このページは、Zoho Creator(Cloud)をご利用のユーザー向けです。Zoho Creator On-Premiseをご利用の場合は、
こちらのページを参照してください。
Zoho Creatorでは、安全で、信頼性が高く、堅牢なローコードアプリケーションプラットフォームを構築し、ISO、SOC、HIPAAなどの国際基準に準拠することを最優先しています。妥協のないクラウド体験を提供するよう努める一方で、セキュリティとプライバシーの保護にも最大限の注意を払っています。これは、当社がこの責任をユーザーと共有していると強く考えているためです。
責任共有モデルは、クラウドにおける包括的なセキュリティを確保するために、Zoho Creatorと顧客の間でセキュリティ上の義務と責任をどのように分担するかを定義する、セキュリティとコンプライアンスのフレームワークです。Creatorは安全な基盤を提供しますが、顧客も当社のクラウド環境でデータとアプリケーションを保護するうえで重要な役割を担います。それぞれのセキュリティ責任を理解し、果たすことで、Creatorと顧客は協力してリスクを軽減し、クラウドベースのシステムとお客さまのデータ全体のセキュリティを確保できます。
責任共有モデルは、パブリッククラウド環境内のさまざまなコンポーネントのセキュリティを保証するうえで、2者以上が役割を担うという考えに基づいています。ただし、CSPまたは顧客のいずれかが完全に直接管理している一部のセキュリティ要素については、それぞれが監督する必要がある点を留意しておくことが重要です。
たとえば、顧客は常にデータセキュリティとアクセスに責任を負います。一方、Zoho Creatorでは、当社が直接管理する領域について責任を負います。通常、これには次のセキュリティが含まれます。
- 物理レイヤー、および関連するすべてのハードウェアとインフラ
- 仮想化レイヤー
- ネットワーク管理項目とプロバイダーサービス
- 当社のクラウドリソース上で稼働するサーバー
責任共有モデルの重要性
Gartnerの
最新の予測によると、「2025年までに、クラウドセキュリティ障害の99%は顧客の責任によって発生する」とされています。懸念される内容に聞こえるかもしれませんが、顧客がクラウドセキュリティにおける自分の役割と責任を理解すれば、こうしたクラウド障害の多くは実際に防ぐことができます。ここで重要になるのが
責任共有モデルです。
次の図は責任共有モデルを示し、さまざまな責任がZoho Creatorと顧客の間でどのように共有、管理されるかを表しています。
管理項目/責任は、次の3種類に分類されます。
- Zoho Creator固有の管理項目 - Zoho Creatorが全面的に責任を負う管理項目です。
- 顧客固有の管理項目 - 顧客であるお客さまが単独で所有、維持、管理する責任領域です。
- 共有管理項目 - ここでは、Zoho Creatorがセキュリティ要件に必要なサポートを提供します。顧客は、セキュリティ、コンプライアンス、プライバシー、IT要件、適用される法律や規制など、自組織の要件に合う形でガードレールを実装する必要があります。
Zoho Creatorの責任範囲
- ハードウェア/ホスティングインフラ:当社は、クラウドホスティングに必要なインフラ全体を保護する責任を負います。このインフラは、ハードウェア、ソフトウェア、オペレーティングシステム(更新とセキュリティパッチを含む)、ネットワーク、ファイアウォールで構成されます。本番ネットワークにプロビジョニングされるすべてのサーバーは、基準に従って堅牢化されています。安全なホスティングインフラを維持するため、OSパッチ管理、ベースライン設定、ホスト侵入検知技術を採用しています。
- 物理的セキュリティ:当社は、当社のインフラが不正な物理アクセス、不審な侵入、災害から保護されるようにし、適切なインシデント対応を実行する責任を負います。
- ネットワーク管理項目:当社は、安全な本番ネットワークを運用する責任を負います。ファイアウォールを使用して、不正アクセスや望ましくないトラフィックからネットワークを保護しています。本番ネットワークへのアクセスも厳格に管理されています。
- ソフトウェア:Zoho Creatorは、あらゆる規模の組織にシームレスに導入できる、強力で拡張性の高いカスタムアプリの構築を支援し、負担を軽減するローコードアプリケーションプラットフォームです。シンプルなドラッグ&ドロップの操作画面により、誰でもアプリケーションを簡単かつ迅速に設計し、データを収集し、ビジネスプロセスやワークフローを自動化し、レポートでデータを分析し、アプリケーションのユーザーと共同作業できます。Zoho Creatorが提供する内容の詳細については、こちらを参照してください。
- 事業継続性:当社は、予期しない状況下でも重要な事業運営を最小限の中断で継続できるように、サポートやインフラ管理などの主要業務に関する事業継続計画を整備する責任を負います。障害に強いストレージに保存されたアプリケーションデータが、データセンター間で複製されるようにします。プライマリDCのデータはセカンダリDCにほぼリアルタイムで複製され、災害発生時にはセカンダリに切り替えることができます。
- 可用性:当社は、ハードウェアおよびソフトウェアの障害、ならびにサービス拒否攻撃などの脅威に対応することで、99.9%の稼働率SLAに従ってサービスを利用可能な状態に保つ責任を負います。お客さまは、現在のサイトステータスや過去の障害を確認するために、いつでもstatus.zoho.comにアクセスできます。
- アプリケーションプラットフォームのセキュリティ:Zoho Creatorは、セキュリティ脆弱性のない安全な製品を提供し、お客さまのデータの機密性、完全性、可用性を損なう可能性のある不正アクセス、データ侵害、マルウェア攻撃、その他のセキュリティ脅威からアプリケーションを保護する責任を負います。
- クライアント側およびサーバー側のセキュリティ:当社は、設計段階から製品のセキュリティを重視しています。OWASP標準に基づく堅牢なセキュリティフレームワークをアプリケーション層に実装し、SQLインジェクション、クロスサイトスクリプティング、アプリケーション層のDoS攻撃などの脅威を軽減する機能を提供することで、クライアント側とサーバー側のセキュリティに対応しています。すべてのソフトウェア変更は、顧客に提供される前に承認されます。当社のソフトウェア開発ライフサイクル(SDLC)では、セキュアコーディングガイドラインの遵守に加え、コード解析ツール、脆弱性スキャナー、手動レビューのプロセスによって、コード変更に潜在的なセキュリティ問題がないかを確認することを義務付けています。
- 脆弱性管理:当社には専用の脆弱性管理プロセスがあり、認定済みのサードパーティー製スキャンツールと社内ツールを組み合わせ、自動および手動の侵入テストも活用して、セキュリティ脅威を積極的にスキャンしています。セキュリティ侵害のリスクを低減するため、リスク状況を継続的に再評価しています。
- データセキュリティ
- データ分離:当社は、当社に保存されているお客さまのデータを分離する責任を負います。各顧客のサービスデータは、フレームワーク内の安全なプロトコル群を使用して、他の顧客のデータから論理的に分離されています。
- データの機密性:当社は、当社に保存されているお客さまのデータについて、保管時、転送時、処理時の機密性を確保する責任を負います。
- データの完全性:当社は、お客さまのデータと、ログや設定データなどのシステムデータの両方について、完全性を確保する責任を負います。これを実現するため、転送時の暗号化を適用しています。これは、ブラウザーからWebサーバーへの送信や、連携を通じたその他の第三者への送信を含め、転送中に暗号化されるデータを指します。転送中のデータを暗号化することで、中間者攻撃からデータを保護できます。
- データの追跡可能性:当社は、いつでもデータの物理的な場所と処理状況を把握できるように、お客さまのデータの追跡可能性と管理に責任を負います。
顧客の責任範囲
顧客には、Creatorでデータと資産のセキュリティを確保するために、理解し適切に対応すべき具体的な責任があります。
一般的に、顧客の責任は次のカテゴリーに分類されます。
- クライアントとエンドポイントのセキュリティ:お客さまはエンドポイントのセキュリティに責任を負い、ブラウザーサービス、モバイルOS、モバイルアプリケーションを最新バージョンに更新し、脆弱性に対するパッチを適用することが求められます。エンドポイントのいずれか(ノートPC、デスクトップ、スマートフォンなど)が侵害されると、他のすべての管理項目が無効になります。
- データに関する責任:お客さまには次の責任があります。
- 機密データが誤って一般公開されたり、攻撃者になり得る人物からアクセス可能になったりしていないことを確認すること。アプリにログインするユーザーに対して強力な認可メカニズムを実装し、認可されたユーザーのみがアプリデータにアクセスできるようにする必要があります。
- システムで処理するデータの正確性を維持すること
- お客さま自身または代理の第三者によって、お客さまのZoho Creatorアカウントがスパム行為や違法な活動に使用されず、当社サービスが本来の目的にのみ使用されるようにすること
- パスワード:Creatorにログインしてアクセスするときは、強力なパスワードを作成し、保護する責任があります。
共有責任範囲
セキュリティとコンプライアンスは、Creatorと顧客の間で共有される主な責任の2つです。