高度な暗号化機能では、企業独自の鍵管理サービス(KMS)を使用してサービスデータを暗号化することで、データのセキュリティを強化します。これにより、Zendeskに保存される機密情報の安全性を確保し、許可されていない第三者がアクセスできないようにします。独自の暗号化キーを管理することで、セキュリティとコンプライアンスを向上させ、アクセス制御を完全に管理できるようになります。
高度な暗号化は、本番環境またはサンドボックス環境のアカウントで有効化できます。Zendeskでは、まずサンドボックス環境でテストすることを推奨しています。詳細については、「高度な暗号化の設定」を参照してください。
この記事では、次のトピックについて説明します。
高度な暗号化の仕組み
高度な暗号化を使用する場合、暗号化キーはZendesk外部で管理されます。AWS KMS、Azure Key Vault、Google Cloud KMS、Thales CipherTrust Manager(EUベースのKMS、ヨーロッパ企業が運用・管理)といった鍵管理サービス(KMS)がサポートされています。
高度な暗号化では、エンベロープ暗号化を使用します。暗号化の際、Zendeskはデータチャンクのデータ暗号化キー(DEK)を生成し、KMSにこのキーの暗号化をリクエストします。その後、平文のキーを破棄し、暗号化されたキーのみを保存します。
Zendeskが暗号化されたデータにアクセスする際、KMS復号化をリクエストします。KMSはマスターキーを使ってデータキーを復号します。この処理はデータ転送中に行われ、データはZendeskに到達した時点で暗号化され、アプリケーションが処理を行う前の段階ですでに保護されています。そして、必要に応じて復号化されるまで、そのまま暗号化された状態が維持されます。
データの暗号化はエージェントの操作に影響を与えません。エージェントは、それぞれのロールに基づいて閲覧が許可されているデータを通常どおり検索し、アクセスすることができます。ただし、一部に制約があります。
Zendeskで暗号化されるデータ
高度な暗号化は、Zendeskアカウント内の新規ユーザーおよび既存ユーザーの暗号化と、データの保管をサポートします。
高度な暗号化は、Zendesk Support、Guide、Talkのエンドユーザーデータの以下のユーザーフィールドを暗号化します。
- 名前
- エイリアス
- 署名
- 説明
- メモ
上記のユーザーフィールドは、Zendesk Supportの以下の領域で暗号化されます。
- エンドユーザー管理
- チームメンバー管理
- チケット関連のユーザーデータ(リクエスタ、CC、フォロワー、担当者)
- グループ・組織のメンバーシップ
- チケットコメントやメール内で、プレースホルダーによって参照されるユーザー情報
- シングルサインオン、Web Widget、メールによるユーザー作成
- チケットビュー
- Supportの検索機能
- トリガと自動化(ビジネスルール)
- メッセージング会話で作成されたSupportユーザー
- サイドカンバセーション
GuideとTalkのすべての機能がカバーされます。ただし、GatherとGuideの@メンション機能は例外で、暗号化が有効になっている場合は無効になります。
標準暗号化との違い
高度な暗号化は、すべてのZendeskアカウントで使用されている標準の暗号化を補完します。
ステータス | 高度な暗号化 | 標準の暗号化 |
---|---|---|
送信時 |
データは、HTTPプロキシ層または同等のエントリポイントで、できるだけ早くカスタマーマネージドキーで暗号化される。 |
Zendesk UIおよびAPIとのすべての通信は、パブリックネットワーク上で業界標準のHTTPSおよびTransport Layer Security(TLS 1.2以上)を使用して暗号化されている。これにより、お客様とZendeskとの間に発生するトラフィックすべてが、伝送中にセキュリティ保護される。 メールの場合、Zendeskはデフォルトで便宜的なTLSを利用する。TLSは、対応するサービスがこのプロトコルをサポートするメールサーバー間で、メールを暗号化して配信し、盗聴を防止する。暗号化の例外には、内蔵SMS機能の使用、またはお客様が選択したその他のサードパーティ製アプリ、インテグレーション、サービスプロバイダーの使用が含まれる。 |
保管時 |
データベース内のデータは暗号化されたままとなる。第三者や外国の政府が稼働中のデータベースへのアクセスを試みた場合、データは暗号文で返される。 |
サービスデータは、AES-256キー暗号化を使用してAWSで暗号化されて保管される。 |
使用時 |
データは使用中も暗号化されたままで、特定のユースケースで必要な場合にのみ復号化される。外部のセキュリティ情報およびイベント管理(SIEM)とのインテグレーションを利用すると、復号化の操作がログに記録され、監査可能。 |
データストアから取得されたデータは平文で処理される。 |
高度な暗号化の制約
高度な暗号化には、注意が必要なトレードオフが伴います。データが暗号化されている場合、機能制限や利用できない機能が発生する可能性があります。
一般的な制約
- 「Zendeskの暗号化されたデータ」に記載されている範囲外の機能(旧バージョンのChat、Sell、QA、インテグレーション、モバイルなど)では、暗号化されたデータが破損したり、UIやAPI応答に暗号化されたデータが表示されたりする可能性があります。これらの理由から、Zendeskは、本番環境でアクティブ化する前に、サンドボックスアカウントで高度な暗号化をアクティブ化してテストすることをお勧めします。
- キーのローテーションはサポートされません。
Supportに対する制限
- チケット共有は現時点ではサポートされていない。
- 暗号化されたアカウントは、アカウントの地域移動の対象外となる。データを別の地域に移動したい場合は、高度な暗号化を有効にする前に移動をリクエストしてください。
- 高度な暗号化の有効化後に作成されたPremiumサンドボックスには、暗号化されたコピーデータが表示される。
- エンドユーザー名が条件に含まれるメッセージングトリガは機能しない。
- スニペットのハイライト、ワイルドカード検索、語句検索、スペースで区切られていない言語(中国語や日本語など)は機能しない。
- 検索の一致とランキングが異なる可能性がある。
- ユーザー名による検索はサイドカンバセーションで機能しない。サイドカンバセーションまたは親チケットの件名で検索してください。
- 暗号化がアクティブになっているアカウントでは、Supportのビューのユーザー名(リクエスタおよび担当者)による並べ替えは無効になる。
- ユーザー名(リクエスタおよび担当者)でグループ化されたSupportビューでは、ユーザー名が正しい順序で表示されない。
- CSVエクスポートでは、ユーザー名の代わりにプレースホルダが表示される。
インポート・エクスポート性能の劣化
- 一括アクションインポーターでインポートされたユーザーは暗号化されないが、データインポーターで追加されたユーザーは暗号化される。
- ユーザーのXMLエクスポートはサポートされないが、CSVとJSONエクスポートはサポートされる。
GatherおよびGuideの機能低下
- @メンション機能が無効になる。
データストレージに関する制限
高度な暗号化は、カスタマーマネージドキー(CMK)を使用して機密データを暗号化する新しい方法を導入しています。Zendeskの機能が侵害されないように、Zendeskサービスは、ブラウザ、REST API、メールを含む多くのチャネルからのリクエストを処理しながら、機密データを復号化します。Zendeskは、平文のデータが永久保存されることはなく、要求を満たすために必要な最小限の期間のみ保持されることを保証します。
現時点での例外を以下に示します。
- Gateway(NGINX+Cloudflare)は、公開ヘルプセンターページを最大3分間保存するが、これにはユーザープロフィールデータが含まれる可能性がある。
- 送信メールは、メールがSMTP(Simple Mail Transfer Protocol)で配信される前に、メール本文を一時的に保存する。
- 受信メールの元のメール本文は、チケットまたはコメントが作成された後も保存され、追加のコラボレーション機能を提供する。
- Exploreのユーザーデータセットは平文で保存される。
- 一括インポートおよびエクスポートファイルは、平文で30日間一時的に保存される。これらのファイルは30日後に削除されます。
- Sunshine Conversationsデータストアのユーザーデータは平文で保存される(Supportのデータストアは暗号化される)。
- リアルタイムサービス(たとえば、エージェントプレゼンスやTalkコールコンソール)のユーザーデータは、エージェントUIをパワーアップするために最大7日間平文で保持される。
- エージェントと管理者のユーザーデータは、カスタマーサポートのために、顧客のセールスケースとサポートケースに平文で表示される。
0件のコメント