Skip to main content
Build the future with Agentforce at TDX in San Francisco or on Salesforce+ on March 5–6. Register now.

Salesforce Starter でビジネスの成長を実現

営業、サービス、マーケティングをカバーする 1 つのアプリで顧客との関係を深める

30 日間の無料トライアルを開始
予想時間

データセキュリティの概要

学習の目的

この単元を完了すると、次のことができるようになります。

  • 適切なユーザーに適切なデータへのアクセス権を付与することの重要性を説明する。
  • データアクセスを制御できる 4 つのレベルを挙げる。
  • 4 つのレベルのそれぞれについて、データアクセスを制限する一般的なシナリオを説明する。

はじめに

各ユーザーまたはユーザーグループに表示できるデータセットを選択することは、Salesforce 組織またはアプリケーションのセキュリティに影響を与える主要な決定事項の 1 つです。データモデルの設計と実装が完了したら、ユーザーがどのようなことを行い、そのためにどのデータが必要かを考えてみてください。「データモデリング」モジュールを修了していない場合は、まずそちらのモジュールのバッジを獲得してから、このモジュールに取り組んでください。

たとえば、募集職種、求職者、求人応募の管理に役立つ社員募集アプリケーションを作成しているとします。特定の種類のユーザーのみに表示する機密データ (社会保障番号、給与額、応募者レビューなど) を保存する必要があります。また、採用担当者、採用担当マネージャー、面接官の仕事を妨げずに機密データを保護する必要があります。

Salesforce プラットフォームの柔軟で階層化された共有モデルでは、異なるデータセットを異なるユーザーセットに容易に割り当てることができます。セキュリティと利便性を両立し、データの盗難や悪用のリスクを減らしながら、すべてのユーザーが必要なデータを簡単に取得できます。

このプラットフォームでは、アプリケーション内の任意のレコードまたは項目をどのユーザーが参照、作成、編集、または削除できるかを簡単に指定できます。組織全体、特定のオブジェクト、特定の項目、または個々のレコードに対してまでアクセスを制御できます。異なるレベルのセキュリティのコントロールを組み合わせることにより、何千ものユーザーに、個別に権限を指定することなく、適切なレベルのデータアクセスを提供できます。

メモ

セキュリティと共有モデルは、すべてユーザーインターフェースを使用して設定できますが、モデルは API レベルで機能します。したがって、指定した権限は、データを API コールによってクエリまたは更新した場合にも適用されます。ユーザーがデータをどのように取得するかに関係なく、データのセキュリティは確実に保護されます。

データアクセスのレベル

組織全体、特定のオブジェクト、特定の項目、または個々のレコードのどのデータにどのユーザーがアクセスできるかを制御できます。

組織

組織全体で、承認されたユーザーのリストを維持し、パスワードポリシーを設定して、ログインを特定の時間帯と場所に制限することができます。

オブジェクト

オブジェクトレベルのデータへのアクセスを制御するのは最も簡単です。特定の種別のオブジェクトに権限を設定すると、一部のユーザーがそのオブジェクトのレコードを作成、参照、編集、削除できなくなります。たとえば、オブジェクト権限を使用して、面接官は職種と求人応募を参照できるけれども、編集や削除はできないように設定できます。プロファイルを使用すると、ユーザーがアクセスできるオブジェクトや各オブジェクトに対するユーザーの権限を管理することができます。権限セットと権限セットグループを使用すると、ユーザーのプロファイルを変更せずにアクセス権と権限を拡張できます。

項目

ユーザーにオブジェクトへのアクセス権があっても、特定の項目へのアクセスを制限できます。たとえば、職種オブジェクトの給与項目を、面接官には表示せず、採用担当マネージャーと採用担当者には表示することができます。

レコード

特定のユーザーにオブジェクトの参照を許可しながら、参照できる個々のオブジェクトレコードを制限できます。たとえば、面接官は自身の審査票を参照および編集できますが、他の面接官のものは参照も編集もできません。レコードレベルのアクセス権は、次の 4 つの方法で管理できます。

  • 組織の共有設定では、ユーザーのお互いのレコードに対するデフォルトアクセスレベルを指定します。組織の共有設定を使用してデータを最も制限の厳しいレベルにロックダウンした上で、他のレコードレベルのセキュリティや共有ツールを使用して、他のユーザーに選択的にアクセス権を付与します。
  • ロール階層を使用すると、階層の上位のユーザーに、自分より下位のユーザーが所有するすべてのレコードへのアクセスを付与できます。ロール階層は、団体の組織図に完全に一致している必要はありません。その代わり、階層の各ロールはユーザーまたはユーザーグループが必要とするデータアクセスのレベルを示している必要があります。
  • 共有ルールを使用すると、特定のユーザーグループに対して組織の共有設定への自動的な例外が設けられ、そのユーザーグループは所有していないレコードや通常は参照できないレコードにアクセスできるようになります。共有ルールは、ロール階層と同様に、追加のユーザーにレコードへのアクセス権を付与する目的でのみ使用します。共有ルールを組織の共有設定より厳しくすることはできません。
  • 共有の直接設定を使用すると、特定のレコードの所有者は他のユーザーとそのレコードを共有できるようになります。共有の直接設定は組織の共有設定、ロール階層、または共有ルールのように自動化されていませんが、採用担当者が休暇で不在になるときに、一時的に求人応募の所有権を別の従業員に割り当てる必要がある場合など、状況によっては有用な設定です。
メモ

団体の各種のユーザーをまとめた表を作成します。この表ではオブジェクトとそのオブジェクト内の項目やレコードごとに、各種のユーザーが必要とするデータへのアクセスレベルを指定します。その後、この表を参照してセキュリティモデルを設定します。

Salesforce Platform でのデータアクセス制御 異なる種別のユーザーが使用できる共有とセキュリティ設定の図

システム使用状況の監査

監査機能は、潜在的なセキュリティ問題の診断または実際のセキュリティ問題の対処に役立つ重要な情報を提供します。組織の誰かが監査を定期的に実行し、可能性のある不正使用を検出する必要があります。普通とは異なる変更や使用パターンがないかどうか調べてください。

レコード変更項目

すべてのオブジェクトには、レコードの作成者とレコードの最後の更新者の名前を保存する項目が含まれています。これで基本的な監査情報が分かります。

ログイン履歴

過去 6 か月間に行われた正常なログイン、失敗したログインのリストをレビューできます。詳細は、「ログイン履歴の監視」を参照してください。

項目履歴管理

監査機能を有効化すると、個々の項目値の変更を自動的に追跡できます。項目レベルの監査機能はすべてのカスタムオブジェクトで使用できますが、この機能が許可される標準オブジェクトは一部のみに限られます。詳細は、「項目履歴管理」を参照してください。

設定変更履歴

設定変更履歴は、組織の設定に加えられた変更の日時を記録します。詳細は、「設定の変更の監視」を参照してください。

リソース

Salesforce ヘルプで Trailhead のフィードバックを共有してください。

Trailhead についての感想をお聞かせください。[Salesforce ヘルプ] サイトから新しいフィードバックフォームにいつでもアクセスできるようになりました。

詳細はこちら フィードバックの共有に進む