Twilioセキュリティ概要書 (Security Overview)

この日本語版は、参照することのみを目的とした翻訳版であり 「こちらへ」、本契約の英語版と日本語版に異なる点がある場合には、英語版が優先します。

THIS JAPANESE VERSION OF TWILIO JAPAN’S SECURITY OVERVIEW IS PROVIDED AS A REFERENCE ONLY. IN THE EVENT OF ANY DIFFERENCES BETWEEN THE ENGLISH AND JAPANESE VERSIONS, THE ENGLISH VERSION [HERE] SHALL CONTROL.

最終更新: 2022年7月12日

本セキュリティ概要書(「セキュリティ概要書」)は、当社とお客様とでサービスの使用に関する契約(「契約」、以下で定義するとおり)に統合されており、またその一部です。

1.定義

セグメントサービス」とは、「セグメント」または「Twilioセグメント」のブランドを有しているあらゆるサービスまたはアプリケーションプログラミングインターフェイスの意味を定義します。

SendGrid サービス」とは、「SendGrid」または「Twilio SendGrid」のブランドを有しているあらゆるサービスまたはアプリケーションプログラミングインターフェイスの意味を定義します。

サービス」とは、本セキュリティ概要書において、総称してTwilioサービス(以下で定義するとおり)、SendGridサービスまたはセグメントサービスの意味を定義します。

Twilioサービス」とは、「Twilio」のブランドを有しているあらゆるサービスまたはアプリケーションプログラミングインターフェイスの意味を定義します。念のために明記すると、「Twilio」のブランドが付いたモバイルIDおよび認証サービス(「ID認証サービス」)については、本セキュリティ概要書の対象外となります。ID 認証サービスのセキュリティ概要書については、https://www.twilio.com/legal/service-country-specific-terms/identity-verification/security-overview で閲覧できます。

2. 目的。 本セキュリティ概要書では、(a)不正使用、不正アクセス、不正開示または窃取からカスタマーデータ、および(b)サービスを保護するために、Twilioのセキュリティプログラム、セキュリティ認証、技術的で組織的なセキュリティ管理について説明します。セキュリティ上の脅威は変転するため、当社はセキュリティ体制およびセキュリティ戦略を継続的に更新しカスタマーデータやサービスの保護に役立てています。それにより、当社は本セキュリティ概要書を随時更新する権利を有しますが、本セキュリティ概要書に記載した全体的な保護の水準を大きく引き下げる更新は行いません。本セキュリティ概要書の最新規約は、https://www.twilio.com/legal/security-overview から入手できます。(a)「アルファ」、「ベータ」、「一般的に提供されない」、「限定公開」または「開発者プレビュー」として指定されたまたは他の同様のTwilioが提供するサービス、および(b)電気通信事業者が提供する通信サービスについては、本セキュリティ概要書の対象外となります。

3. セキュリティに関する組織および制度。 当社はリスクベース評価によるセキュリティ体制を整備・運営しています。当社のセキュリティ体制の枠組みとしては管理上の保護措置、組織の保護措置、技術的保護措置および物理的保護措置などがあり、これらはサービス、ならびにカスタマーデータの機密性、完全性および可用性を保護する目的を十分に考慮したものとなっています。当社のセキュリティ体制は、サービスおよびその性質ならびに当社事業の規模および複雑性に適したものであることを目指しています。当社はセキュリティ体制を管理・運営する独立した専門の情報セキュリティチームを擁しています。第三者が実行する独立した監査および評価の円滑化および支援に努めているチームも擁しています。当社のセキュリティ体制の枠組みはISO 27001(情報セキュリティマネジメントシステム)に基づいており、指針および手順、資産管理、アクセス管理、暗号化、物理的セキュリティ、運用セキュリティ、通信セキュリティ、事業継続・災害復旧セキュリティ、人的セキュリティ、製品セキュリティ、クラウドおよびネットワークインフラストラクチャーのセキュリティ、セキュリティコンプライアンス、サードパーティーセキュリティ、脆弱性管理およびセキュリティ監視ならびにインシデントレスポンスなどを対象とする制度を含んでいます。当社においてセキュリティを担当するのは最高位の経営陣であり、当社の最高情報セキュリティ責任者(CISO)が執行責任者らと定期的に会合を開いて問題を協議し全社的なセキュリティの取り組みについて管理を行っています。情報セキュリティに関する指針および基準については、経営陣が年1回以上の定期的な見直しおよび承認を行い、当社従業員が閲覧できるよう公開しています。

4. 機密保持。 当社は本セキュリティ概要書に従って、カスタマーデータの機密保持を図る統制策を導入しています。当社の全ての従業員および業務受託者はカスタマーデータの機密保持に関する当社社内指針の適用対象であり、それらの義務を遵守する義務があります。

5. 人的セキュリティ

5.1 従業員の身元調査。 当社は現地の準拠法に従って、採用する際に全ての新入社員の身元調査を行います。当社は現在、新入社員の学歴および職歴を確認しているほか、関係者への照会を行っています。適用法令上許可されている範囲で、当社は新入社員の職務の特質と範囲に応じて、犯罪歴、信用調査、入国審査、および保安検査を実施する場合もあります。

5.2 従業員の研修。 当社は従業員に、セキュリティおよびプライバシーに関する研修を年1回以上受講することを義務づけています。この研修は当社のセキュリティ指針、セキュリティ上の最良慣行およびプライバシー原則を対象としたものです。休暇中の従業員についてはこの年次研修の期限を延長する場合があります。そのほか、当社のセキュリティ専門チームがフィッシングへの意識向上を図るキャンペーンを実施し、日々増大する脅威について従業員に周知しています。また、当社は従業員向けの匿名ホットラインを開設しており、匿名の通報が法令上許可されている場合には非倫理的行為に関する従業員からの通報を受け付けています。

6. サードパーティーベンダー管理

6.1 ベンダー評価。 当社はサードパーティーベンダーからサービスの提供を受けています。当社は、協業を予定するベンダーについて協業開始前にセキュリティリスクベースの評価を実施し、当社のセキュリティ要件を充足していることを検証しています。当社は当社のセキュリティおよび事業継続に関する基準に照らして各ベンダーの定期的な評価を行っています。評価項目にはアクセス権の種類およびアクセスの対象となるデータの分類(もしあれば)、データ保護に必要な統制策または法令上の要件などを含みます。当社はベンダーとの関係終了時にカスタマーデータの返却や削除が行われるよう万全を期しています。なお、電気通信事業者は当社の下請契約者およびサードパーティーベンダーとはみなしません。

6.2 ベンダー契約。 当社は、機密保持、プライバシーおよびセキュリティ上の義務規定であってベンダーが取扱うカスタマーデータの保護を義務づける規定を採用した契約を全てのベンダーと締結しています。

7. セキュリティ認証。 当社は、以下のセキュリティ関連の認証を取得しています。

認証

対象サービス


ISO/IEC 27001

Twilioサービス
セグメントサービス


ISO/IEC 27017、および27018

Twilioサービス
セグメントサービス


SOC 2 Type II
(信頼サービスの原則: セキュリティと可用性)

Twilioの各種サービス: Programmable Voice、Programmable Messaging、Programmable Video、Authy
SendGridサービス
セグメントサービス


PCI DSS レベル1

以下のTwilioサービス:Programmable Voice


PCI DSS レベル4

SendGridサービス

8. ホスティングアーキテクチャおよびデータの分離

8.1 Amazonウェブサービス・Googleクラウドプラットフォーム。 Twilioサービスおよびセグメントサービスは米国に所在するAmazonウェブサービス(「AWS」)にホストされ、Amazonのセキュリティ・環境コントロールに保護されています。Twilioサービス、セグメントサービスおよびカスタマーデータがホストされるAWS内の実稼働環境は論理的に隔離された仮想プライベートクラウド(VPC)です。AWSに保存されたカスタマーデータは常に暗号化されています。AWSは暗号化されていないカスタマーデータにアクセスできません。AWSセキュリティに関する追加情報は、https://aws.amazon.com/security/ および http://aws.amazon.com/security/sharing-the-security-responsibility から入手できます。AWS SOCレポートにつきましては、https://aws.amazon.com/compliance/soc-faqs をご参考ください。セグメントサービスについては、米国に所在するGoogleクラウドプラットフォーム(「GCP」)にもホストされます。セグメントサービスおよびカスタマーデータがホストされるGCP内の実稼働環境は論理的に隔離されたVPCです。GCPに保存されたカスタマーデータは常に暗号化されています。GCPは暗号化されていないカスタマーデータにアクセスできません。GCPセキュリティに関する追加情報は、https://cloud.google.com/architecture#security から入手できます。

8.2 Zayo・Lumen。SendGridサービスは、米国に所在するZayoおよびLumen(旧Centurylink)が提供するコロケーションデータセンターを活用しています。このコロケーションデータセンターには、カスタマーデータが保管されていません。

8.3 サービス。 本サービスについて、実稼働ホスト間のネットワークアクセスは全てアクセス制御リストにより制限しており、承認されたサービスに限り実稼働ネットワークでの相互通信を許可しています。アクセス制御リストは実稼働環境および企業環境の異なるセキュリティゾーン間のネットワーク分離を管理するために使用しています。アクセス制御リストは定期的に見直しを行っています。当社は、論理識別子を使用してカスタマーデータを区別します。カスタマーデータには、そのカスタマーデータの所有権を区別するために、お客様に割り当てられた一意の顧客識別子のタグが付けられています。Twilio APIは、こうしたタグへのアクセスとタグからのアクセスのみを識別して許可するように、設計され構築されています。これらの統制策は、他のお客様がカスタマーデータにアクセスするのを防ぎます。

9.物理的セキュリティ。 AWS、ZayoおよびLumenデータセンター、ならびにGCPでは、専門の警備員が外周および建物の進入可能地点で監視カメラ、侵入検知システムおよびその他の電子的手段により厳重な警備を行っています。承認済みスタッフがデータセンター屋内に立ち入るには少なくとも2回の二要素認証(2FA)を通過する必要があります。来客および業務受託者には身分証の提示および署名ならびに承認済みスタッフの常時帯同を義務づけています。これらの施設は悪天候その他の通常予見可能な自然条件に耐えるように設計しています。各データセンターには年中無休かつ一日24時間利用可能な冗長電源システムを設置しています。停電時には無停電電源装置および構内の自家発電設備により予備の電力を供給できます。また、当社の本社およびオフィス区域では物理的セキュリティ体制を導入して来客、建物入口および閉回路TVの管理その他全体的なオフィスのセキュリティ確保を図っています。従業員、業務受託者および来客にはIDバッジの着用を義務づけています。

10. セキュリティバイデザイン。 当社は、サービスを設計する際に、セキュリティバイデザインの原則に従います。当社はまた、Twilioセキュアソフトウェア開発ライフサイクル(Secure SDLC)標準を適用し、要件の収集や製品設計から製品の展開に至るまで、製品作成ライフサイクルのさまざまなフェーズにおいて、サービスのセキュリティに関するアクティビティを多数実行します。こうしたアクティビティには、以下のパフォーマンスが含まれますが、これらに限定されません。(a)新しいサービスまたはコードが展開される前の社内セキュリティ評価、(b)新サービスに対して独立の第三者により行われるペネトレーションテスト、および(c)新しいサービスの脅威分析による潜在的なセキュリティの脅威と脆弱性の検出。

11. アクセス権の管理

11.1 アクセス権のプロビジョニング。 当社は、データ露出のリスクを最小化するため、システムへのアクセス権のプロビジョニングを行う際には、チームベースのアクセス制御モデルを通じて最小特権の原則に従っています。当社の人員には職能、役職および職責に応じてカスタマーデータへのアクセスを許可しており、カスタマーデータにアクセスする場合は承認を受けることを義務づけています。実稼働環境への時間ベースでないアクセス権は半年に1回以上の見直しを行っています。カスタマーデータに対する従業員のアクセス権は雇用終了時に直ちに廃止します。承認済みユーザーが実稼働環境にアクセスする場合は、一意のユーザー名およびパスワード、多要素認証の使用が必要です。エンジニアが実稼働環境へのアクセス権の付与を受ける場合は、事前に管理職からアクセスの承認を受ける必要があるほか、エンジニアには実稼働環境へのアクセスに関する社内研修(該当チームのシステム上でのトレーニングを含みます)の受講を義務づけています。当社は高リスク行為および実稼働環境への変更を記録しています。当社は、自動化の活用により、社内の技術的基準からの逸脱であって特異または不正な行為の兆候を示すものを発見し、設定変更を促す警告を数分以内に発するよう図っています。

11.2 パスワードの管理。 従業員のパスワードの管理に関する当社の現在の方針はNIST 800-63Bの指針に準拠しており、長いパスワードを多要素認証と組み合わせて使用することが当社の方針ですが、特殊記号の使用または頻繁な変更は義務づけていません。SendGrid従業員については、パスワードの長さを8文字以上とすること、また英大文字、英小文字、数字、または特殊記号のうち3種類以上使用することなどを義務づけています。お客様によるアカウントへのログイン時には、お客様の認証情報を保存する前に当該情報をハッシュ化しています。お客様はお客様のユーザーに対して、二要素認証(2FA)の使用により当該ユーザーのアカウントにセキュリティのレイヤーを追加するよう義務づけることができます。

12.変更の管理。 当社には、基盤となるソフトウェア、アプリケーション、システムへの変更など、サービスの実稼働環境への変更を管理するための正式な変更管理プロセスがあります。各変更は、サービスの実稼働環境に展開される前に、テスト環境で慎重にレビューおよび評価されます。テスト環境での変更の評価などの全ての変更は、正式な監査可能な記録システムを使用して文書化されます。サービスの全体的なセキュリティへの影響を評価するために、リスクの高い全ての変更に対して厳密な評価が実行されます。リスクの高い変更に対する展開の承認は、適切な組織の利害関係者から要求されます。 計画と手順は、サービスのセキュリティを維持するために展開された変更をロールバックする必要がある場合にも実装されます。

13. 暗号化。 Twilioサービスの場合、(a)カスタマーデータを格納するデータベースはAdvanced Encryption Standardを使用して暗号化され、(b)カスタマーデータはTLS v1.2を使用してお客様のソフトウェアアプリケーションとサービスの間で転送されるときに暗号化されます。SendGridサービスの場合、当社は、お客様のソフトウェアアプリケーションと受信者のメールサーバー間で転送されるメールに便宜的なTLS v1.1以降を提供します。SendGridサービスは、受信者にメールを配信しようとするときに、アウトバウンドTLS v1.1以降を便宜的に試すように設計されています。これにより、受信者のメールサーバーがインバウンドTLS v1.1以降の接続を受け入れる場合、当社はTLS暗号化接続によりメールを配信します。受信者のメールサーバーがTLSに対応していない場合、当社はデフォルトの暗号化されていない接続によりメールを配信します。SendGridサービスは、お客様がTLS暗号化を実施できるように、有効にする必要のあるオプション機能を提供します。お客様が強制的にTLS機能を有効にした場合、当社は受信者のメールサーバーがインバウンドTLS v1.1以降の接続を受け入れる場合にのみ、受信者にメールを配信します。セグメントサービスについては、カスタマーデータはAdvanced Encryption Standardを使用して保存中に暗号化されます。

14. 脆弱性管理。 当社はセキュリティ上の脆弱性のリスクを短期間で軽減する統制策および方針を導入し、リスクと事業運営上の要請とのバランスを図っています。当社はサードパーティー製のツールを使用して定期的に脆弱性のスキャンを実施し、当社のクラウドインフラストラクチャーおよび社内システムにおける脆弱性の評価を行っています。重要なソフトウェアパッチは評価、テストおよび予防的な適用を行っています。ベース仮想マシンイメージの再生成によりオペレーティングシステムのパッチを適用し、事前に決定したスケジュールに従ってTwilioクラスタの全てのノードに展開しています。リスクの高いパッチについては、当社は社内で開発したオーケストレーションツールにより既存のノードに直接展開しています。

15. ペネトレーションテスト。 当社は自らペネトレーションテストを行うほか、独立の第三者に依頼してアプリケーションレベルでのペネトレーションテストを行っています。検出されたセキュリティの脅威と脆弱性は、優先順位が付けられ、選別され、迅速に修正されます。Bug Crowdで行われるTwilioのBug Bounty Programにより、独立系のセキュリティ研究者は、セキュリティの脅威と脆弱性を継続的に報告できます。

16. セキュリティ事象管理。 当社はNIST SP 800-61に従ってセキュリティ事象管理に関する指針および手順を策定し維持・管理しています。Twilioのセキュリティインシデント対応チーム(T-SIRT)は、関連する全てのセキュリティの脅威と脆弱性を評価し、適切な修復および緩和対策を確立します。当社は、セキュリティログを180日間保存します。このセキュリティログにはT-SIRTに限りアクセス可能です。当社はサードパーティー製ツールを活用してDDoS攻撃の検出および影響緩和を行い、攻撃の防止に役立てています。

17.セキュリティ事象の発見、調査および通知。 当社は、セキュリティインシデントの調査を、インシデントが発見され次第、迅速に行います。適用法令上許可されている範囲で、当社はお客様にセキュリティインシデントを通知しますが、これをデータ保護付属書に沿って行います。セキュリティインシデントの通知は、お客様がアカウントで指定したメールアドレスに提供されます。

18.レジリエンスおよびサービスの継続性

18.1 レジリエンス。Twilioサービスおよびセグメントサービスに対するホスティングインフラストラクチャーは、(a)物理的に相互独立な地理的領域に所在する故障に依存しない複数のアベイラビリティゾーンに分散し、(b)ホストまたはデータセンターで発生した問題をリアルタイムで検出および回避することが可能です。また、最新のバックアップからホストを再生成する機能を持ったオーケストレーションツールを採用しています。

18.2 サービスの継続性。 当社はまた、ホスティングインフラストラクチャー内で使用可能な専門的なツールを活用して各アベイラビリティゾーンおよびコロケーションデータセンターにおけるサーバーパフォーマンス、データおよびトラフィック負荷容量のモニタリングを行っています。アベイラビリティゾーンまたはコロケーションデータセンター内のサーバー上でサーバーパフォーマンスが最適状態を下回った場合または容量の過負荷が検出された場合には、こうしたツールにより容量の増加またはトラフィックのシフトを行って最適未満のサーバーパフォーマンスまたは容量の過負荷を解消します。サーバーのパフォーマンスが最適でない場合や容量が過負荷になった場合も、当社にすぐに通知されます。

19.カスタマーデータバックアップ。 当社は、AWSのデータセンターインフラストラクチャで提供されているカスタマーデータを定期的にバックアップします。バックアップされたカスタマーデータは、複数のアベイラビリティゾーンにわたって重複して保存され、Advanced Encryption Standardを使用して転送中および保存中に暗号化されます。