セキュリティの習慣を理解する

学習の目的

この単元を完了すると、次のことができるようになります。

• Salesforce 環境内で機密データを保護するシステム管理者の役割について説明する。
  
• IT との効果的なコミュニケーションとコラボレーションの実践法を考案して維持する。
  
• Salesforce でアクセスと表示を管理する場合のベストプラクティスを適用する。
  
• 最小権限の原則と、セキュアな組織でのその重要性を説明する。
  
• 継続的な学習と Salesforce リソースの活用により、セキュリティに関する知識を継続的に拡大する。
  

セキュリティのベストプラクティスを学ぶ

Salesforce システム管理者は Salesforce 環境内の機密データを保護する責任を担っているため、セキュリティについて学ぶことが求められます。たとえば、多要素認証 (MFA)、IP 制限、ログイン時間帯、権限セットのようなセキュリティ対策を理解して実装し、不正なアクセスやデータの侵害から保護する必要があります。セキュリティのベストプラクティスを熟知していれば、ユーザーのアクセスレベルを業務の遂行に必要な最低限に抑え、プラットフォームの信頼性と整合性を維持することができます。また、セキュリティを念頭にチームが必要なリソースに効率的にアクセスできるようにすれば、ユーザーの生産性の向上にも貢献します。

IT とのコミュニケーションのベストプラクティス

セキュリティの問題については特に、IT と定期的にコミュニケーションをとることが不可欠です。IT は、組織のコンプライアンス基準を明示し、ユーザーのオンボーディングプロセスやオフボーディングプロセスの概要を示すことができます。また、Salesforce のオブジェクトや項目の追跡に不可欠なデータディクショナリなど、必要なドキュメントをまとめることもできます。IT とデータディクショナリを共有すれば、特に Salesforce 組織が外部システムとやり取りする場合に、スムーズなインテグレーションプロセスが可能になります。

インテグレーションで Salesforce の Sandbox を外部の Sandbox に接続する必要がある場合、Sandbox はプロビジョニングに時間がかかることがあるため、事前に IT と十分な調整を行っておくことが極めて重要です。プロアクティブなコミュニケーションにより、強固なチームワークが築かれ、セキュリティポリシーについて全チームが見解を一致させることができます。IT はまた、スクリプトを自動化して、Sandbox へのデータシーディングやテストスクリプトなどのプロセスを簡素化することができます。

会社や組織の変化のペースによっては、IT とのミーティングが週 1 回では多すぎることがあります。ミーティングの具体的な頻度や形態は、組織のニーズや IT 側の希望によって異なります。その週の要望や更新をまとめて IT と共有すれば、効率的かつ生産的なミーティングが可能になります。セキュリティのニーズは変化するため、具体的な状況に応じて上記のベストプラクティスを調整することが大切です。IT と確固たる継続的なパートナーシップを構築すれば、セキュアな Salesforce 環境を維持し、スムーズなインテグレーションを促進できます。

アクセスと表示を確認する

Salesforce のアクセスと表示には、組織、ペルソナ、レコード、項目の 4 つのレイヤーがあります。それぞれのレイヤーに、MFA や権限セットグループから項目レベルセキュリティまで、設定可能な機能が多数あります。この管理が大変なこともありますが、プロファイルの数を減らし、権限セットを優先するようにすれば、セキュリティ設定が容易になります。

最小権限の原則に従って、ユーザー、デバイス、アプリケーション、システムには、職務の遂行に必要な最小限のアクセスレベルしか付与しないようにします。Salesforce では、権限セット主導モデルで運用することを推奨しています。プロファイルだけで管理する場合よりも、ユーザーのアクセスコントロールの柔軟性が高まるためです。

権限セットは、ユーザーに適用できる設定と権限のバンドルで、特定の職務やタスクに基づいてアクセス権を調整でき、プロファイルを変更する必要がありません。このベストプラクティスを実践する場合は、ユーザーにとって極めて重要な職務、タスク、プロセスを特定し、それに応じて権限セットを定義します。高リスクの権限をプロファイルから削除したうえで、その権限が必要な場合は権限セットを使ってユーザーに追加し直します。このアプローチではセキュリティ管理の合理性が高まり、過剰なアクセス権が付与されるリスクが低減します。

整理された状態を維持するために、Salesforce のアクセスの 4 つのレイヤーに基づいて、毎週アクセスに関するメモをまとめます。こうすれば、必要な変更に備えることができます。さらに、セキュリティ状態チェックツールの使用も欠かせません。このツールは、Salesforce インスタンスを業界のセキュリティベースラインと比較して、改善が必要な領域にフラグを立て、リスクレベル別の詳しい推奨事項を提示します。セキュアな Salesforce 環境を維持するためには、セキュリティ状態チェックで明らかになった緊要項目に対処することが不可欠です。週の半ばに 1 時間とってアクセスレベルを見直し、ユーザー観察時にメモした事項を取り入れれば、セキュリティ設定をユーザーのニーズと適合させ、ベストプラクティスに従うことができます。

権限セットに優先順位を付け、IT と定期的にコミュニケーションをとり、セキュリティ状態チェックなど利用可能なツールを使用すれば、各自の Salesforce 組織に堅牢で適応性の高いセキュリティフレームワークを確立することができます。

AI とエマージングテクノロジー

Salesforce システム管理者は、ビジネスプロセスとエンドユーザーエクスペリエンスの向上に重点的に取り組みながら、Agentforce のような AI ソリューションをカスタマイズしてリリースする責任を担います。セキュリティに関しては、エージェントの管理と責任ある AI の実践において重要な役割を果たします。

セキュリティの観点で重要なことは、ユーザーが Salesforce データを Trust Layer の外側にある LLM に公開しないようにすることです。具体例として、レポートをダウンロードまたはエクスポートすることや、Salesforce Platform 上にない外部の AI クライアントにデータをアップロードすることが挙げられます。(データと分析については次の単元で詳述します。)

Salesforce のセキュリティのコアコンポーネントである Einstein Trust Layer を基盤に構築された Agentforce は、データマスキングを使用して機密データを保護します。このプロセスでは、大規模言語モデル (LLM) に送信されるプロンプト内の個人識別情報 (PII) やペイメントカード業界 (PCI) データがプレースホルダーテキストに置き換えられます。このマスキング技法では、LLM が実際に機密情報を公開することなくデータを処理できるため、データのプライバシーとコンプライアンスが確保されます。

システム管理者は、一般的な Salesforce タスクを補佐する自律型エージェントへのアクセス権を Agentforce 経由でユーザーに付与できます。Einstein Copilot 権限は Salesforce の標準アクセスコントロール (ライセンスや権限など) を尊重するため、セキュアなユーザーアクションが保証されます。

継続的な学習が不可欠

Salesforce 組織のセキュリティの維持において、システム管理者は重要な役割を果たします。進化するセキュリティ脅威の先を行き、ベストプラクティスに後れを取らないようにするには、継続的な学習が不可欠です。

セキュリティ分野の継続的な学習が極めて重要な理由を次に示します。

• セキュリティ脅威は常に変化している: 新しい脅威や脆弱性が周期的に出現しているため、最新のトレンドや攻撃ベクトルに関する情報を常に把握しておく必要があります。ハッカーは絶えず新たな手口を企てていることから、リスクを効果的に軽減するために、最新の脅威について学習し続ける必要があります。継続的な学習により、新たな脅威や脆弱性を予測して適応することが可能になります。
  
• Salesforce は常に進化している: Salesforce は年に 3 回更新をリリースし、通常はセキュリティの新機能や機能強化を導入しています。常にこうしたリリースの最新情報を確認し、組織のセキュリティ体制にどのような影響があるか把握します。こうしたプロアクティブなアプローチにより、最新のセキュリティ対策が実装され、ユーザーアクセスが効果的に管理されます。
  
• ベストプラクティスは継続的に改良されていく: セキュリティのベストプラクティスは恒久的なものではなく、去年は安全と考えられていたことが、現在では時代遅れになっていることがあります。「セキュリティのベストプラクティス」ガイドに記載されている対策など、Salesforce や業界のエキスパートの最新の推奨事項を常に把握しておきます。たとえば、すべてのユーザーに多要素認証 (MFA) を実装することが極めて重要なセキュリティ対策になっており、組織全体に MFA を設定して適用することはシステム管理者の責任です。
  
• スキルセットを向上させる: 継続的な学習によってセキュリティの知識やスキルが向上し、Salesforce 組織のセキュリティを強化できるようになります。新機能やベストプラクティスについて学習すれば、会社にとってのあなたの価値が高まり、セキュリティ上のニーズに対する取り組みを推進することや、サイバーセキュリティのキャリアアップの機会を模索することにつながります。たとえば、セキュリティ設定を分析し、業界のベストプラクティスに基づいて推奨事項を提示するセキュリティ状態チェックツールについて学ぶことが考えられます。
  

以下は、役に立つ学習リソースです。

• Trailhead: Salesforce の無料のオンライン学習プラットフォームで、セキュリティに関するさまざまなモジュール、トレイル、スーパーバッジが用意されており、知識を習得しながら実践的な演習に取り組むことができます。たとえば、「ユーザーアクセス権の基本 Superbadge 単元」や「CRM のセキュリティを高める」トレイルなどがあります。
  
• Salesforce システム管理者向けポッドキャスト: このポッドキャストでは度々セキュリティのエキスパートをゲストに迎え、セキュリティの現在のトレンドやベストプラクティスに関するインサイトについて話を聞いています。たとえば、「Being a Security Advocate with Laura Pelkey (セキュリティアドボケートになることについて Laura Pelkey に聞く)」というエピソードでは、組織のセキュリティアドボケートになることについて貴重なアドバイスを聞くことができます。
  
• Salesforce セキュリティサイト: オンラインの「Salesforce セキュリティ」ドキュメントは、セキュリティの機能と設定に関する包括的なガイドです。「Salesforce セキュリティガイド」のほか、ID 確認やシングルサインオン (SSO) などの特定のセキュリティ対策に特化したガイドを参照できます。
  
• Salesforce システム管理者向けサイト: この Web サイトには、特にシステム管理者向けのブログ、ポッドキャスト、動画、ベストプラクティスなど、厳選されたセキュリティリソースが掲載されています。この中央ハブで、セキュアな Salesforce 組織を維持するための貴重な情報を確認できます。
  
• Trust.Salesforce.com: この Web サイトには、Salesforce システムのパフォーマンスとセキュリティに関する更新情報が表示され、組織に影響を及ぼす可能性がある潜在的な問題やインシデントの最新情報を入手できます。
  

継続的な学習に取り組めば、セキュリティの責務を効率的に果たし、組織のデータを保護して、社内の貴重なセキュリティアドボケートになることができます。

リソース

• システム管理者 Web サイト: セキュリティに関するリソース
• システム管理者向けポッドキャスト: Being a Security Advocate with Laura Pelkey (セキュリティアドボケートになることについて Laura Pelkey に聞く)
• Salesforce ヘルプ: 多要素認証 (MFA) への対応のお願い
• Trailhead: ユーザー認証
• Trailhead: 状態チェックによるセキュリティ設定の検査
• Trailhead: 適切な Salesforce セキュリティ設定の選択
• Salesforce セキュリティ: 信頼