公開クラウド環境内の様々なコンポーネントのセキュリティを保証するために、共同責任モデルは2つ以上の当事者が役割を果たすという考えに基づいていますが、CSPまたはお客様が完全に直接制御するいくつかのセキュリティ側面を彼らが監視する必要性を強調することが重要です。 

1. 物理レイヤーと関連するハードウェアとインフラストラクチャー
2. 仮想化レイヤー
3. ネットワーク制御とプロバイダーサービス
4. 私たちのクラウドリソース上で実行されるサーバー

なぜ共同責任モデルが重要なのでしょうか？

Gartnerの最新の予測によると、「2025年までに、クラウドセキュリティの失敗の99％が顧客の責任になる」とのことです。これは憂慮すべきことではありますが、素晴らしいことに、その多くのクラウドの失敗は、顧客が役割と責任を理解している場合には防げるものです。これが共同責任モデルが登場する場面です。

1. Zoho Creator の専用コントロール - Zoho Creator の完全責任であるコントロール。
2. お客様専用コントロール - お客様だけが所有、維持、および管理する責任の範囲。
3. 共有コントロール - ここでは、セキュリティ要件に必要な必要なサポートをZoho Creatorが提供します。お客様は、セキュリティ、コンプライアンス、プライバシー、IT要件、および適用される法令を含む、組織の要件に合わせてガードレールを実装する必要があります。
   

Zoho Creatorの責任 

1. ハードウェア/ホスティングインフラストラクチャー：クラウドホスティングの目的のために必要な完全なインフラストラクチャを保護するのは私たちの責任です。このインフラストラクチャは、ハードウェア、ソフトウェア、オペレーティングシステム（更新とセキュリティパッチを含む）、ネットワーキング、およびファイアウォールから構成されています。プロダクションネットワーク内にプロビジョニングされたすべてのサーバーは、標準に従ってハード化されています。OSパッチ管理、ベースライン構成、およびホスト侵入検知テクノロジーを採用して、安全なホスティングインフラストラクチャを維持します。
   
1. 物理的なセキュリティ：私たちは、不正な物理的アクセス、疑わしい侵入、および災害からインフラストラクチャを保護する責任を負います。また、適切なインシデント対応を実施します。
   
2. ネットワーク制御：私たちは、安全なプロダクションネットワークを運用する責任を負います。私たちは、不正なアクセスや望ましくないトラフィックからネットワークを保護するためにファイアウォールを使用します。プロダクションネットワークへのアクセスも厳格に制御されています。
   
2. ソフトウェア : Zoho Creatorは、摩擦を減らすためにすべての規模の企業にシームレスに展開される、強力でスケーラブルなカスタムアプリを構築するのに役立つローコードアプリケーションプラットフォームです。簡単なドラッグアンドドロップインターフェイスで、誰でも簡単かつ迅速にアプリケーションを設計し、データを収集し、ビジネスプロセスやワークフローを自動化し、レポート内のデータを分析し、アプリケーションユーザーと共同作業することができます。 Zoho Creatorが提供するものについて詳しく知りたい場合は、 こちら を参照してください。
   
3. ビジネス継続性：私たちは、サポートやインフラストラクチャ管理などの主要なオペレーションのためのビジネス継続性計画を準備する責任があります。予期せぬ状況下でも、重要なビジネスオペレーションを最小限の中断なしで継続できるように確保します。強固なストレージに保存されたアプリケーションデータは、データセンター間でレプリケートされます。プライマリDCのデータは近いリアルタイムでセカンダリDCにレプリケートされ、災害が発生した場合はセカンダリDCに切り替えることができます。
   
4. 利用可能性：我々は、ハードウェアおよびソフトウェアの故障、DoS攻撃などの脅威を処理して、99.9％のアップタイムSLAに従ってサービスを利用可能な状態に保つ責任を負います。お客様として、 status.zoho.com にいつでもアクセスして、現在のサイトステータス、および過去の障害を表示することができます。
   
5. アプリケーションプラットフォームのセキュリティ：Zoho Creatorは、セキュリティ脆弱性のない安全な製品の提供と、不正アクセス、データ流出、マルウェア攻撃などのセキュリティ上の脅威からデータの保護を責任を持っています。これらの脅威が、データの保護、完全性、可用性を損なうことを防ぐことができます。
   
お客様へ：
1. クライアント側とサーバー側のセキュリティ：私たちの製品は、設計においてセキュリティを優先しています。OWASPの基準に基づいた強固なセキュリティフレームワークは、アプリケーションレイヤーに実装され、SQLインジェクション、クロスサイトスクリプティング、アプリケーションレイヤーのDOS攻撃などの脅威を軽減する機能を提供し、クライアント側とサーバー側のセキュリティを両立します。すべてのソフトウェアの変更は、お客様に提供される前に承認されます。私たちのソフトウェア開発ライフサイクル（SDLC）は、セキュアコーディングガイドラインへの順守と、コード変更のポテンシャルセキュリティ問題を示すコードアナライザーツール、脆弱性スキャナー、および手動レビュープロセスを行うことを求めています。
   
2. 脆弱性管理：私たちには専用の脆弱性管理プロセスがあり、認定されたサードパーティのスキャニングツールとインハウスツールを組み合わせて、自動および手動のペネトレーションテストの手法でセキュリティ脅威を積極的にスキャンします。私たちは、セキュリティ侵害のリスクを低減するために、リスクの姿勢を継続的に再評価しています。
   
6. データセキュリティ
   
1. データの分離 : 私たちは、保存されているデータの分離に責任があります。お客様のサービスデータは、セキュアなプロトコルのセットを使用して、他のお客様のデータと論理的に分離されています。
   
2. データ機密性 : 私たちは、静止時、伝送時、および処理時に保存されているデータの機密性に責任があります。
   
3. データ完全性 : 私たちは、データおよびログや構成データなどのシステムデータの完全性に責任があります。これを確保するために、私たちは転送時に暗号化を適用します。これは、ブラウザからWebサーバーおよびインテグレーションを介して他のサードパーティーにデータが暗号化されている場合を指します。データの転送時の暗号化により、中間者攻撃からデータを保護できます。
   
4. データの追跡性 : 私たちは、いつでも物理的な位置とデータの処理がわかるように、データの追跡性と制御に責任があります。

顧客の責任 

1. クライアントとエンドポイントのセキュリティ：エンドポイントのセキュリティを担当し、ブラウザサービス、モバイルOS、モバイルアプリケーションを最新バージョンに更新し、脆弱性に対してパッチを当てることが求められます。 1つのエンドポイント（ラップトップ、デスクトップ、スマートフォンのいずれか）が悪用されると、他のすべての制御が無効になります。
2. データの責任：次のことを担当しています。
   
1. 機密データが意図せずに公開されたり、攻撃者にアクセスできるようになっていないかを確認すること。アプリへのログインに強力な承認メカニズムを実装し、承認されたユーザーだけがアプリデータにアクセスできるようにする必要があります。
   
2. システムで処理されるデータの正確性を維持すること
   
3. Zoho Creatorアカウントがスパムや不法行為のために自分または他者によって使用されていないこと、または当社のサービスがその設計された目的のためにのみ使用されていることを確認すること
   
3. パスワード：Creatorにログインしてアクセスするときに強力なパスワードを作成し、それを守る責任があります。

共有責任

1. アプリケーションのデザインとセキュリティ：アプリケーションプラットフォームのセキュリティを確保するとともに、データを不正アクセスから保護するためのさまざまな防御機構も提供しています。しかし、アプリケーションのセキュリティニーズを定義し、さまざまなセキュリティ機構を分析し実装し、安全な方法でアプリケーションを設計・構築するのはお客様の責任です。これには、アプリケーションからハードコードされた機密情報を取り除くこと、機密情報を含むフィールドに「レスト暗号化」（EAR）プロパティを有効にすること、ユーザーに厳しいアクセス制限を設定すること、必要な場合にのみユーザーをアプリケーションに追加すること、入力に適切なデータ検証技術を使用することなどが含まれます。
2. 暗号化  
   
1. 通信時の暗号化：公開ネットワークを介して弊社のサーバーに送信される顧客データは、強力な暗号化プロトコルを使用して保護されています。すべての接続（Webアクセス、APIアクセス、モバイルアプリ、IMAP / POP / SMTPアクセス）に強力な暗号化を使用してTransport Layer Security（TLS 1.2 / 1.3）暗号化を強制します。
   
2. データ保存時の暗号化 : 
   
1. データを保存するときに暗号化されるEAR（データ保存時の暗号化）は、より高いレベルのセキュリティを提供します。 Zoho Creatorは、製品内でEARをサポートしています。 フィールドの暗号化を有効にすると、データベース内の特定のフィールドのデータが暗号化されます。サーバーが悪用されたり、不正なアクセスがあった場合に、データの漏洩を防ぐために常に機密データを暗号化する必要があります。
   
2. 当社のクラウドからデータをダウンロードしたり、アプリケーションにエクスポートしたり、Zoho内または他のサードパーティーのインテグレーションと同期したりする場合は、関連する暗号化制御を適用する必要があります。たとえば、デバイスにディスク暗号化を有効にし、パスワード保護が有効になっているエクスポート機能を使用します。
   
3. アイデンティティとアクセス管理
1. 当社の責任 ：アイデンティティーとアクセス管理（IAM）サービスを介して、ユーザーアカウントを管理するインフラストラクチャーを提供します：
   
1. クラウドユーザーのアクセス権の管理？ ユーザー および 権限 、 役割 、 データ共有 、 ドメイン制限 、 顧客ポータル 。
   
2. マルチファクター認証やIPアドレス制限などの強力な認証技術。
   
4. 責任：お客様として、次の責任があります：
1. ユーザーアクセス管理制御の強化を実施してください。
   
2. 組織のポリシーに基づいた強力なパスワードを設定し、それらを保護してください。
   
3. 組織のユーザーのためにマルチファクター認証を有効にしてください。
4. データへのアクセス権を持つユーザーのリストを定期的にレビューし、不正なアクセスを持つユーザーのアクセスを削除してください。
   
5. 組織のユーザーアカウントにリンクされたデバイスを頻繁にレビューし、未使用または不正なデバイスを削除してください。
   
6. 組織のユーザーアカウントに対する悪意のあるアクセスまたは使用をモニタリングしてください。
   
7. 組織のアカウントの不正な使用をZoho Creatorに通知してください。
   
8. ユーザーに良好なパスワード管理の重要性、クレデンシャル再利用のリスク、ソーシャルログイン、およびフィッシング攻撃について教育してください。
   
5. バックアップ :
1. 当社の責任：私たちは、次のような強固なシステムを備えています：
   
1. AES-256ビットアルゴリズムで暗号化されたシステムレベルのバックアップを保持し、安全に保管します。
   
2. フルバックアップの整合性および検証チェックを自動的に実行します。
   
3. データの復元の要求を受け付け、保持期間内に安全なアクセスを提供します。
   
4. 顧客がデータを含むアプリケーションのバックアップを取得し、必要に応じて復元できるようにします。
   
2. お客様の責任：お客様は、次のようなことができます：
   
1. 必要に応じて、データのバックアップをスケジュールし、Creatorからエクスポートし、インフラストラクチャ内にローカルに保存することができます。それを安全に保管するのはお客様の責任です。
6. ログ取得とモニタリング
1. 当社の責任 :
   
1. 統計、セキュリティ、デバッグの目的のために、アプリケーションログを取得しています。 
   
2. アプリケーション内で実行された活動の順序に関する監査を行っています。 
   
2. お客様の責任 :
   
1. アプリケーション所有者は、アクションが失敗した場合に実行されたアクションを確認し、アプリケーションのパフォーマンスを確認するために、ログを参照する必要があります。
   
2. レコードへの変更履歴を確認し、セキュリティー上の異常がないかを確認し、適切な措置を講じる必要があります。
   
3. HIPAA、SCCなどの要求を満たすために、監査証跡保持期間内に監査証跡データをエクスポートする必要があります。
   
7. データ管理
1. 私たちの責任 : 
   
1. 私たちは、指示に従ってデータのみを処理し、データを制御するための製品の機能を提供します。また、従業員が顧客データにアクセスするのを制限し、特定の理由がある場合にのみ行うことができるようにしています。
   
2. 重要な活動に関する透明性を提供し、変更を追跡するために顧客データの監査機能。
   
3. データの相互運用性 : データと構成のすべてまたは一部を別のSaaSプロバイダーに移行するためのバックアップを完全に取るオプション。
   
4. データ保持と廃棄 : 私たちのサービスを使用し続ける限り、アカウントにデータを保持します。Creatorアカウントを終了すると、6か月に1度行われる次のクリーンアップでアクティブなデータベースからデータが削除されます。アクティブなデータベースから削除されたデータは3か月後にバックアップから削除されます。
   
2. 責任 : 以下に責任があります：
   
1. 適用法令の要件を満たすために適切な制御を適用して、特別なカテゴリ（例えば、個人/機密データ）に属する情報の処理に関して、適切な慎重を期す。
   
2. ユーザーデータの共有と閲覧権限を正しく設定する。
   
3. 不審な活動を特定するために定期的に監査レポートを確認する。
   
4. Zoho Creatorと最新の連絡先情報を保つ。
   
5. サービスを使用しなくなったらデータをシステムから取り出す。そうでない場合、復元の余地のない永久的な削除の対象となります。
   
8. 他のパーティーへのデータの管理
1. 当社の責任：私たちは、ベンダーのプライバシーポリシーとサービス利用規約をレビューし、それらの操作がそれに従うように努めています。また、私たちが契約しようとしているサブプロセッサーのセキュリティとプライバシーの実践を評価し、Zoho Creatorの情報セキュリティとプライバシーの基準に沿っていることを確認します。その後、彼らとの適切なデータ保護契約を締結します。
   
2. 責任： 
   
1. データおよびセキュリティを損なうことなく、第三者サービスの規約およびプライバシーポリシーを慎重にレビューすることを期待します。
   
2. マーケットプレイスアプリとそれらのインストールを要求された権限の妥当性を慎重に検証する必要があります。また、それらのアプリで特定された悪意のある行動をCreatorに通知する必要があります。
   
9. インシデント管理
1. 私たちの責任 : 
   
1. 私たちが知っている関連するすべての侵害の事例を報告し、影響の詳細と適切な対応を行います。個々のユーザーまたは組織に関する事例については、私たちに登録したメールアドレス宛に関係者に通知します。
   
2. 閉鎖までのような事例を追跡し、再発防止のための制御を実施します。要求された場合、関連する事例に関する追加の証拠を提供します。
   
2. 責任 : 
   
1. 私たちが知っているセキュリティおよびプライバシー事例を、 incidents@zohocorp.com 宛に報告することが必要です。
   
2. 適切な場合は、エンドユーザーおよびデータ保護当局に通知し、データ侵害開示および通知の要件を満たすことを確実にします。
   
3. 侵害が発生した場合、ZohoおよびCreatorから提案された行動を行う必要があります。
   
10. 意識とトレーニング
1. 私たちの責任：お客様からのデータ処理要求に関する社員の教育を行います。私たちは、セキュリティおよびプライバシー基準に従うことを確実にするため、定期的なセキュリティおよびプライバシーのトレーニングを社員に実施します。また、インフォメーションメール、プレゼンテーション、および社内ネットワーク上で利用可能なリソースを介して定期的なセキュリティ意識向上トレーニングを受けます。
   
2. 責任：以下をユーザーに教育します。
1. クラウド環境に関するリスク。
   
2. 私たちのサービスの使用に関する基準と手順。
   
3. 適用される法的および規制上の考慮事項。
   
11. ポリシーとコンプライアンス
1. 当社の責任 : 
   
1. 当社は、契約上の要件に基づいて、適用される法令の遵守を証明するために、様々な管轄権の範囲内で運営します。
   
2. 当社は、包括的なリスク管理プログラムを導入しており、適用法令によって許容される範囲で、お客様のDPIA（データ保護インパクトアセスメント）を支援いたします。
   
2. お客様の責任 : 
   
1. 当社の方針、方針評価方法、規制および基準への遵守、およびデータを処理する方法を理解し、遵守のニーズを満たすに十分なものであることを確認します。
   
2. Creatorでホストされるデータのリスクプロファイルと感度を理解し、適切な制御を施します。
   
3. 適用されるデータ保護法令に従って、データ処理の前後にDPIAを実施します。
   
4. 個人/機密データを処理する前に、法的根拠を評価します。法的根拠が同意の場合は、お客様からの同意を確認します。 
   
12. データ保護の対象となる権利
1. 当社の責任：当社の責任は以下の通りです： 
   
1. ユーザーの権利を保護するための、顧客が利用できる機能を提供すること。
   
2. 顧客が当社に直接権利を行使するために連絡した際に、その要求を通知すること。
   
2. 義務：当社は以下の義務を負います：
   
1. ユーザーからの個人情報へのアクセス、訂正、削除、処理の制限に関する要求を尊重し、処理すること。 Zoho CreatorにおけるGDPRの詳細については、こちらを参照してください。