コンプライアンスによる安心感

ゼットスケーラーは、ISO 27001認証を取得しており、これは、ゼットスケーラーがISO/IEC 27002: 2013ベストプラクティスに従い、ゼットスケーラーのサービスが情報セキュリティ管理と包括的セキュリティコントロールで国際的に認められたベストプラクティスに基づくものであることを証明するものです。

Zscalerは、ISO 27001認証(ISO 27701拡張規格も含む)を取得しています。本認証は、Zscalerのサービスが情報セキュリティ管理とプライバシー情報管理システムの両方に関する国際的に認められたベスト プラクティスに基づくことを証明するものです。

ISO/IEC 27018:2014は、クラウド内の個人情報の保護に関する実施規則を定めたもので、ISO/IEC情報セキュリティ標準27002に基づき、パブリック クラウドの個人識別情報(PII)に適用されるISO/IEC 27002管理基準の実装の指針を提供します。

Zscalerは、ISO 27017認証を取得しています。これは、ISO/IEC 27002: 2013およびISO/IEC 27001標準の第5～18項の規制を参照し、クラウドに固有の情報セキュリティ上のリスクと脅威に対処するための追加の規格です。本認証は、Zscalerのサービスが、クラウド サービス プロバイダーとクラウド サービスの顧客の双方にとっての、国際的に認められたベスト プラクティスに基づいていることを証明するものです。

SOC 2 Type IIレポートは、Zscalerのセキュリティ コントロールが米国公認会計士協会の該当するTrustサービス原則に準拠していることが独立機関によって証明されたことを示すものです。

Zscaler SOC (System and Organization Controls)レポートは、コンプライアンス関連の重要な規制と目標に対するZscalerの達成度を示す、独立機関による調査レポートです。SOC 3は、セキュリティ、可用性、処理の整合性、機密性に関する内部規制を説明する公開レポートです。SSAE 18 / ISAE 3402 Type II

Zscalerは、Cloud Security Alliance (CSA)のSTAR (Security, Trust & Assurance Registry)レベル2認証のゴールド レベルの認定を受けています。

Zscalerは世界中のお客様やパートナーに対し、セキュリティとプライバシーのベスト プラクティスに従ってデータを取り扱うことに注力しています。Zscalerのサービスや製品に関する、当社の機密データの取り扱いを説明するため、情報提供のみを目的として資料を作成しました。

ドイツ サイバーセキュリティー機構(DCSO)は、2015年、組織化されたサイバー犯罪や産業スパイと戦うために、Allianz、BASF、Bayer、Volkswagenグループが協力して設立したドイツのサイバーセキュリティ コンピテンス センターです。企業、当局、政府機関が一体となり、信頼できるデータ交換の場を作ることを目指しています。DCSOクラウド ベンダー評価サービスは、クラウド サービス プロバイダーのセキュリティ レベルを評価します。

TISAX®は自動車業界における情報セキュリティ評価の相互監査を実現し、共通の評価および交換メカニズムを提供しています。パートナー企業間での機密情報の安全な共有を可能にすることで、自動車サプライチェーン全体の信頼度を高めています。ZscalerはTISAXの評価を完了しています。

内国歳入庁の発表資料1075(「IRS 1075」)は、連邦税情報(FTI)にアクセスする米国政府機関とその職員を保護するための情報セキュリティの基準、ガイドライン、規約を定めています。IRSは、IRS 1075への準拠に関する指定や認定を公表していませんが、Zscalerは、NIST 800-53およびFedRAMPのセキュリティ制御の実装をそれぞれのIRS 1075セキュリティ要件に合致させることで、Zscalerのプラットフォームで管理されるFTIを組織が保護できるようサポートしています。また、Zscalerは、GovClouds (米国)がFTIの保存と処理に関するIRS 1075の要件に準拠するよう、IRSと緊密に連携しています。

Zscaler Internet Access(ZIA)とZscaler Private Access(ZPA)は、どちらもFedRAMP JAB Highの認定を受けています。現在、セキュア アクセス サービス エッジ(SASE)によるTrusted Internet Connection (TIC) 3.0ソリューションとしてFedRAMPの最高位の認定を達成しているのはZIAのみです。

米国国防総省などの政府機関は、市場をリードするZscalerのゼロトラスト プラットフォームを活用し、リモート ユーザーやハイブリッド ユーザーのクラウド アプリケーションへのアクセスの保護におけるユーザー エクスペリエンスとコストの課題に取り組んでいます。

Zscaler Internet Access (ZIA)とZscaler Private Access (ZPA)は、2018年からFedRAMP Moderateの認定を維持しており、連邦政府機関、国防総省のコマンド、および連邦請負業者は、Zscaler Zero Trust Exchangeを最大限に活用することが可能です。

ZIAとZPAを利用することで、ゼロトラスト セキュリティのメリットであるオーバーヘッドやコストの削減、運用の合理化を実現できます。

Zscaler Private Access (ZPA)は、米国防総省のクラウド コンピューティング セキュリティ要件ガイド(DoD CC SRG)に公開されている、Provisional Authorization To Operate (P-ATO)をImpact Level 5 (IL5)で取得しています。これにより、政府機関やその契約先は、最も機密性の高いCUI (Controlled Unclassified Information)や非機密のNSS (National Security Systems)を管理するシステムとして、Zscaler Zero Trust Exchangeプラットフォームを使用することができます。Zscaler Internet Access (ZIA)は、Authorization to Operate (ATO)をImpact level 2 (IL2)で取得しました。国防総省の国防イノベーション部門(DIU)は、セキュア アクセス テクノロジーの採用にあたってZscalerを選択し、ZPAおよびZIAの試験運用の実施を決定しました。

Zscalerは、米国連邦情報処理標準(FIPS 140-2)に準拠しており、暗号モジュールのNIST要件を満たしています。Zscaler Mobile Cryptographic Moduleの#3154(英語)、Zscaler Crypto Moduleの#3159(英語)、Zscaler Java Cryptoの#3188(英語)の認証をそれぞれ確認できます。

Zscaler Private Access (ZPA)とZscaler Internet Access (ZIA)は、IRAPの認定監査人による監査を受けました。本レポートは、Zscalerがオーストラリア政府の関連基準に準拠していることを示しています。

国際武器取引規則(ITAR)レポートは、ガバメント クラウド(「GovCloud」)プラットフォームでのZscaler Private Access(ZPA)およびZscaler Internet Access(ZIA)の使用に関する根拠を規定しています。

Zscalerは、CJIS(刑事司法情報サービス)へのコンプライアンスを維持し、CJISのセキュリティ ポリシーで要求される情報の保護を徹底しています。

Zscalerは、リハビリテーション法第508条に規定されている「電子および情報のアクセシビリティー標準」に従い、VPAT (Voluntary Product Accessibility Templates)を使用して、Zscaler製品のアクセシビリティーの自己評価を公開しています。同法の第508条は、情報テクノロジーにおける障壁を解消すること、障害のある方が新しい機会を得られるようにすること、そしてその達成に役立つテクノロジーの開発を奨励することを目的として制定されました。

Zscalerは、国家サイバーセキュリティ センター(NCSC)のCyber Essentials認証を取得しています。NCSC認証により、Crown Commercial Services契約のプロバイダーとして、英国政府機関をサポートできるようになります。NCSC認証は、特定の種類の機密情報や個人情報を取り扱う英国政府機関のサプライヤーに義務付けられています。

Zscalerは、米国国土安全保障省(DHS)のサイバーセキュリティおよびインフラ セキュリティ庁(CISA)の、Trusted Internet Connection (TIC) 3.0オーバーレイ レビューを完了しています。TICは、連邦政府全体のネットワーク セキュリティおよび境界セキュリティを強化することを目的とした、連邦政府のサイバーセキュリティ イニシアチブです。TIC 3.0の目的は、連邦政府のデータ、ネットワーク、境界を保護しつつ、クラウド通信を含む連邦政府機関のトラフィックを可視化することにあります。

米国標準技術研究所(NIST)のSpecial Publication 800-63Cは、連合IDシステムのIDプロバイダー(IdP)および依拠当事者(RP)に対する要件を規定しています。連合により、特定のIdPはアサーションを使用して、認証属性や(オプションで)サブスクライバー属性を複数の個別に管理されたRPに提供できるようになります。RPは同様に、複数のIdPを使用することができます。

National Institute of Standards and Technology (NIST) 800-53は、米国連邦情報システムに一般的に適用される、情報セキュリティに関する基準およびガイドラインを規定するものです。ZscalerはNIST 800-53に準拠し、情報および情報システムの機密性、完全性、可用性を十分に保護します。

StateRAMPは、米国内の州、地方自治体(SLG)の調達、セキュリティ当局のニーズに対応したサイバーセキュリティ プログラムです。Zscaler Internet Access (ZIA) Moderate CloudはStateRAMP AUTHORIZEDのステータスを取得し、州および地方政府の職員とデータのセキュリティに対するZscalerのコミットメントを示しました。

テキサス州リスクおよび認証管理プログラム(TX-RAMP)は、テキサス州の州機関または公立高等教育機関のデータを処理する第三者ベンダーのセキュリティ評価、継続的なモニタリング、認可のための標準的なアプローチを提供するものです。Zscalerは、TX-RAMPのレベル2の認証を取得し、中程度または高負荷のシステムにおいて機密データや規制対象データを扱うことができるようになりました。

Cloud Computing Compliance Controls Catalog(C5)は、ドイツ連邦情報セキュリティ局(BSI)によってドイツ国内で導入された、ドイツ政府が支援する認定スキームです。C5は、ドイツ政府のクラウド プロバイダーに対するセキュリティ勧告のコンテキスト内でクラウド サービスを利用する際に、組織が一般的なサイバー攻撃に対する運用上の安全性を発揮するのに役立ちます。

HIPAA (医療保険の相互運用性と説明責任に関する法律、1996年制定)は、個人の過去、現在、将来の身体的または精神的健康状態に関連する個人を識別する健康情報または個人の識別に使用できるその他の識別情報に適用されます。HIPAAは2009年に、HITECH(経済的および臨床的健全性のための医療情報技術に関する法律)によって拡張されました。アメリカ合衆国保健福祉省が述べているように、HIPAAプライバシー ルールは、特定の健康情報の保護について国の基準を規定するものです。

PCI DSS(PCIデータ セキュリティ スタンダード)は、クレジット カードの不正使用、セキュリティの脅威、および脆弱性からの保護を目的とするものです。PCIは、MasterCard、American Express、Visa、JCB International、Discover Financial Servicesの共同事業として2006年9月に設立されました。

オーストラリア健全性規制庁(APRA)は、オーストラリアの金融機関の健全性の規制を目的とする、オーストラリアの主要な金融規制機関です。APRAは、銀行、信用組合、住宅金融組合、損害保険および再保険会社、生命保険、民間医療保険、共済組合、および年金業界のほぼすべての会員を監督し、金融機関の安全性とオーストラリアの金融システムの安定性を促進しています。このホワイト　ペーパーでは、Zscalerのサービスの利用を検討している金融機関向けの一般的な情報を提供しています。

Zscalerは、すべての業務関係において倫理的かつ誠実に行動し、現代の奴隷制や人身売買が排除され、労働者が敬意と尊厳を持って扱われる職場環境とサプライ チェーンを推進することに注力しています。

Zscalerは世界最大のクラウド セキュリティ プラットフォームを運営しています。Zscalerのクラウド オペレーション チームは、自然災害や人的災害、その他の予期せぬ緊急事態に備え、プラットフォームのレジリエンスの確保に努めています。

Supervisory Statement 2/21 (SS2/21「Outsourcing and third party risk management (アウトソーシングとサード パーティーのリスク管理)」(2021)は、英国のサプライヤー管理の一環として金融機関に適用される規定です。英国健全性監督機構(PRA)はイングランド銀行の一部であり、英国の健全性規制を担当しています。Zscalerは英国の金融機関ではないため、直接的にはSS2/21の適用対象になりません。この証明レポートは、関連するデータ セキュリティ要件(当該規定の第7章に記載)に対するZscalerの適合状況についての情報提供を目的としたものです。