Salesforce のセキュリティ対策: 気をつけるべき 7 つの注意点
Salesforceは世界をリードするCRMシステムです。Sales Cloud、Service Cloud、Experience Cloud などの Salesforce 環境のアプリケーションは、今日幅広い業種・業態の企業にとってビジネスに不可欠なサービスとなっています。
リモートワークの常態化により、多くの企業でSalesforceを代表とするクラウドベースのプラットフォームへの依存度が高まっています。また、まだクラウドサービスが未利用だった企業での導入が加速しています。
導入のスピードが増すと、これらのプラットフォームの利用に伴うセキュリティ上の懸念が見過ごされたり、適切に対処されない状況を招くことがあります。しかし、Salesforce上にアップロードされたり共有されたりするデータが膨大かつ多様であることや、データ漏洩やセキュリティ侵害が増加していることを考えると、データの安全性を確保することは企業にとって最優先事項になります。
Salesforce は、包括的なセキュリティ対策が施された安全性の高いクラウドインフラをお客様に提供しています。しかし、これらのセキュリティ制御を実装する方法を理解し、クラウドコラボレーションプラットフォームを利用することで生じるその他のセキュリティ問題に留意するのは、利用企業側の責任になります。
ここでは、Salesforce 利用企業にとって最も重要な 7 つのデータセキュリティのポイントに関して、ガイドを作成しました。
1. 自社の責任範囲を理解する
Salesforce の利用企業は、Salesforce 環境にアップロードされるすべてのデータに対して常に責任を負っています。同様に、Salesforce 環境にアクセスするために使用するデバイスや ID のセキュリティの管理に対しても責任を負います。
2. 特権ベースのアクセスを有効にする
ユーザー毎にアクセス権を設定すると、承認された人だけがSalesforce 環境にアクセスできるようになります。Salesforceは、このプロセスを簡素化するために、データセキュリティモデルを4つのレベルに分割し、管理者が簡単にルールを設定したり、特定のユーザのアクセスレベルを迅速に評価できるようにしています。
3. 組織全体で共有するルールを定義する
Salesforceは、誰が何にアクセスできるかについて組織全体のルールを設定するためのツールを顧客に提供しています。しかし、それらを理解して構成するのは顧客の責任です。設定できるルールには、ユーザがログインできる時間帯や場所が含まれます。
4. クリックジャック保護を有効化する
クリックジャッキングとは、サイバー犯罪者が、あるウェブサイトのボタンやリンクを、別のウェブサイトのものであるかのように見せかける手口です。Salesforceには、クリックジャック攻撃を阻止するための機能が組み込まれており、「Session Settings(セッションの設定)」で有効にできます。これにより、Salesforce環境内でこれらのトラップが使われるのを防止できます。
5. 潜在的な脆弱性を評価する
脆弱性を評価する最初のステップは、 [Quick Find(クイック検索)] ボックスで検索して、組み込まれた Salesforce Security Health Check を実行することです。このツールは、複数の異なる基準でセキュリティのレベルを評価し、重大度レベルで問題を分類します。その上で、問題に対処する方法についてのアドバイスと詳細情報へのアクセスを提供します。
6. データバックアップ戦略を見直す
Salesforceのような洗練されたクラウドアーキテクチャでさえデータ損失は起こり得るため、備えは必須です。災害が発生した時にデータを復元できるように、バックアップを行う頻度やバックアップに含める内容などの設定を必ず確認してください。
7. 外部ソースからデータを保護する
サプライヤーや顧客などの外部ユーザにSalesforce環境へのアクセスを許可する場合は、機密データへのアクセスや、悪意のあるコンテンツのアップロードを確実に阻止する手順を規定することが重要です。WithSecure™ Cloud Protection for Salesforce は、アップロードされたすべてのコンテンツをスキャンして、不正なものをブロックします。
WithSecure™ Cloud Protection for Salesforceの詳細については、 ソリューション概要をダウンロードしてください。また、無料評価版をダウンロードして、このソリューションをテストすることもできます。