2021.01.15
こんにちは、KDDIウェブコミュニケーションズ Twilio事業部です。
去る12月17日(水)、Twilioのセキュリティ対策に関するウェビナー「システム監査を乗り切るためのTwilioの高度なオプションをご紹介!」を開催いたしました。
本記事ではウェビナーのレポートとして、Twilioが実施しているセキュリティ対策や、Twilioを利用する上でユーザーが対策できること、セキュリティ強化やシステム監査で役立つオプションサービスなどをご紹介します。また、記事の最後にはお得なキャンペーン情報(2021年3月末まで)もありますので、お見逃しなく!
目次
- Twilio社が発行するホワイトペーパーについて
- セキリュティオプション「Enterprise Edition」について
- Enterprise Edition「セキリュティ強化応援キャンペーン」
Twilio社が発行するホワイトペーパーについて
まずは、Twilio事業部マーケティングチームの葛より、Twilio社が発行するホワイトペーパーについて解説がありました。
そもそもホワイトペーパーとは??
ホワイトペーパーとは、企業などが自社製品やその関連技術などの優位性を訴えるための文書です。
Twilio社では、皆様が安心してサービスをご利用いただけるよう、セキュリティに関するホワイトペーパーを公開しています。米国Twilio社にて発行されているため、全文英語バージョンのみの公開となっておりますが、今回のウェビナー開催にあわせて、弊社で日本語訳したホワイトペーパーを公開いたしました。ぜひご覧ください。
Twilio社のホワイトペーパーは、以下の全10章で構成されています。
- セキュリティ管理部門とプログラム
- 人に関するセキュリティ
- 製品に関するセキュリティ
- クラウドインフラストラクチャに関するセキュリティ
- 継続的な監視と脆弱性の管理
- 物理的セキュリティ
- ビジネス系属性および災害復旧
- サードパーティセキュリティ
- セキュリティコンプライアンス
- Twilioの強み
それでは、ホワイトペーパーの内容について説明いたします。
ホワイトペーパーの概要
1. セキュリティ管理部門とプログラム
Twilioのセキュリティチームでは、ISO27001に基づいたセキュリティプログラムの作成と管理を行っています。また、対象となるセキュリティプログラムの啓蒙活動も実施しています。
2. 人に関するセキュリティ
Twilio社では「プロダクトを作るのも人」という基本理念に沿って、従業員に対するバックグラウンドチェックや教育制度を充実させています。
例えば、Twilio社への入社選考時には、第三者機関を利用した犯罪歴の確認や学歴詐称のチェックを実施しています。入社研修時にはセキュリティトレーニングを実施しており、年に1回の頻度で全社員が受けるプログラムとなっています。
3. 製品に関するセキュリティ
「Twilio Security Development Lifecycle」と呼ばれるガイドラインに沿って、開発が進められているTwilio社。このガイドラインでは、各開発の段階で必要なアクションについての詳細な手順等が定められています。製品ローンチ前のレビューや、第三者による定期的なペネトレーションテストがあり、バグ報奨金プログラムも設定されています。
また、全てのプロダクトの変更を追跡できるように、変更管理プロセスを整備しています。TLSで通信を暗号化しており、定期的な第三者機関による侵入テストも実施。安全な製品を提供することに努めています。
4. クラウドインフラストラクチャに関するセキュリティ
Twilio社は、「Twilio's Cloud Security Standard」と呼ばれる独自のセキュリティプログラムも構築しています。
このセキュリティプログラムでは、資産管理と所有権の明確化、クラウド資産へのアクセス制御、多層防御策、Twilio規格のネットワーク監視が実施されています。
多層防御策においては、本番環境へのネットワークはVPC(Virtual Private Cloud)を用いたり、ファイヤーウォールでアクセス制限を実施しています。
さらに、ネットワーク監視においては、Twilio社にて本番環境への操作ログを監視し、万が一基準から逸脱した操作があった場合は、即座に通知が飛ぶよう設定されています。
5. 継続的な監視と脆弱性の管理
Twilioでは、プロダクトとインフラセキュリティ復旧力を最優先項目としています。
Twilioというプラットフォームの安全性を確保するため、脆弱性の予防と探知機能の開発を通じた継続的な監視、NIST SP800-61に従ったインシデント対応、セキュリティログ保持・管理と、ログへのアクセス権を持つ従業員の権限設定のルール化、DDoS対策を実施しています。
6. 物理的セキュリティ
こちらのパートでは、Twilioのシステムが構築されているデータセンターのセキュリティとTwilio社オフィスのセキュリティに関して記載されています。TwilioはAWS上にシステムが構築されており、本番環境と顧客データはAWS基準の堅牢なセキュリティによって守られています。
さらにTwilio社のオフィスでは、全ての従業員、請負業者、訪問者は、それぞれの役割を区別する識別バッジを着用することを義務付けています。
7. ビジネス継続性および災害復旧
Twilioでは、災害が発生した場合やビジネスの継続性に問題が生じた場合、早急な復旧が図れるよう定期的にリカバリープランの見直しが実施されています。
また、TwilioはAWSの複数リージョンで構成されております。万が一、AWSの日本リージョンが災害や障害等で利用できなくなった場合も、他のリージョンでサービスが利用できるよう冗長化構成が取られています。顧客データも一つのリージョンにまとめるのではなく、複数リージョンのS3に定期的にバックアップを実施し、強力に暗号化された上で保存されています。
8. サードパーティセキュリティ
社内でサードパーティ製品を利用する際も、Twilio社基準のセキュリティ要件を満たしているか審査を実施しています。このチェックは製品導入時だけでなく、利用中は継続的に実施されています。また、解約する際には、ベンダーとの関係終了時にデータ返却や削除することを保証しています。
9. セキュリティコンプライアンス
Twilioは全世界でサービスを提供しており、各国の規制や法律に準拠するために様々な対応を実施しております。
例えば、日本では犯罪収益移転防止法に準拠するために、本人確認や法人確認書類等の提出を義務付けるといった対応が取られました。このようにTwilioでは、世界各国の法規制に準拠することで、安心してサービスをご利用いただけるよう努めています。
また、情報セキュリティ認証シリーズとして、ISO/IEC 27001:2013を取得しており、世界基準の高いセキュリティを確保しています。この他にも、EU圏と米国との個人情報のやり取りはEU-US Privacy Shield Frameworkに則り、EUデータ保護要件を遵守しています。
10. Twilioの強み
ホワイトペーパーの最後には、まとめとしてTwilioの強みが説明されています。
Twilioプラットフォームを使うことで、音声、ビデオ、メッセージングの機能を簡単にアプリケーションに組み込むことができ、優れた顧客体験の提供が可能になります。また、プラットフォームの物理、ネットワーク、アプリケーションの各コンポーネントを保護するセキュリティの仕組みと、それらの仕組みを準拠するためのセキュリティ対策およびコンプライアンスのベストプラクティスに関する透明性を組み合わせたサービスを提供しています。お客様のクラウド移行やクラウドサービス利用に対する不安を払拭できるよう努めております。
セキリュティオプション「Enterprise Edition」について
続いて、情報セキュリティアドミニストレータの資格を持つTwilio事業部のエバンジェリスト高橋より、Twilio利用時のセキュリティを担保するオプション「Enterprise Edition」についてご紹介させてもらいました。
現在Twilioでは、4つの高度なオプション機能「Twilio Editions(Security Edition、Data Edition、Administration Edition、Enterprise Edition)」をご用意しております。その中でもEnterprise Editionは全ての機能が具備されているオプションです。
通常、この4つのいずれかのEditionから用途に合わせてご購入いただきますが、弊社では単機能での購入が可能となっており、無駄なくセキュリティオプションをご利用いただけます。
続いて、お客様からよくいただくセキリュティに関する質問を回答、解決策とあわせてご紹介いたします。
Message Redactionについて
【よくあるご質問】
- 保管されているログや記録はGDPRに準拠していますか?
- 通信の秘密に該当する情報を保持していますか?
- 個人情報漏洩を防ぐ手段としてどのような対策を講じていますか?
Twilioでは、個人を特定できる情報(電話番号やメッセージ内容等)を PII(Personal Identifiable Information)としてフラグを立て、それぞれのPIIフィールドにMTL(Minimum Time to Live:最小存続時間)が設定されています。
Twilio DocsにてPII MTL:120と記載されているのを見たことがある方もいらっしゃるのではないでしょうか?これはユーザーが該当するPIIフィールドの削除実施後、120日間はTwilio内に保持されることを意味しています。しかし、中にはこのような情報をサービス元に置いておくことを躊躇される企業様も少なからずいらっしゃるでしょう。このような場合、Message Redactionの機能をご利用いただくことで、SMSのログに含まれるエンドユーザーの電話番号の下4桁と、メッセージ本文(全文)をマスクした状態で保存できるのでご安心ください。
オプションをお申し込みいただくと、管理コンソール上から有効/無効の設定が変更できます。
Encrypted Recordings、Custom Storageについて
【よくあるご質問】
- 録音・録画データを暗号化することはできますか?
- 録音・録画データを外部に保存することはできますか?
- 暗号化に自社の公開鍵が使えますか?
Twilioでは、音声通話とビデオ通話の録音・録画データを暗号化するためのEncrypted Recordingsという機能を提供しております。暗号化にはユーザー側で指定した公開鍵が使用され、データの復号にはお客様側でお持ちの秘密鍵が必要となるため、Twilio社でもお客様の録音内容を確認することはできません。
また、Encrypted Recordingsと合わせてご利用いただくCustom Storageは、ビデオ通話の録画データの保存先として外部(現時点では、AWS S3のみ)を指定することができ、暗号化はS3で実施されます。
なお、音声通話の録音データの暗号化だけであれば、オプションを申し込まなくても、Voice Recording PCI Complianceと呼ばれる機能(無料)があり、この機能を有効にすると、PCIコンプライアンスに準拠した暗号化された録音データを保存することができます(72時間で自動的に削除されます)。
※Encrypted RecordingsとCustom Storageはセットでのお申し込みが必要となります。あらかじめご了承ください。
Static Proxyについて
【よくあるご質問】
- IPアドレスによるアクセス制御はできますか?
- ネットワークレベルでのアクセス制御はできますか?
- 利用者の拠点を特定した利用は可能ですか?
- ID/パスワード以外のアクセス制御は可能ですか?
こちらは非常に多くのお客様からご質問をいただきます。
解決策の1つとして、先ほどのホワイトペーパーの説明でもあったように、TwilioはAWS上に構築されているため、アクセス元をAWSのIPアドレスレンジに絞ることである程度の制御は可能です。しかし、定期的にIPアドレスレンジが変更されるため、なかなか現実的でないのも事実です。
そこで、Twilioでは特定のIPからアクセスしてくるように設定できるStatic Proxyの機能をご用意しております。
Static Proxyをお申し込みいただくと、5つのIPアドレスレンジ(2020年12月時点)をご用意させていただいており、あらかじめ指定されたレンジからTwilioにて発行された全てのVoice、SMS、TwiML、TaskRouterのWebhookを飛ばします。
Public Key Client Validationについて
【よくあるご質問】
- 通信は暗号化され、保護されていますか?
- 通信の暗号化を強制できますか?
- システムへのアクセス手段で、盗聴やなりすましを保護することは可能ですか?
- システムへのアクセス手段で、ID/パスワード以外の手法は用意されていますか?
Twilioでは管理コンソールの設定で、お客様のサーバーへのアクセスに関するSSL検証の要否を設定できます。この機能を有効にすると、証明機関から発行されたSSLのみアクセスが許可され、自己署名証明書はサポートされません。
システムへの盗聴やなりすまし対策としては、Public Key Client Validationをご用意しております。
これは、ユーザー側で発行した公開鍵をTwilio上に保存することで、アクセスの正当性を検証します。このオプションを有効にする場合、ユーザーからのリクエストヘッダには、秘密鍵で署名したハッシュ値を含める必要があります。ハッシュ値付きのリクエストをTwilio側で受け取った後、保存しておいた公開鍵を使って検証し、正当なアクセスかを判別します。
昨今の事例で、Account SIDとAuth Tokenの漏洩による不正利用が発生していますが、仮にPublic Key Client Validationを有効にすると、なりすましが不可能となるため、漏洩対策としても効果的です。
Single Sign-On(SSO)について
よくあるご質問
- 管理コンソールへのログイン認証はID/パスワード以外の手段が用意されていますか?
- 複数要素認証に対応していますか?
複数要素認証への対応につきましては、2020年10月12日以降、管理コンソールログインにおいて二要素認証が必須となっております。これに加えて、Twilioはシングルサインオンにも対応しており、Twilioがサービスプロバイダーで、SAML 2.0に対応した外部のIDプロバイダー(OktaやActive Directory)経由でログインを行うことが可能です。
Audit Eventsについて
よくあるご質問
- 管理者/ユーザーのアクセスログは取れますか?
- パスワード変更履歴は取れますか?
- システムの更新や変更ログは取れますか?
Audit Eventsを有効にすると、監査ログを取得することが可能になります。現在Audit Eventsでは、Account Events、Number Events、All Other Events、Who did whatの4つのイベントログを取得することが可能です。
Enterprise Edition「セキュリュティ強化応援キャンペーン」
最後に、Twilio事業部インサイドセールスチームの鎌田より、今回ご紹介したEnterprise Editionをお得に始められる「セキリュティ強化応援キャンペーン」についてご紹介させていただきました。
今回セキュリティ強化応援キャンペーンと題して、弊社経由でTwilioアカウントをお持ちのお客様を対象に、2021年3月末まではキャンペーンも実施しており、通常よりもお得にご利用可能となっております。Twilioをご利用中のお客様でより高いセキュリティ対策にご関心をお持ちの方はぜひご検討ください。
各オプションは月額229,167円(税込)/機能で、設定日より月末までが無料でご利用いただけます。詳しい内容はEnterprise Edition機能概要ページ、および営業へお問い合わせください。
また、今ウェビナーはオンデマンド動画でもご覧いただけます。以下のフォームより情報をご登録いただきますと動画をご視聴いただけます。オンデマンド動画内ではEnterprise Editionのデモもご紹介しておりますので、ぜひご覧ください。
動画視聴申し込みフォーム
まとめ
