こんにちは、ネットワークエンジニアのまさです。ご無沙汰です。
クリスマスに向けて Advent Calender をやることになりました。アドベントカレンダーとは、ちょっと小洒落た雑貨屋だの、イオンモールとかでコーヒー豆と一緒に意識の高い食材を売るようなお店に売ってる壁掛け型のチョコレートカレンダーであります。ちびっこ達がクリスマスまで1日1日とカレンダーをめくってチョコレートをほじくり返して食すと。
で、このアドベントカレンダーを模して、弊社スタッフの他、いつもTwilioを盛り上げてくれる同志のみなさんがTwilioについて日替わりで記事を書きます。→こちら から是非覗いてみてください。
何を書こうか迷ったんですが、アプリケーションな人が多いので私は違うことを書きます。よくあるお問い合わせから1つ。

「外部サービス利用で、どうしてもこのセキュリティーシートを埋めなくちゃいけないんです。」
「Twilio って情報セキュリティーで何か認証受けてますか?」
「弊社のセキュリティ審査に通すための資料として、何かTwilioが安全だと公的に示せる情報頂けませんか?」
Twilioをご利用頂く際、企業の担当者様が避けて通れないこの「シート埋め」。Twilioのサイトを探そうにも英語ということもあり、なかなか目的の情報にたどり着けない。このご要望にお答えします。
実は →ここ に掲載してあるのです。自力で見つけた方は凄い。これは、→ Twilio社のAPIセキュリティ の詳細を紹介するページにリンクがあります。
今回は、こちら英語の Whitepaper の要点を日本語でお送りします。今までありそうで無かったもの。やっかいなセキュリティーシートを埋めるIT管理なみなさんのお役に立てれば幸いです。
Twilio Whitepaper : SECURITY
■組織としてのセキュリティプログラム
Twilio のセキュリティーフレームワークは ISO27001(ISMS) に準拠しており、以下のようなプログラムを組み運営しています。
・ポリシーと手順 ・資産管理 ・アクセス管理 ・暗号化 ・物理セキュリティ
・業務セキュリティ ・コミュニケーションに関するセキュリティ
・ビジネス継続に関するセキュリティ ・脆弱性管理
・人に関するセキュリティ ・製品に関するセキュリティ
・クラウドインフラセキュリティ ・セキュリティコンプライアンス
・関連パートナーに関するセキュリティ ・セキュリティの監視
・インシデントレポート
セキュリティは企業にとって最も重要な指標で、Twilio社内の情報セキュリティチーフや経営層と定期的に議論を行い、全社に渡るセキュリティに関する啓蒙活動へと繋げています。こちらの情報セキュリティポリシーや標準は経営層に承認され、全てのTwilio社員に適用されます。
人に関するセキュリティ
Twilioでは雇用の際、人材の背景調査を実施します。米国で雇用する場合、全ての候補者の経歴や背景が第三者機関により調査されます。米国雇用の候補者は、SSN trace、過去7年の犯罪歴、性犯罪歴、OFAC の他、専門性に対する背景の裏付けや、学歴の裏付け などが調査されます。国外雇用の際、候補者が属する国の法律が許す範囲で、国際犯罪歴や学歴詐称の有無がチェックされます。
セキュリティに関するトレーニング
Twilioでは全雇用者が "Security 101" プログラムを受講します。さらに、1年に1度 "Twilio Security and Privacy" を受講し、情報セキュリティや事例、プライバシーについて学習します。
従業員ホットライン
Twilioでは社員向けの匿名ホットラインを設けており、人道に反する活動等を報告できる体制を整えています。
■製品に関するセキュリティ
Twilio Security Development Lifecycle (TSDL) によって、多岐に渡るチームによる様々な製品の開発プロセスを標準化しています。これには、要求・デザイン・実装・開発 のステップに適用されます。
全てのTwilioエンジニアは以下を遵守し、製品の安全性を担保します。
・製品ローンチ前のセキュリティ内部レビュー
・第三者による定期的なペネトレーションテスト
・継続的なバグ検出プログラム
・継続的な内部/外部 からのセキュリティテスト
・脅威モデルの管理
Twilioでは全ての製品に対し、更新に関するトラッキングと承認が義務付けられ、管理されています。製品がステージング環境に展開される前にレビューが行われ、ステージングに移ったあともサービス公開までの最終テストが行われます。サービス公開後も、第三者による定期的なペネトレーションテストを受け、発見された脆弱性についてはセキュリティコミュニティーへ情報公開されます。
通信の暗号化
Twilioとお客様のアプリケーション間の通信は TLS 1.0、1.1、1.2 の暗号化に対応しています。
アカウントに対するセキュリティ
みなさんのログイン情報は最も実用的な手法で繰り返しハッシュ化して保存しています。利用者は Twilio Console に対して更に二要素認証(2FA) を加えることが可能です。
■クラウドインフラセキュリティ
Twilio Cloud Security Standard (TCSS) を設け、これに準拠しています。セキュリティポリシーフレームワークはオープンソースとして公開しています。このTCSS は以下4つの原則に基づいています。
資産管理と所有権
全てのクラウド資産は必ず所有者・セキュリティ区分付け・目的が定義されなければならない。
インフラマネージメント
インフラ・ネットワーク・データへ直アクセスする手法を極小化する。商用環境の製品への操作は、可能であればコントロールパネル等を用意し、データやネットワークに直接触れる手法を減らす。商用環境へのアクセスは、権限が与えられた従業員に限り、承認を以て、強力な複要素認証を経て、かつ安全対策が取られた拠点から行うものとする。
多層防御策
商用環境は、顧客データと、顧客がアプリケーションを通じて接する箇所は、論理的に分離したバーチャルプライベートクラウド(VPC)構成とし、商用環境とステージング環境も分離する。商用環境のホストが属するネットワークへのアクセスはファイヤーウォールで制御され、サービスで許可されている通信に限ること。
標準ネットワークモニタリング
商用環境におけるハイリスクなアクションや変更はログを記録し、これを自動的に監視することで、技術的基準からの逸脱や構成変更を数分以内に検知すること。
■脆弱性管理
Twilio では "Security by Design" の思想のもと、継続的な脆弱性管理とワークアラウンドを実施しています。モニタリングの実施と検知、脆弱性や危険に対する予測やプロアクティブな活動等を、脆弱性管理プログラムとして定めています。具体的には以下の要素で構成されています。
継続的な監視
脆弱性や危険に対して検知が可能でプロアクティブな手法が取れる開発アプローチを実施しているため、継続的なモニタリングの実践につながっています。顕在化した脆弱性やインシデントに対して、適切な軽減処置が取れる体制を整えています。
インシデント管理体制
NIST SP 800-61 に準拠するインシデント管理体制を取っています。ここではインシデントが各条件下でどのようにクラス分けされ、どのように対処するべきかが定められています。Twilioのセキュリティインシデントチームは、関連する全ての脆弱性やインシデントの脅威を評価し、これらに対する修復・軽減アクションを確立します。
セキュリティ記録の管理
セキュリティに関する記録は 180日間保持し、この記録へのアクセスは セキュリティインシデントチーム に限られます。
DDoS対策
セキュリティインシデントチームは業界最先端のプラットフォームを活用して DDos攻撃の検知、対策、防衛策を実施しています。
■物理セキュリティ
データセンターの安全性
Twilioプラットフォームはその全てがAWS(Amazon Web Service)上に展開されています。AWS は下記の Whitepaper で公開するセキュリティ基準で運営されています。
→ AWS Data Center Physical Security, see the AWS Security Whitepaper
オフィスの安全性
Twilioオフィスはビル入館時から訪問者の管理を実施し、オフィス全体の安全性を確保しています。全ての従業員・訪問者がオフィスに入る際、その人物がどのような区分であるかが分かるバッヂの着用が義務付けられています。
■ビジネスの継続性と災害時対策
リカバリープラン
Twilioでは、ビジネス継続性と災害時のリカバリープランを準備しており、定期的にレビューと更新を行っています。
複数リージョンでのクラスタリング
AWS の複数リージョンでホスティング環境をクラスタ化しており、1つのリージョンがダウンしても残りのリージョンでサービスを継続できるよう設計しています。
顧客データのバックアップ
Twilioでは定期的にアカウント情報・コールログ(通話記録)・コールレコーディング(通話録音) をはじめ、重要なデータについて AWS S3クラウドストレージへバックアップしています。全てのバックアップが強力に暗号化されます。これらのバックアップは、複数のゾーンへ保存され冗長性を確保、これらもまた暗号化され保存されます。
■関連パートナーに関するセキュリティ
Twilio が利用するサードパーティーの製品や連携するパートナーに対して基準を設けています。
事前調査
Twilioでは全てのサードパーティー製品やその提供主の先々を見越したバリデーションを行います。
継続モニタリング
関係を確立した後も、継続的にセキュリティに関する事項やサービスの継続性をレビューします。このレビューには、取り扱うデータの種類とアクセス方法、データ保護に必要な制御、法的な必要事項 といった内容が含まれています。
終了時のプロセス
Twilioが当該関係を終了する際、全てのデータが返却または完全に削除されることを担保します。
■セキュリティコンプライアンス
規制環境への適合
各種法規制に遵守した上、業界要件に対してベストプラクティスで適合するよう努めます。
一流インフラプロバイダの選定
Twilio のコミュニケーションプラットフォームは、高可用・高信頼 かつ 安全な AWS のデータセンターへホスティングされています。AWS は SSAE16、SOCフレームワーク、ISO 27001、PCI DSS 等、高いセキュリティ基準を満たして運営されています。
ISO 27001(ISMS)
Twilio社は ISO/IEC 27001:2013 の認証を受けています。
EU - U.S. Privacy Shield Framework
EU圏から米国へお客様の個人情報を転送する際は、EUデータ保護要件を遵守します。また、Twilio社の取り組みの一環として、プライバシーシールドの下で自己認証を行っています。
SOC2 TYPE II
Twilioが提供する Authy のサービスにおいて、Trust Services Principles of Security and Availability に適合するための SOC2 Type II 監査を完了しました。