Zendeskが提供するパスワードのセキュリティレベルは、「低」、「標準」、「高」の3つに分かれています。また、カスタムセキュリティレベルを指定することもできます。エンドユーザー向けのセキュリティと、エージェント/管理者向けのセキュリティで、異なるレベルを設定することができます。

パスワード要件を強化することで、権限のないユーザーがエージェントのパスワードを推測できないように防御することができます。また、管理者とエージェントに対しては、Zendeskアカウント専用のパスワードを作成し、外部システムのパスワードを再利用しないように義務付ける必要があります。

エージェントに自分のアカウントの監視するように促します。Zendeskは、エージェントのパスワードが変更されたときに、エージェントにメール通知を送信します。また、新しいデバイスからのログインに対するメールアラートを有効にすることで、エージェントは自分のアカウントを効率的に監視することができます。不審なデバイスで初めてのログインが行われた場合、そのデバイスを削除してユーザーセッションを終了させてから、新しいパスワードを設定してください。

エージェントおよび管理者には2要素認証を要求して、さらなるセキュリティ層を追加します。「2要素認証の使用」の記事へのリンクを含んだメッセージをサポートチームに送信することをお勧めします。

Zendeskのエージェントや管理者は、決して自分のユーザー名やメールアドレス、パスワードを教えてはいけません。

標準のZendeskサインイン認証を使用している場合、パスワードをリセットする唯一の安全な方法は、Zendeskのサインイン画面で「パスワードを忘れた場合」リンクをクリックすることです。このリンクをクリックすると、有効なメールアドレス（アカウントの正規のユーザーであることを確認済みのアドレス）を入力するよう求められます。入力すると、パスワードをリセットできるリンクが記載されたメールが届きます。

Active Directory、Open Directory、LDAP、SAMLなど、サードパーティ製のシングルサインオン認証システムを使用している場合も、これらのサービスを通じて同様の方法でパスワードをリセットできます。

ハッカーは、ソーシャルエンジニアリングの手法を使って、ユーザーのアカウントのパスワードを強引に聞き出そうとすることがあります。ハッカーの中には、正規のメールドメインから送信されたかのようにメールアドレスを偽装するツールを使用してユーザーになりすます者もいます。そのようなツールを使って送られたメールは、ユーザーからの正規のメールリクエストのように見えても、実際のメールアドレスからのメールではない可能性があります。

ユーザーまたは管理者を名乗る人物から連絡があった場合は、IPアドレス（チケットのイベントビューに表示される）をメモし、独自に本人確認を行ってください（たとえば、ユーザープロフィールにある電話番号に電話をかけるなど）。疑わしい場合は、決して機密情報を提供したり、ユーザーの代理でアカウントを変更したりしてはなりません。正規のユーザーであれば、自分でアカウント設定を変更することができます。

このようなタイプのセキュリティリスクについて警戒するよう、エージェントにセキュリティ教育を行ってください。また、このようなインシデントが発生したときに参照できるように、セキュリティポリシーを作成して周知してください。

管理者は、標準のエージェントがアクセスできないZendeskアカウントの領域にアクセスできます。管理者アクセス権を持つエージェントの数を制限することで、セキュリティリスクを軽減できます。エージェントロールでは、標準的なエージェントがチケットの管理と解決を行うのに必要なアクセス権が提供されます。

既定のエージェントロールを選択することで、エージェントのアクセス権限を拡張することができます。また、カスタムのエージェントロールを独自に作成し、エージェントロールがZendeskのどの部分にアクセスし管理できるかを指定することもできます。これらの権限には制限があります。たとえば、セキュリティ設定へのアクセスは、アカウントオーナーと管理者だけに制限されています。

エンドユーザーに関する情報にエージェントがアクセスすることに懸念がある場合は、ロールを作成し、そのロールにエンドユーザーのプロフィールの編集と、全エンドユーザーの一覧の閲覧を禁止することもできます。

Zendeskが提供するユーザー認証に加えて、Zendeskの外部でユーザーを認証するシングルサインオンを使用することもできます。これには、ソーシャルメディアシングルサインオンとエンタープライズシングルサインオンの2つのSSOオプションがあります。

ソーシャルメディアシングルサインオンは、カスタマーによるサインインを、Zendeskアカウントと、GoogleやMicrosoftなどのソーシャルメディアアカウントのどちらからでも行えるようにするものです。これらのオプションは便利ですが、不要なソーシャルログインは非アクティブにしておくことをお勧めします

エンタープライズシングルサインオンはZendeskをバイパスし、ユーザーをZendeskの外部で認証します。ユーザーがZendeskのサインインページに移動したり、リンクをクリックしてZendeskアカウントにアクセスしたりすると、企業のサーバーやOneLoginやOktaなどのサードパーティのIDプロバイダにサインインして認証することができます。

エンタープライズシングルサインオンやソーシャルメディアのシングルサインオンを提供する場合、これらのサービスが提供する2要素認証（「多要素認証」とも呼ばれる）を活用することをお勧めします。このようにすることで、身元証明がもう1種類必要となり、保護レベルを強化できます。JWTまたはSAMLを使用する場合は、Zendeskアカウント側で設定を行う必要があります。ソーシャルメディアシングルサインオンを使用する場合は、ユーザー自身で設定を行う必要があります。ソーシャルメディアサービスの設定に必要な作業については、マニュアルがサービスプロバイダー各社から提供されています。

エージェントとエンドユーザーでは、認証の方法が異なる場合があります。カスタマーやエンドユーザーには簡単にアクセスできるようにしながら、エージェントにはより厳格な認証ポリシーを作成することで、Zendesk Supportのセキュリティを確保することができます。

監査ログは、お使いのアカウントに関する重要な変更を記録します。監査ログを使用すると、ユーザーの利用停止、パスワードポリシーの変更、カスタマーデータのエクスポート、カスタムロールの定義の変更をはじめ、さまざまなセキュリティイベントを監視できます。

Zendesk REST APIおよびZendesk Apps frameworkを使用して、Zendesk Supportインスタンスの機能を拡張できます。

Zendeskインスタンスの機能を拡張する場合は、安全なコーディングに関するベストプラクティスに従うことを強くお勧めします。Open Web Application Security Project（OWASP）がよい参考になります。参照するにはこちらをクリックしてください。