Zendeskでは、プライベート情報を確実に保護し安全性を維持するためのさまざまなセキュリティオプションを提供しています。この記事では、セキュリティの一般的なベストプラクティスについて説明します。ベストプラクティスに従って運用し、セキュリティの高い環境を確保するために、エージェントと管理者をトレーニングすることをお勧めします。
インスタンスへの実装をおすすめするセキュリティベストプラクティスについて詳しくは、「Zendesk Suite Actionable Security Guide」を参照してください。
Zendeskインスタンスのセキュリティについて質問がある場合は、Zendeskに直接お問い合わせください。セキュリティ侵害の疑いがある場合は、チケットの件名を「セキュリティ」とし、詳細を記述して送信してください。メールにてsecurity@zendesk.comまでご相談ください。
エージェントのパスワードセキュリティを強化する
Zendeskのパスワードセキュリティには、推奨、高、中、低の4つのレベルがあります。また、カスタムセキュリティレベルを指定することもできます。エンドユーザー向けのセキュリティと、エージェント/管理者向けのセキュリティで、異なるレベルを設定することができます。
Zendeskでは、お客様のアカウントを保護するために、チームメンバーとエンドユーザーのどちらにもパスワードのセキュリティレベルを「推奨」に設定することを強くお勧めします。このセキュリティレベルは厳格なパスワード要件を課し、既知の侵害されたパスワードを照合し、セキュリティのベストプラクティスと業界標準に基づいて構成されています。
パスワード要件を強化することで、権限のないユーザーがエージェントのパスワードを推測できないように防御することができます。また、管理者とエージェントに対しては、Zendeskアカウント専用のパスワードを作成し、外部システムのパスワードを再利用しないように義務付ける必要があります。
エージェントに自分のアカウントの監視するように促します。Zendeskは、エージェントのパスワードが変更されたときに、エージェントにメール通知を送信します。また、新しいデバイスからのログインに対するメールアラートを有効にすることで、エージェントは自分のアカウントを効率的に監視することができます。不審なデバイスで初めてのログインが行われた場合、そのデバイスを削除してユーザーセッションを終了させてから、新しいパスワードを設定してください。
エージェントおよび管理者には2要素認証を要求して、さらなるセキュリティ層を追加します。「2要素認証の使用」の記事へのリンクを含んだメッセージをサポートチームに送信することをお勧めします。
1PasswordやLastPassなどのパスワードマネージャーの使用を検討してください。パスワードマネージャーを使用すると、他のすべてのサイトで使用できる強力な単一パスワードを生成できます。
ユーザー名、メールアドレス、パスワードは開示してはならない
Zendeskのエージェントや管理者は、決して自分のユーザー名やメールアドレス、パスワードを教えてはいけません。
標準のZendeskサインイン認証を使用している場合、パスワードをリセットする唯一の安全な方法は、Zendeskのサインイン画面で「パスワードを忘れた場合」リンクをクリックすることです。このリンクをクリックすると、有効なメールアドレス(アカウントの正規のユーザーであることを確認済みのアドレス)を入力するよう求められます。入力すると、パスワードをリセットできるリンクが記載されたメールが届きます。
Active Directory、Open Directory、LDAP、SAMLなど、サードパーティ製のシングルサインオン認証システムを使用している場合も、これらのサービスを通じて同様の方法でパスワードをリセットできます。
ハッカーは、ソーシャルエンジニアリングの手法を使って、ユーザーのアカウントのパスワードを強引に聞き出そうとすることがあります。ハッカーの中には、正規のメールドメインから送信されたかのようにメールアドレスを偽装するツールを使用してユーザーになりすます者もいます。そのようなツールを使って送られたメールは、ユーザーからの正規のメールリクエストのように見えても、実際のメールアドレスからのメールではない可能性があります。
ユーザーまたは管理者を名乗る人物から連絡があった場合は、IPアドレス(チケットのイベントビューに表示される)をメモし、独自に本人確認を行ってください(たとえば、ユーザープロフィールにある電話番号に電話をかけるなど)。疑わしい場合は、決して機密情報を提供したり、ユーザーの代理でアカウントを変更したりしてはなりません。正規のユーザーであれば、自分でアカウント設定を変更することができます。
このようなタイプのセキュリティリスクについて警戒するよう、エージェントにセキュリティ教育を行ってください。また、このようなインシデントが発生したときに参照できるように、セキュリティポリシーを作成して周知してください。
管理者アクセス権を持つエージェントの数を制限する
管理者は、標準のエージェントがアクセスできないZendeskアカウントの領域にアクセスできます。管理者アクセス権を持つエージェントの数を制限することで、セキュリティリスクを軽減できます。エージェントロールでは、標準的なエージェントがチケットの管理と解決を行うのに必要なアクセス権が提供されます。
既定のエージェントロールを選択することで、エージェントのアクセス権限を拡張することができます。Enterpriseプランでは、カスタムのエージェントロールを独自に作成し、エージェントロールがZendeskのどの部分にアクセスし管理できるかを指定することもできます。これらの権限には制限があります。たとえば、セキュリティ設定へのアクセスは、アカウントオーナーと管理者だけに制限されています。
エンドユーザーに関する情報にエージェントがアクセスすることに懸念がある場合は、ロールを作成し、そのロールにエンドユーザーのプロフィールの編集と、全エンドユーザーの一覧の閲覧を禁止することもできます。
チケット内の個人情報へのアクセスを制限する
Enterpriseプランでは、管理者がグループを非公開にすることができます。これは一般的にグループ内のエージェントだけにアクセスを限定するものですが、管理者とチームリーダーはデフォルトでアクセスでき、エージェントにはプライベートチケットの閲覧を許可することができます。プライベートチケットで作業しているエージェントは、プライベートグループ外のチームメンバーと@メンションしたり、サイドカンバセーションを開くことができません。プライベートチケットのグループを使用すれば、チケット内容の閲覧を大幅に制限できます。
チケット内の個人情報にエージェントがアクセスすることに懸念がある場合は、プライベートグループを作成して、そのグループに適切なエージェントを割り当てて、個人情報を含むチケットを処理するようにします。
シングルサインオンのユーザーをリモートで認証する
Zendeskが提供するユーザー認証に加えて、Zendeskの外部でユーザーを認証するシングルサインオンを使用することもできます。これには、ソーシャルメディアシングルサインオンとエンタープライズシングルサインオンの2つのSSOオプションがあります。
ソーシャルメディアシングルサインオンは、カスタマーによるサインインを、Zendeskアカウントと、GoogleやMicrosoftなどのソーシャルメディアアカウントのどちらからでも行えるようにするものです。これらのオプションは便利ですが、不要なソーシャルログインは非アクティブにしておくことをお勧めします
エンタープライズシングルサインオンはZendeskをバイパスし、ユーザーをZendeskの外部で認証します。ユーザーがZendeskのサインインページに移動したり、リンクをクリックしてZendeskアカウントにアクセスしたりすると、企業のサーバーやOneLoginやOktaなどのサードパーティのIDプロバイダにサインインして認証することができます。
エンタープライズシングルサインオンやソーシャルメディアのシングルサインオンを提供する場合、これらのサービスが提供する2要素認証(「多要素認証」とも呼ばれる)を活用することをお勧めします。このようにすることで、身元証明がもう1種類必要となり、保護レベルを強化できます。JWTまたはSAMLを使用する場合は、Zendeskアカウント側で設定を行う必要があります。ソーシャルメディアシングルサインオンを使用する場合は、ユーザー自身で設定を行う必要があります。ソーシャルメディアサービスの設定に必要な作業については、マニュアルがサービスプロバイダー各社から提供されています。
エージェントとエンドユーザーでは、認証の方法が異なる場合があります。カスタマーやエンドユーザーには簡単にアクセスできるようにしながら、エージェントにはより厳格な認証ポリシーを作成することで、Zendesk Supportのセキュリティを確保することができます。
アカウントの監査ログを監視する
監査ログは、お使いのアカウントに関する重要な変更を記録します。監査ログを使用すると、ユーザーの利用停止、パスワードポリシーの変更、カスタマーデータのエクスポート、カスタムロールの定義の変更をはじめ、さまざまなセキュリティイベントを監視できます。
REST APIを使用している場合のアクセス制限または安全なコーディング方法への順守
Zendesk REST APIおよびZendesk Apps frameworkを使用して、Zendesk Supportインスタンスの機能を拡張できます。
Zendeskインスタンスの機能を拡張する場合は、安全なコーディングに関するベストプラクティスに従うことを強くお勧めします。Open Web Application Security Project(OWASP)がよい参考になります。参照するにはこちらをクリックしてください。
セキュリティ通知用のメールアドレスを入力する
お客様のサービスデータがセキュリティインシデントの影響を受けた場合、所定の期間内にお客様に通知することは、Zendeskの最優先事項であり、法的義務でもあります。組織の中で、セキュリティインシデントの通知を受け取る必要のあるセキュリティ担当者またはグループのメールアドレスを追加します。詳しくは「セキュリティ関連の重要な通知の受信先となるメールアドレスの指定」を参照してください。
4件のコメント
Satoshi Sugiyama
お世話になっております、トーチライトの杉山と申します。
ZENDESKのセキュリティー強化を目的とした質問です。
例えば、全ユーザーのパスワードを6カ月に強制的に変更させることなどは可能でしょうか? 可能でしたらその方法を教えて頂きたく、何卒よろしくお願いいたします。
例)1ヶ月前からパスワード変更の告知をする。
1ヶ月後経っても、パスワードを変更しない方をログインできなくする
などなど
できましたら当社のシステム部の力を借りなくても、
簡単にできるアプリなどがあれば幸いです。
ご教示頂けますよう、何卒よろしくお願い申し上げます。
0
Matthew Feczko
Hi 406546444794 if that's the case, can you please update the original post above and call that out specifically? FYI 27971758087
0
Cheeny Aban
Hi Matthew,
Talk will not work with a VPN setup due to a service that runs in the background called GLL. This service decides on the best network path to run the call through. If you use either of these it will not give the true location of your agents and as such cannot route the call efficiently, potentially leading to latency and other call quality issues. If you must use a VPN or Proxy or MPLS, please exclude traffic for the Zendesk / Twilio domains (including your FQDN subdomain.zendesk.com) and the IP addresses listed in this article to run through VPN. Note: Zendesk Talk is not compatible with virtual desktop environments. For more information, you may check Talk network requirements.
All the best!
0
Matthew Feczko
Would you be able to call out whether you recommend configuring a VPN or not? Historically I believe this was required from a best practices security perspective. But is this still the case? Does VPN work with Talk and Zendesk in general?
0
サインインしてコメントを残してください。