Twilioセキュリティ概要書 (Security Overview)
このTwilioセキュリティ概要書の日本語版は、参照用にのみ提供されています。HTTPS://WWW.TWILIO.COM/EN-US/LEGAL/SECURITY-OVERVIEWで入手可能な英語版とこの日本語版との間に矛盾、不一致または相違がある場合は、英語版が優先されます。
最終更新日: 2026年4月9日
本セキュリティ概要書(以下、「本セキュリティ概要書」といいます)は、当社とお客様との間の、本サービス(以下に定義)の利用に関する契約(その中に定められる個人データの処理に適用される条項を含み、以下、総称して「本契約」といいます)に組み込まれ、その一部を構成します。本契約で使用されているが定義されていない頭文字が大文字の用語は、本契約に定める意味を有します。
1. 定義
「カスタマーデータ」とは、(a) お客様による本サービスの利用に関連して、お客様または本サービスのユーザー(お客様が提供する製品およびサービスを介する場合を含みます)が当社に提供するデータ、または (b) 本サービスの一部としてお客様による利用のために生成されるデータをいいます。
「Segmentサービス」とは、「Segment」、「Twilio Segment」または「Twilio Engage」の名称が付されたサービスまたはアプリケーションプログラミングインターフェースをいいます。
「SendGridサービス」とは、「SendGrid」または「Twilio SendGrid」の名称が付されたサービスまたはアプリケーションプログラミングインターフェースをいいます。
「本サービス」とは、総称してTwilioサービス(以下に定義)、SendGridサービスおよびSegmentサービスをいいます。
「Twilioサービス」とは、(a)「Twilio」の名称が付されたサービスまたはアプリケーションプログラミングインターフェース、ならびに (b)「Stytch」の名称が付されたクラウドベースのID、認証、セキュリティプラットフォーム、および関連サービスをいいます。
2. 目的 本セキュリティ概要書では、(a) 不正使用、不正アクセス、不正開示または窃取からカスタマーデータを保護し、および (b) 本サービスを保護するための、当社のセキュリティ体制(当社のセキュリティ認証、自己証明、ならびに技術的および組織的なセキュリティ管理を含みます)について説明します。セキュリティ上の脅威は時間の経過と共に変化するため、当社は、業界の最良慣行に従ってセキュリティ体制およびセキュリティ戦略を継続的に更新し、カスタマーデータや本サービスを保護しています。したがって、当社は本セキュリティ概要書を随時更新する権利を有しますが、本セキュリティ概要書に記載した全体的な保護の水準を実質的に引き下げる更新は行いません。本セキュリティ概要書のその時点で有効な条件は、https://www.twilio.com/ja-jp/legal/security-overviewにて閲覧できます。(a)「アルファ」、「ベータ」、「一般的に提供されない」、「限定公開」または「開発者プレビュー」として指定された本サービスまたは当社が提供する他の同様の本サービス、および (b) 電気通信事業者が提供するサービスについては、本セキュリティ概要書の対象外となります。
3. セキュリティに関する組織および制度 当社は、ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)に基づいて、リスクベースの評価に基づくセキュリティプログラムを維持しています。このプログラムには、管理上、技術上、組織上および物理上の保護措置が含まれており、これらは、本サービスならびにカスタマーデータの安全性、機密性、完全性および可用性を保護する目的を合理的に考慮して設計されたものとなっています。当社のセキュリティ体制は、本サービスの性質ならびに当社事業の規模および複雑性に適したものであることを目指しています。当社はセキュリティ体制を管理・運営する独立した専任の情報セキュリティチーム(第三者が実行する独立した監査および評価の円滑化および支援を担うチームを含みます)を擁しています。当社のセキュリティ体制は会社の最高レベルで管理されており、当社の最高情報セキュリティ責任者が経営幹部と定期的に会合を開いてセキュリティ関連の問題を協議し全社的なセキュリティの取り組みについて調整を行っています。当社の情報セキュリティに関するポリシーおよび基準については、当社の経営幹部が年1回以上の定期的な見直しおよび承認を行っています。
4. 人的セキュリティおよびオンボーディング 当社は、(a) 業界の最良慣行に沿うように定期的に更新される包括的なポリシー、手順および統制を維持し、かつ (b) 当社の全ての従業員がかかるポリシーおよび手順に容易にアクセスできるようにします。当社の全ての従業員は、以下の最低限のセキュリティ対策の対象となります。
(i) 当社の全ての新入社員を対象に、現地の準拠法に従って、認定された第三者の身元調査提供者によって採用前に実施される身元調査(学歴および職歴の確認と関係者への照会を含みます)を実施し、かつ現地法で許可され、当該職務に適用される場合は、犯罪歴、信用調査および就労資格の確認を実施する。
(ii)秘密保持契約を締結する。
(iii) セキュリティおよびプライバシーに関する必須の研修を毎年受講させる。休職中の当社従業員については、受講期限の延長を認める。
(iv) 匿名の通報が法令上許可されている場合には、当社の従業員が非倫理的行為を報告するための匿名ホットラインを維持し、継続的に監視する。
(v) セキュリティ関連インシデントのシミュレーション(例えばフィッシングキャンペーン)を含め、さまざまな手段を通じて、新たなセキュリティ上の脅威についての意識を高める。
(vi) 第10.1条(アクセス権のプロビジョニング)およびカスタマーデータの処理と保護に適用される当社の社内標準運用手順に従って、カスタマーデータへのアクセスを制御し、当社の権限を付与された従業員のみに厳格に制限する。
5. 物理的セキュリティ 当社は、定期的に見直される物理的セキュリティポリシーに基づき、オフィスにおける強力な物理的セキュリティ管理を維持しています。当社の物理的セキュリティポリシーは、当社のオフィスへの不正アクセスを防止し、当社の物理的資産を保護するために必要な基本的な物理的セキュリティ管理を定めています。当社の物理的セキュリティポリシーは、アクセス制御、従業員および請負業者のバッジ要件、IT機器の保護、勤務時間外の監視などの分野を対象としています。当社は、本セキュリティ概要書第8条(ホスティングアーキテクチャおよびデータの分離)において特定されるインフラストラクチャプロバイダーに対し、最低でもSOC 2基準に準拠した物理的なセキュリティ基準を維持するよう求めています。
6. サードパーティベンダー管理 当社はサードパーティベンダーを利用して本サービスを提供する場合があります。当社は、サードパーティベンダーが提供するサービスの種類および関連するセキュリティ関連のリスクに応じて、適切な技術的および組織的なセキュリティ管理を適用する包括的なベンダー管理プログラムを実施しています。予定するサードパーティベンダーは、当社との関係が続く限り、当社の厳格な機密保持、セキュリティおよびプライバシー要件を遵守し、かつ将来において遵守し続けることを保証するプロセスを通じて、徹底的に審査されます。カスタマーデータを処理するサードパーティベンダーは、より厳格な技術的および組織的セキュリティ管理の対象となり、かかるセキュリティ管理は、(a) 当社と当該サードパーティベンダーとの契約に反映され、(b) 継続的な遵守を確実にするために当社によって定期的に監査されます。また、当社は、(i) 当社のセキュリティおよび事業継続に関する基準に照らして各サードパーティベンダーについて、(ii) 各サードパーティベンダーによるカスタマーデータへのアクセス、ならびにカスタマーデータを保護するための技術的および組織的なセキュリティ管理について、また (iii) 当社のセキュリティ体制またはカスタマーデータの処理に影響を与える法令上または規制上の要件の変化について、定期的な評価を行っています。当社の現在のサブプロセッサーであるサードパーティベンダーは、https://www.twilio.com/en-us/legal/sub-processorsにて閲覧できます。なお、電気通信事業者は当社のサードパーティベンダーおよびサブプロセッサーとはみなしません。
7. セキュリティ認証および自己証明 当社は、以下のセキュリティ関連の認証および自己証明を取得しています。
|
認証または自己証明 |
対象サービス |
|---|---|
|
ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018 |
Twilioサービス Segmentサービス
|
|
SOC 2 タイプ 2 |
すべての本サービス |
|
PCI DSS レベル1 |
PCI DSSの責任マトリックスで明示的に特定された全ての本サービス |
|
PCI (SAQ-A) |
Twilioサービスのうち、「Stytch」のブランドを有しているクラウドベースのID、認証、セキュリティプラットフォーム、および関連サービスに該当する部分 |
当社のセキュリティ認証および自己証明、ならびにその他の関連セキュリティ文書に関する追加情報については、次の該当するTrust Centerをご覧ください。
- TwilioサービスおよびSendGridサービスのTrust Center:https://security.twilio.com
- SegmentサービスのTrust Center:https://security.segment.com
8. ホスティングアーキテクチャおよびデータの分離
8.1 インフラストラクチャおよびコロケーションプロバイダー 以下に記載する特定の本サービスは、該当する業界をリードするインフラストラクチャまたはコロケーションプロバイダーによってホストされています。インフラストラクチャおよびコロケーションプロバイダーの技術的および組織的なセキュリティ管理に関する情報も、以下から入手できます。
|
インフラストラクチャプロバイダー |
対象サービス |
インフラストラクチャプロバイダーの技術的および組織的セキュリティ管理 |
|---|---|---|
|
Amazonウェブサービス (「AWS」) |
全ての本サービス |
|
|
Googleクラウドプラットフォーム(「GCP」) |
Segmentサービス、TwilioサービスのうちモバイルIDおよび認証サービス部分(ただしTwilio Verifyを除く) |
|
コロケーションプロバイダー |
対象サービス |
コロケーションプロバイダーの技術的および組織的セキュリティ管理 |
|---|---|---|
|
Databank |
SendGridサービス |
|
|
Lumen |
SendGridサービス |
|
|
Digital Realty |
SendGridサービス |
8.2 実稼働環境およびカスタマーデータへのアクセス 上記のインフラストラクチャプロバイダーによってホストされている本サービスの実稼働環境は、仮想プライベートクラウド(VPC)内で論理的に隔離され、カスタマーデータは常に暗号化されています。インフラストラクチャプロバイダーは、米国に所在しています。前述のインフラストラクチャおよびコロケーションプロバイダーは、暗号化されていないカスタマーデータにはアクセスできません。実稼働環境内のホスト間のネットワークアクセスは、アクセス制御メカニズムおよび最小特権の原則により制限しており、承認されたサービスに限り実稼働環境内での相互通信を許可しています。アクセス制御リストは、当社のホスティング環境内の実稼働環境および企業環境の異なるセキュリティゾーン間のネットワーク分離を管理するために使用しています。アクセス制御リストは定期的に見直しを行っています。当社は、論理識別子を使用してカスタマーデータを分離します。カスタマーデータには、そのカスタマーデータの所有権を分離するために、お客様に割り当てられた一意の顧客識別子のタグが付けられています。Twilio アプリケーションプログラミングインターフェースは、顧客固有のタグで識別されたカスタマーデータについてのみ、承認されたアクセスを識別し許可するように、設計され構築されています。これらの統制策は、他のお客様がカスタマーデータにアクセスするのを防ぎます。
9. セキュリティバイデザイン 当社は、本サービスを設計する際に、セキュリティバイデザインの原則に従います。当社はまた、Twilioセキュアソフトウェア開発ライフサイクル(Secure SDLC)標準を適用し、要件の収集や製品設計から製品の展開に至るまで、製品開発ライフサイクルのさまざまなフェーズにおいて、本サービスのセキュリティに関する活動を多数実行します。こうした活動には、以下の実施が含まれますが、これらに限定されません。(a) 新しい本サービスまたはコードが展開される前の社内セキュリティ評価、(b) 新しい本サービスに対して行われるペネトレーションテスト、および (c) 新しい本サービスの脅威モデルの作成による潜在的なセキュリティ脅威と脆弱性の検出。
10. アクセス権の管理
10.1 アクセス権のプロビジョニング 当社は、システムへのアクセス権のプロビジョニングを行う際には、チームベースのアクセス制御メカニズムを通じて最小特権の原則に従って、カスタマーデータの不正な開示のリスクを最小化しています。当社の従業員がカスタマーデータへのアクセス権の付与を受ける場合は、事前に承認を受ける必要があり、職務または職責上具体的に必要であるか否かによって制限されます。本サービスの実稼働環境への時間制限のないアクセス権は少なくとも四半期毎に見直しを行っています。カスタマーデータに対する従業員または請負業者のアクセス権は雇用終了時に直ちに廃止します。承認済みユーザーが本サービスの実稼働環境にアクセスする場合は、一意のユーザー名およびパスワードを有し、多要素認証を有効にしていることが必要です。承認済みユーザーが本サービスの実稼働環境へのアクセス権の付与を受ける場合は、事前に管理職からアクセスの承認を受ける必要があります。さらに、承認済みユーザーには実稼働環境へのアクセスに関する社内研修(本サービスの実稼働環境とのインターフェースとなり、またはかかる環境へのアクセスを許可する関連システムの適切な利用に関する研修を含みます)の受講を義務づけています。当社は本サービスの実稼働環境における高リスク行為および変更を記録しています。当社は、自動化の活用により、社内の技術的基準からの逸脱であって異常および/または不正な活動の兆候を示すものを発見し、設定変更から数分以内に警告を発するよう図っています。
10.2 パスワードの管理 従業員のパスワード管理に関する当社の方針は、少なくともNIST 800-63Bの指針に準拠しており、より長い文字数、特殊記号および多要素認証の使用を義務づけています。さらに、お客様がアカウントへのログインを行うときには、ユーザーの認証情報を保存する前に当該情報をハッシュ化しています。また、お客様は、お客様のユーザーに対して、二要素認証(2FA)の使用により当該ユーザーのアカウントに追加のセキュリティ層を追加するよう義務づける必要があります。
11. 変更の管理 当社には、基盤となるソフトウェア、アプリケーション、システムへの変更など、本サービスの実稼働環境への変更を管理するための正式な変更管理プロセスがあります。各変更は、本サービスの実稼働環境に展開される前に、テスト環境で慎重にレビューおよび評価されます。テスト環境での変更の評価などの全ての変更は、正式な監査可能な記録システムを使用して文書化されます。本サービスの全体的なセキュリティへの影響を評価するために、リスクの高い全ての変更に対して厳密な評価が実行されます。リスクの高い変更に対する展開の承認は、適切な組織上の関係者による承認が必要です。また、本サービスのセキュリティを維持するために展開された変更をロールバックする必要がある場合に備え、計画と手順も整備されています。
12. 暗号化
12.1 転送中の暗号化 カスタマーデータはTLS v1.2を使用してお客様のソフトウェアアプリケーションと本サービスの間で転送されるときに暗号化されます。さらに、SendGridサービスの場合、当社は、お客様のソフトウェアアプリケーションと受信者のメールサーバー間で転送されるメールにオポチュニスティックなTLS v1.1以降を提供します。SendGridサービスは、受信者にメールを配信しようとするときに、可能であればアウトバウンドTLS v1.1以降を試行するように設計されています。これにより、受信者のメールサーバーがインバウンドTLS v1.1以降の接続を受け入れる場合、当社はTLS暗号化接続によりメールを配信します。受信者のメールサーバーがTLSに対応していない場合、当社はデフォルトの暗号化されていない接続によりメールを配信します。SendGridサービスは、お客様がTLS暗号化を強制できるように、有効にする必要のあるオプション機能を提供します。お客様が強制TLS機能を有効にした場合、当社は受信者のメールサーバーがインバウンドTLS v1.1以降の接続を受け入れる場合にのみ、受信者にメールを配信します。SendGridサービスにおける強制TLS機能の有効化についての詳細は、https://www.twilio.com/docs/sendgrid/api-reference/settings-enforced-tls/update-enforced-tls-settingsにて閲覧できます。
12.2 保存中の暗号化 カスタマーデータは、Advanced Encryption Standardを使用してAWSおよびGCPにおいて保存時に暗号化されます。
13. 脆弱性管理。 当社はセキュリティ上の脆弱性のリスクを測定可能な期間内に軽減する統制策および方針を導入し、リスクと事業および運営上の要件とのバランスを図っています。当社はサードパーティ製のツールを使用して定期的に脆弱性のスキャンを実施し、当社のホスティング環境および社内システムにおける脆弱性の評価を行っています。重要なソフトウェアパッチについては評価、テストおよび先行的な適用を行っています。ベースとなる仮想マシンイメージの再生成によりオペレーティングシステムのパッチを適用し、あらかじめ定められたスケジュールに従ってTwilioクラスタの全てのノードに展開しています。リスクの高いパッチについては、当社は社内で開発したオーケストレーションツールにより既存のノードに直接展開しています。
14. ペネトレーションテスト。 当社は、定期的にペネトレーションテストを行います。検出されたセキュリティの脅威と脆弱性は、優先順位付けされ、トリアージされ、迅速に是正されます。さらに、HackerOneで行われる当社のBug Bounty Programにより、独立系のセキュリティ研究者は、セキュリティの脅威と脆弱性を継続的に報告できます。
15. セキュリティインシデント管理
15.1 防止措置 当社はNIST SP 800-61に従ってセキュリティインシデント管理に関するポリシーおよび手順を維持しています。Twilioのセキュリティインシデント対応チーム(T-SIRT)は、関連するセキュリティの脅威と脆弱性を評価し、適切な是正措置および緩和対策を定めます。当社は、セキュリティログを180日間保存します。これらのセキュリティログへのアクセスはT-SIRTに限定されます。当社はサードパーティ製ツールを活用して分散型サービス拒否(DDoS)攻撃の検出および緩和を行い、攻撃の防止に役立てています。
15.2 インシデント対応 当社は、セキュリティインシデント(本契約に定義)の調査を、インシデントの発見後、迅速に行います。適用法令上許可されている範囲で、当社は、本契約に従ってお客様にセキュリティインシデントを通知します。セキュリティインシデントの通知は、お客様がアカウントで指定したメールアドレス宛ての電子メールにより行われます。当社は、適用法令を遵守して、その後の対応の指針となる一連のポリシー、手順、基準およびツールを定義しています。これには、義務づけられている場合の顧客への通知、法執行機関との調整、および必要に応じて適切なプライバシーおよびその他の規制機関への申告が含まれます。
16. レジリエンスおよびサービスの継続性
16.1 レジリエンス 当社は、そのインフラストラクチャプロバイダー内で地理的に多様な複数のリージョンを利用しており、これらの各リージョン内に障害が相互に独立した複数のアベイラビリティゾーンを設定し、単一のデータセンターで発生した障害が本サービスの可用性に影響しないようにしています。これにより、当社は、ホストまたはデータセンター全体で発生した問題をリアルタイムで検出し、迂回することができます。また、最新のバックアップからホストを再生成することができるオーケストレーションツールを活用しています。
16.2 サービスの継続性 当社は、本サービスのホスティングインフラストラクチャ内で使用可能な専門的なツールを活用して各アベイラビリティゾーンおよびコロケーションデータセンターにおけるサーバーパフォーマンス、データおよびトラフィック負荷容量のモニタリングを行っています。アベイラビリティゾーンまたはコロケーションデータセンター内のサーバー上でサーバーパフォーマンスが最適状態を下回った場合または容量の過負荷が検出された場合には、こうしたツールにより容量を増強し、またはトラフィックを切り替えることで、最適未満のサーバーパフォーマンスまたは容量の過負荷を緩和します。サーバーのパフォーマンスが最適でない場合や容量が過負荷になった場合も、当社に直ちに通知されます。
17. カスタマーデータバックアップ 当社は、AWSのデータセンターインフラストラクチャでホストされているカスタマーデータを定期的にバックアップします。バックアップされたカスタマーデータは、複数のアベイラビリティゾーンにわたって冗長化して保持され、暗号化されるカスタマーデータの種類に基づく最新の暗号化標準を使用して転送中および保存中に暗号化されます。