Twilioセキュリティ概要書 (Security Overview)
この日本語版は、参照することのみを目的とした翻訳版であり 「こちらへ」、本契約の英語版と日本語版に異なる点がある場合には、英語版が優先します。
THIS JAPANESE VERSION OF TWILIO JAPAN’S SECURITY OVERVIEW IS PROVIDED AS A REFERENCE ONLY. IN THE EVENT OF ANY DIFFERENCES BETWEEN THE ENGLISH AND JAPANESE VERSIONS, THE ENGLISH VERSION [HERE] SHALL CONTROL.
最終更新: 2024年11月12日
本セキュリティ概要書(「セキュリティ概要書」)は、当社とお客様との本サービス(以下で定義)の使用に関する契約(当該契約に定める個人データの処理に適用される条項を含みます(総称して「本契約」といいます))に統合されており、またその一部です。本契約で使用されているが定義されていない大文字で始まる用語は、本契約に定める意味を有します。
1.定義
「カスタマーデータ」とは、(a)お客様による本サービスの利用に関連して、お客様もしくは本サービスのユーザーが、お客様の提供する製品および本サービスを介して当社に提供するデータ、または(b)本サービスの一部としてお客様による利用のために生成されたデータを意味します。
「セグメントサービス」とは、「セグメント」、「Twilioセグメント」または「Twilio Engage」のブランドを有しているあらゆるサービスまたはアプリケーションプログラミングインターフェイスをいいます。
「SendGrid サービス」とは、「SendGrid」または「Twilio SendGrid」のブランドを有しているあらゆるサービスまたはアプリケーションプログラミングインターフェイスをいいます。
「本サービス」とは、総称してTwilioサービス(以下で定義)、SendGridサービスまたはセグメントサービスをいいます。
「Twilioサービス」とは、「Twilio」のブランドを有しているあらゆるサービスまたはアプリケーションプログラミングインターフェイスをいいます。
2. 目的。 本セキュリティ概要書では、(a)不正使用、不正アクセス、不正開示または窃取からカスタマーデータ、および(b)本サービスを保護するために、当社のセキュリティ体制(当社のセキュリティ認証、自己認証および技術的で組織的なセキュリティ管理を含みます)について説明します。セキュリティ上の脅威は時間の経過と共に変転するため、当社は、業界の最良慣行に従ってセキュリティ体制およびセキュリティ戦略を継続的に更新しカスタマーデータや本サービスを保護しています。それにより、当社は本セキュリティ概要書を随時更新する権利を有しますが、本セキュリティ概要書に記載した全体的な保護の水準を大きく引き下げる更新は行いません。本セキュリティ概要書の最新規約は、https://www.twilio.com/ja-jp/legal/security-overviewから入手できます。(a)「アルファ」、「ベータ」、「一般的に提供されない」、「限定公開」または「開発者プレビュー」として指定された本サービスまたは当社が提供する他の同様の本サービス、および(b)電気通信事業者が提供するサービスについては、本セキュリティ概要書の対象外となります。
3. セキュリティに関する組織および制度。 当社は、ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)に基づいて、リスクベース評価によるセキュリティ体制を整備・運営しています。この体制には、管理上の保護措置、技術的保護措置、組織の保護措置および物理的保護措置などがあり、これらは本サービス、ならびにカスタマーデータの安全性、機密性、完全性および可用性を保護する目的を十分に考慮したものとなっています。当社のセキュリティ体制は、本サービスおよびその性質ならびに当社事業の規模および複雑性に適したものであることを目指しています。当社はセキュリティ体制を管理・運営する独立した専門の情報セキュリティチーム(第三者が実行する独立した監査および評価の円滑化および支援に努めているチームを含みます)を擁しています。当社においてセキュリティ体制を担当するのは最高位の経営陣であり、当社の最高情報セキュリティ責任者が経営幹部と定期的に会合を開いてセキュリティ関連の問題を協議し全社的なセキュリティの取り組みについて管理を行っています。当社の情報セキュリティに関する指針および基準については、当社の経営幹部が年1回以上の定期的な見直しおよび承認を行っています。
4. 人的セキュリティおよび新人研修。 当社は、(a)業界の最良慣行に沿うように定期的に更新される包括的なポリシー、手順および統制策を維持し、かつ(b)当社の全ての従業員がかかるポリシーおよび手順に用意にアクセスできるようにします。当社の全ての従業員は、以下の最低限のセキュリティ対策の対象となります。
(i)当社の全ての新入社員を対象に、現地の準拠法に従って、認定された第三者の身元調査提供者によって採用前に実施される身元調査(学歴および職歴の確認と関係者への照会を含みます)を実施し、かつ現地法で許可され、当該職務に適用される場合は、犯罪歴、信用調査および労働権の確認を実施する。
(ii)秘密保持契約を締結する。
(iii)セキュリティおよびプライバシーに関する必須の研修を毎年受講させる。当社の休職中の従業員には期限を延長して提供する。
(iv)匿名の通報が法令上許可されている場合には、当社の従業員が非倫理的行為を報告するための匿名ホットラインを維持し、継続的に監視する。
(v)セキュリティ関連インシデントのシミュレーション(例えばフィッシングキャンペーン)を含め、様々な媒体を通じて、日々増大するセキュリティ上の脅威について意識を向上させる。
(vi)第10.1条(アクセス権のプロビジョニング)およびカスタマーデータの処理と保護に適用される当社の社内標準運用手順に従って、カスタマーデータへのアクセスを制御し、当社の承認済み従業員のみに厳格に制限する。
5. 物理的セキュリティ。 当社は、定期的に見直される物理的セキュリティポリシーに基づき、オフィスにおける強力な物理的セキュリティ管理を維持しています。当社の物理的セキュリティポリシーは、当社のオフィスへの不正アクセスを防止し、当社の物理的資産を保護するために必要な基本的な物理的セキュリティ管理を定めています。当社の物理的セキュリティポリシーは、アクセス制御、従業員および請負業者のバッジ要件、IT機器の保護、勤務時間外の監視などの分野を対象としています。当社は、本セキュリティ概要書第8条(ホスティングアーキテクチャおよびデータの分離)において特定されるインフラストラクチャープロバイダーに対し、最低でもSOC 2基準に準拠した物理的なセキュリティ基準を維持するよう求めています。
6. サードパーティーベンダー管理。 当社はサードパーティーベンダーを利用して本サービスを提供する場合があります。当社は、サードパーティベンダーが提供するサービスの種類および関連するセキュリティ関連のリスクに応じて、適切な技術的および組織的なセキュリティ管理を適用する包括的なベンダー管理プログラムを実施しています。予定するサードパーティベンダーは、当社との関係が続く限り、当社の厳格な機密保持、セキュリティおよびプライバシー要件を遵守し、かつ将来において遵守し続けることを保証するプロセスを通じて、徹底的に審査されます。カスタマーデータを処理するサードパーティベンダーは、より厳格な技術的および組織的セキュリティ管理の対象となり、かかるセキュリティ管理は、(a)当社と当該サードパーティベンダーとの契約に反映され、(b)継続的な遵守を確実にするために当社によって定期的に監査されます。また、当社は、(i)当社のセキュリティおよび事業継続に関する基準に照らして各サードパーティベンダーについて、(ii)各サードパーティベンダーによるカスタマーデータへのアクセス、ならびにカスタマーデータを保護するための技術的および組織的なセキュリティ管理について、また(iii)当社のセキュリティ体制またはカスタマーデータの処理に影響を与える法令上または規制上の要件の進化について、定期的な評価を行っています。当社の現在のサブプロセッサーであるサードパーティベンダーは、https://www.twilio.com/en-us/legal/sub-processorsで閲覧できます。なお、電気通信事業者は当社のサードパーティーベンダーおよびサブプロセッサーとはみなしません。
7. セキュリティ認証。 当社は、以下のセキュリティ関連の認証を取得しています。
認証
対象サービス
ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018
Twilioサービス
セグメントサービス
SOC 2 タイプ 2
全ての本サービス
PCI DSS レベル1
Voice<Pay>およびSIPインターフェイス(いずれもTwilioサービスのTwilio Programmable Voice部分からアクセス可能)
当社のセキュリティ認証、およびその他の関連セキュリティ文書に関する追加情報については、次の該当するTrust Centerを訪問してください。
- TwilioサービスおよびSendGridサービスのTrust Center:https://security.twilio.com
- セグメントサービスのTrust Center:https://security.segment.com
8. ホスティングアーキテクチャおよびデータの分離
8.1 インフラストラクチャーおよびコロケーションプロバイダー 以下に記載する特定の本サービスは、該当する業界をリードするインフラストラクチャーまたはコロケーションプロバイダーによってホストされています。インフラストラクチャーおよびコロケーションプロバイダーの技術的および組織的なセキュリティ管理に関する情報も、以下から入手できます。
|
インフラストラクチャープロバイダー |
対象サービス |
インフラストラクチャープロバイダーの技術的および組織的セキュリティ管理 |
|---|---|---|
|
Amazonウェブサービス (「AWS」) |
全ての本サービス |
|
|
Googleクラウドプラットフォーム(「GCP」) |
セグメントサービス、TwilioサービスのうちモバイルIDおよび認証サービス部分(ただしTwilio Verifyを除く) |
|
コロケーションプロバイダー |
対象サービス |
コロケーションプロバイダーの技術的および組織的セキュリティ管理 |
|---|---|---|
|
Databank |
SendGridサービス |
|
|
Lumen |
SendGridサービス |
|
|
Digital Realty |
SendGridサービス |
8.2 実稼働環境およびカスタマーデータへのアクセス 上記のインフラストラクチャープロバイダーによってホストされている本サービスの実稼働環境は、仮想プライベートクラウド(VPC)内で論理的に隔離され、カスタマーデータは常に暗号化されています。インフラストラクチャープロバイダーは、米国でホストされています。前述のインフラストラクチャーおよびコロケーションプロバイダーは、暗号化されていないカスタマーデータにはアクセスできません。実稼働環境内のホスト間のネットワークアクセスは全てアクセス制御メカニズムおよび最小特権の原則により制限しており、承認されたサービスに限り実稼働環境内での相互通信を許可しています。アクセス制御リストは、当社のホスティング環境内の実稼働環境および企業環境の異なるセキュリティゾーン間のネットワーク分離を管理するために使用しています。アクセス制御リストは定期的に見直しを行っています。当社は、論理識別子を使用してカスタマーデータを区別します。カスタマーデータには、そのカスタマーデータの所有権を区別するために、お客様に割り当てられた一意の顧客識別子のタグが付けられています。Twilio アプリケーションプログラミングインターフェイスは、こうしたタグへのアクセスとタグからのアクセスのみを識別して許可するように、設計され構築されています。これらの統制策は、他のお客様がカスタマーデータにアクセスするのを防ぎます。
9. セキュリティバイデザイン。 当社は、本サービスを設計する際に、セキュリティバイデザインの原則に従います。当社はまた、Twilioセキュアソフトウェア開発ライフサイクル(Secure SDLC)標準を適用し、要件の収集や製品設計から製品の展開に至るまで、製品作成ライフサイクルのさまざまなフェーズにおいて、本サービスのセキュリティに関するアクティビティを多数実行します。こうしたアクティビティには、以下のパフォーマンスが含まれますが、これらに限定されません。(a)新しい本サービスまたはコードが展開される前の社内セキュリティ評価、(b)新しい本サービスに対して独立の第三者により行われるペネトレーションテスト、および(c)新しい本サービスの脅威分析による潜在的なセキュリティの脅威と脆弱性の検出。
10. アクセス権の管理
10.1 アクセス権のプロビジョニング 当社は、システムへのアクセス権のプロビジョニングを行う際には、チームベースのアクセス制御メカニズムを通じて最小特権の原則に従って、カスタマーデータの不正な露出のリスクを最小化しています。当社の従業員がカスタマーデータへのアクセス権の付与を受ける場合は、事前に承認を受ける必要があり、職務または職責上具体的に必要であるか否かによって制限されます。本サービスの実稼働環境への時間ベースでないアクセス権は少なくとも四半期毎に見直しを行っています。カスタマーデータに対する従業員または下請業者のアクセス権は雇用終了時に直ちに廃止します。承認済みユーザーが本サービスの実稼働環境にアクセスする場合は、一意のユーザー名およびパスワード、多要素認証の使用が必要です。承認済みユーザーが本サービスの実稼働環境へのアクセス権の付与を受ける場合は、事前に管理職からアクセスの承認を受ける必要があります。さらに、承認済ユーザーには実稼働環境へのアクセスに関する社内研修(本サービスの実稼働環境とのインターフェイスとなり、またはかかる環境へのアクセスを許可する関連システムの適切な利用に関するトレーニングを含みます)の受講を義務づけています。当社は本サービスの実稼働環境における高リスク行為および変更を記録しています。当社は、自動化の活用により、社内の技術的基準からの逸脱であって特異および/または不正な行為の兆候を示すものを発見し、設定変更から数分以内に警告を発するよう図っています。
10.2 パスワードの管理 従業員のパスワード管理に関する当社の方針は、少なくともNIST 800-63Bの指針に準拠しており、より長い文字、特殊記号および多要素認証の使用を義務づけています。さらに、お客様によるアカウントへのログイン時には、ユーザーの認証情報を保存する前に当該情報をハッシュ化しています。また、お客様は、お客様のユーザーに対して、二要素認証(2FA)の使用により当該ユーザーのアカウントに別のセキュリティのレイヤーを追加するよう義務づける必要があります。
11. 変更の管理。 当社には、基盤となるソフトウェア、アプリケーション、システムへの変更など、本サービスの実稼働環境への変更を管理するための正式な変更管理プロセスがあります。各変更は、本サービスの実稼働環境に展開される前に、テスト環境で慎重にレビューおよび評価されます。テスト環境での変更の評価などの全ての変更は、正式な監査可能な記録システムを使用して文書化されます。本サービスの全体的なセキュリティへの影響を評価するために、リスクの高い全ての変更に対して厳密な評価が実行されます。リスクの高い変更に対する展開の承認は、適切な組織の利害関係者から要求されます。 計画と手順は、本サービスのセキュリティを維持するために展開された変更をロールバックする必要がある場合にも実装されます。
12.暗号化
12.1 転送中の暗号化 カスタマーデータはTLS v1.2を使用してお客様のソフトウェアアプリケーションとサービスの間で転送されるときに暗号化されます。さらに、SendGridサービスの場合、当社は、お客様のソフトウェアアプリケーションと受信者のメールサーバー間で転送されるメールに便宜的なTLS v1.1以降を提供します。SendGridサービスは、受信者にメールを配信しようとするときに、アウトバウンドTLS v1.1以降を便宜的に試すように設計されています。これにより、受信者のメールサーバーがインバウンドTLS v1.1以降の接続を受け入れる場合、当社はTLS暗号化接続によりメールを配信します。受信者のメールサーバーがTLSに対応していない場合、当社はデフォルトの暗号化されていない接続によりメールを配信します。SendGridサービスは、お客様がTLS暗号化を実施できるように、有効にする必要のあるオプション機能を提供します。お客様が強制TLS機能を有効にした場合、当社は受信者のメールサーバーがインバウンドTLS v1.1以降の接続を受け入れる場合にのみ、受信者にメールを配信します。SendGridサービスにおける強制TLS機能の有効化についての詳細は、https://www.twilio.com/docs/sendgrid/api-reference/settings-enforced-tls/update-enforced-tls-settingsから入手できます。
12.2 保存中の暗号化 カスタマーデータは、Advanced Encryption Standardを使用してAWSおよびGCPにおいて保存中に暗号化されます。
13. 脆弱性管理。 当社はセキュリティ上の脆弱性のリスクを短期間で軽減する統制策および方針を導入し、リスクと事業および運営上の要請とのバランスを図っています。当社はサードパーティー製のツールを使用して定期的に脆弱性のスキャンを実施し、当社のホスティング環境および社内システムにおける脆弱性の評価を行っています。重要なソフトウェアパッチについては評価、テストおよび予防的な適用を行っています。ベース仮想マシンイメージの再生成によりオペレーティングシステムのパッチを適用し、事前に決定したスケジュールに従ってTwilioクラスタの全てのノードに展開しています。リスクの高いパッチについては、当社は社内で開発したオーケストレーションツールにより既存のノードに直接展開しています。
14. ペネトレーションテスト。 当社は自らペネトレーションテストを行うほか、独立の認定された第三者に依頼してアプリケーションレベルでのペネトレーションテストを行っています。検出されたセキュリティの脅威と脆弱性は、優先順位が付けられ、選別され、迅速に修正されます。さらに、Bug Crowdで行われる当社のBug Bounty Programにより、独立系のセキュリティ研究者は、セキュリティの脅威と脆弱性を継続的に報告できます。
15. セキュリティ事象管理
15.1 防止措置 当社はNIST SP 800-61に従ってセキュリティ事象管理に関する指針および手順を策定し維持・管理しています。Twilioのセキュリティインシデント対応チーム(T-SIRT)は、関連するセキュリティの脅威と脆弱性を評価し、適切な修復および緩和対策を確立します。当社は、セキュリティログを180日間保存します。このセキュリティログにはT-SIRTに限りアクセス可能です。当社はサードパーティー製ツールを活用して分散型サービス拒否(DDoS)攻撃の検出および影響緩和を行い、攻撃の防止に役立てています。
15.2 インシデント対応 当社は、セキュリティインシデント(本契約に定義)の調査を、インシデントが発見され次第、迅速に行います。適用法令上許可されている範囲で、当社は、本契約に従ってお客様にセキュリティインシデントを通知します。セキュリティインシデントの通知は、お客様がアカウントで指定したメールアドレスに提供されます。当社は、適用法令を遵守して、その後の対応の指針となる一連のポリシー、手順、基準およびツールを定義しています。これには、義務付けられている場合の顧客への通知、法執行機関との調整、および必要に応じて適切なプライバシーおよびその他の規制機関への宣言が含まれます。
16. レジリエンスおよびサービスの継続性
16.1 レジリエンス 当社は、そのインフラストラクチャープロバイダー内で地理的に多様な複数の領域を利用しており、これらの各領域内に故障に依存しない複数のアベイラビリティゾーンを設定し、単一のデータセンターで発生した障害が本サービスの可用性に影響しないようにしています。これにより、当社は、ホストまたはデータセンターで発生した問題をリアルタイムで検出し、回避することができます。また、最新のバックアップからホストを再生成することができるオーケストレーションツールを採用しています。
16.2 サービスの継続性 当社は、本サービスのホスティングインフラストラクチャー内で使用可能な専門的なツールを活用して各アベイラビリティゾーンおよびコロケーションデータセンターにおけるサーバーパフォーマンス、データおよびトラフィック負荷容量のモニタリングを行っています。アベイラビリティゾーンまたはコロケーションデータセンター内のサーバー上でサーバーパフォーマンスが最適状態を下回った場合または容量の過負荷が検出された場合には、こうしたツールにより容量の増加またはトラフィックのシフトを行って最適未満のサーバーパフォーマンスまたは容量の過負荷を緩和します。サーバーのパフォーマンスが最適でない場合や容量が過負荷になった場合も、当社に直ちに通知されます。
17.カスタマーデータバックアップ。 当社は、AWSのデータセンターインフラストラクチャーでホストされているカスタマーデータを定期的にバックアップします。バックアップされたカスタマーデータは、複数のアベイラビリティゾーンにわたって重複して保存され、暗号化されるカスタマーデータの種類に基づく最新の暗号化標準を使用して転送中および保存中に暗号化されます。