSLA

システムの最適なパフォーマンスをどのように確保していますか？

システムの最適なパフォーマンスを維持するため、当社では積極的なメンテナンス、監視、継続的な最適化を含む包括的なアプローチを採用しています。

• 継続的な監視と分析：詳細な内部パフォーマンス監視ツールを使用してシステムのパフォーマンスを追跡し、顧客の利用傾向を分析します。これらのツールにより、改善が必要な領域の特定やパフォーマンス問題の検出、異常の迅速な対処が可能です。
• プロアクティブな問題解決：パフォーマンスの低下が発生した場合、システムが自動的にアラートを発し、チームに通知します。これにより、迅速な対応と問題解決が可能となり、最適なパフォーマンスを復元し、ユーザーへの影響を最小限に抑えます。
• 脆弱性およびパッチ管理：脆弱性およびパッチ管理に関するスタンダードな運用手順を導入しています。既知の脆弱性の修正やセキュリティリスクの防止、システムの安全性・安定性・最新性を確保するため、オペレーティングシステムのパッチやソフトウェアのアップデートを定期的に適用中です。

監視、タイムリーなアップデート、パフォーマンスベンチマークを組み合わせることで、高いスタンダードのシステム信頼性とユーザー体験を維持しています。

可用性SLAのコミットメントについて教えてください。

当社のサービスレベルアグリーメント（SLA）では、99.9%の月間稼働率を保証しています。インフラからISPまで、様々なレベルで冗長構成を導入し、サービスの中断がないようにしています。主要データセンターのデータはセカンダリーデータセンターへレプリケーションされ、Zohoアプリのリードオンリーバージョンが常時利用可能です。これにより、主要データセンターに障害が発生した場合でもシームレスなアクセスが可能です。サービスの稼働状況は、すべてのZohoサービスでhttps://ステータス.Zoho.com/でご確認いただけます。

この稼働率保証には、スケジュールされたメンテナンスやアップデートによるダウンタイムは含まれません。これらは事前に必ずオンラインプラットフォーム上でお知らせします。透明性を重視し、必要なメンテナンスによってお客様のご利用が妨げられないよう努めています。

システムのパフォーマンスはどのように測定していますか？

当社では、詳細 業界 スタンダードのサードパーティ監視ツールを活用し、顧客の利用傾向を分析し、システムパフォーマンスを評価するための重要なデータを取得しています。これらのツールにより、顧客から報告されたパフォーマンス問題を事前に特定し、トラブルシューティングを行うことができます。さらに、パフォーマンスの低下が検知された場合、システムが自動的に当社チームへ通知し、迅速な対応で問題を解決し、最適なパフォーマンスを維持します。

その他

御社のソリューションはモバイルアクセスおよびオフライン機能をサポートしていますか？  

Zoho Creator アプリケーションはウェブ向けに設計されており、iPhone、iPad、Android デバイスなど幅広いデバイスでシームレスにアクセス可能です。ユーザーがリブランドしたモバイルアプリや、Creator のネイティブアプリ、モバイルブラウザを利用する場合でも、プラットフォームが自動的にレスポンシブ対応を行います。こうした包括的な設計により、多様なデバイスで一貫した操作性と機能性が実現され、ユーザー体験が向上します。多くの法人や組織がモバイル展開を検討する際、モバイルアプリの作成、モバイルWebサイトの構築、または両方を選択する必要があります。最適な選択は、モバイル展開の目的、最終的なユーザー体験、予算などの要因によって決まります。Zoho Creator を利用してカスタムアプリケーションを構築するメリットは、これらすべての成果をすぐに、しかも無料で得られる点です。Creator は主要なウェブブラウザ、Android、iOS バージョンと互換性があり、幅広いアクセシビリティサポートを提供します。

Web でのアプリアクセス: Zoho Creator アプリケーションは、デスクトップやノートパソコンのウェブブラウザからシームレスにアクセスできます。ユーザーは取引先にログインするだけで、どこからでも作業を開始できます。

iOS でのアプリアクセス: Zoho Creator の iPhone 向けネイティブアプリでは、すべての Zoho Creator アプリケーションへモバイルからアクセスできます。アプリは App Store からダウンロードしてご利用いただけます。

Access App オン iPad: Zoho Creator の iPad 用ネイティブアプリは、Zoho Creator アプリケーションへのモバイルアクセスを提供します。App Store からダウンロードして利用できます。

Access app オン android: Zoho Creator の Android 用ネイティブアプリは、Zoho Creator アプリケーションへのモバイルアクセスを提供します。Google Playストアからダウンロードして利用可能です。

Access app as Progressive Web App (PWA): PWA を利用すると、モバイルブラウザーでネイティブアプリのような体験が可能です。ユーザーはインターネット閲覧が可能なあらゆるモバイルデバイスからアプリにアクセスできます。対応する最小バージョンはAndroidアプリはバージョン5.1以降が必要であり、iOSアプリはバージョン11以降に対応しており、ほとんどの最新デバイスで利用できます。

Rebranded モバイルアプリ: Zoho Creator では、作成したアプリケーションを iOS および Android デバイス向けの独立したモバイルアプリとしてダウンロードすることができます。この機能により、Zoho Creator の機能を管理者の組織を表すアプリへと変換できます。

Zoho Creator を使用するために必要なインフラストラクチャは何ですか？

Zoho Creator はクラウドベースのプラットフォームであり、ウェブブラウザまたはモバイルアプリを利用して、ほぼどこからでも移動中にアクセスできるよう設計されています。Zoho Creator を効果的に使用するには、以下が必要です。

• 安定したインターネット接続: Zoho Creator にアクセスし、特に大規模なデータセットを操作したり、リアルタイム共同作業を行ったりする際には、安定した信頼性の高いインターネット接続が不可欠です。Zoho Creator には特定の最小帯域幅要件はありませんが、特に大規模なデータセットを取り扱う場合、最適なパフォーマンスには 4 Mbps の接続を推奨します。
• 対応デバイス: Zoho Creator にはさまざまなデバイスでアクセスできます。主な例：

• デスクトップまたはノートパソコン：Windows、macOS、Linuxなどのオペレーティングシステムで動作します。
• タブレットまたはスマートフォン：Android または iOS で、Zoho Creator モバイルアプリをインストールし、オン-the-移動するアクセスが可能です。

• ウェブブラウザ：デスクトップユーザーの場合、Zoho Creator は最適なパフォーマンスを実現するために最新のブラウザが必要です。Google Chrome、Mozilla Firefox、Microsoft Edge、Safari などの主要なブラウザで最良の動作をします。
  モバイルユーザーは、モバイルブラウザからアクセスでき、Progressive Web Apps（PWA）にも対応しており、さまざまなデバイスでシームレスな操作体験を提供します。
  対応ブラウザ

• Google Chrome バージョン 94 以上
• Mozilla Firefox バージョン 102 以上
• Safari バージョン 13 以上
• Microsoft Edge バージョン 111 以上

• モバイルアプリ: モバイルユーザー向けに、Zoho CreatorアプリはGoogle PlayストアおよびApple App Storeからダウンロード可能です。このアプリを利用することで、アプリへのアクセス、タスクの実行、およびアップデートの受信がデバイス上で直接行えます。最小サポートバージョンはAndroidアプリはバージョン5.1以降、iOSアプリはバージョン11以降が必要となり、ほとんどの最新デバイスと互換性があります。
  Zoho Creatorはさらに、ネイティブモバイルアプリをAndroidとiOSの両方に提供しており、最適化されたユーザー体験を実現します。加えて、 モバイルSDKも開発者向けに提供されており、Zoho Creatorの機能を活用したカスタムモバイルアプリケーションの作成が可能です。

Zoho Creatorのクラウドインフラストラクチャにより、サーバーの管理やアップデート、バックアップの心配が不要です。そのため、多様な規模の企業で利用できる柔軟でユーザーフレンドリーなプラットフォームです。

SIEMツールはありますか？

関連ヘルプドキュメント

• データセンターについて
• セキュリティ
• プライバシーポリシー
• 暗号化ホワイトペーパー

関連 よくある質問（FAQ）ページ

• Zoho Creator - スターターガイド
  
• セキュリティとプライバシーに関するよくある質問（FAQ）
• セキュリティに関するFAQ
• プライバシーに関するFAQ