Marketing Cloud Engagement セキュリティについて知る
学習の目的
この単元を完了すると、次のことができるようになります。
- Marketing Cloud Engagement の暗号化の種類について説明する。
- セキュリティ上の各自のニーズに最も適した機能を選択する。
データの保護
Salesforce では信頼が最も重要な価値の 1 つであるということを聞いたことがあるでしょう。さらに Salesforce では信頼を価値に掲げるだけでなく、その業務の中心に据えています。セキュリティは信頼の重要な部分です。私たちは大量のデータを処理し保存しています。ですから、Salesforce のお客様がデータを安全かつ責任ある方法で管理し使用していると確信できることを私たちは目指しています。そのため、Salesforce ではこの単元で説明するツールや設定を装備して、許可されたユーザー (または外部連携) しかデータに接触できないようにしています。
このような機能の中には、Marketing Cloud Engagement で追加の有効化を必要とするものや、アカウントの使用を開始する前に何らかの作業が必要になるものがあります。こうした追加機能によってアカウントごとにセキュリティ機能をカスタマイズできるようになり、各自のニーズに応じた実装戦略を計画できます。
アカウントのセキュリティ設定の選択
アカウントへのアクセスのセキュリティを強化したいと考えている場合、Marketing Cloud Engagement にはユーザー名とパスワードよりも高度なアクセス方法が用意されています。アカウントの構成中に、ログイン時にユーザーに次のことを求める追加のセキュリティ対策を設定することができます。
- 次のような多要素認証 (MFA) システムを使用した追加のログイン検証手法の実装。
- Salesforce Authenticator モバイルアプリケーション
- U2F または WebAuthn をサポートするセキュリティキー (Yubico の YubiKey や Google の Titan セキュリティキーなど)
- 時間ベースのワンタイムパスコード (TOTP) 認証アプリケーション (Google Authenticator、Microsoft Authenticator、Authy など)
- 文字数、文字の種類、有効期限に関するパスワードの厳格な要件に従う。
セキュリティ設定では、Marketing Cloud Engagement でユーザーがアクセスできるアプリケーションや情報も制限します。こうした設定場面に登場するのが管理者です。Marketing Cloud Engagement 管理者は、アクセスやアクティビティを細かく管理する目的で個人にロールや権限を割り当てることができるため、Marketing Cloud Engagement 管理者と協力して、セキュリティ設定を細かく調整してアカウントを保護します。
自身のパスワードを知る
どのアプリケーションも、セキュリティを突き詰めればパスワードに行き着きます。Marketing Cloud Engagement もその例外ではありません。Marketing Cloud Engagement 開発者であれば、次の 2 つの重要なパスワードを知っている必要があります。
- 各自のアカウントのパスワード
- Marketing Cloud Engagement アカウントの FTP パスワード
このどちらのパスワードもさまざまなオートメーションで使用します。アカウントのパスワードは Marketing Cloud Engagement にアクセスしてアクティビティを承認するために使用し、FTP パスワードはデータファイルをインポート/エクスポートするために使用します。アカウント全体で 1 つの FTP パスワードを使用するため、変更が生じたときにユーザー全員とすべてのオートメーションのパスワードが確実に更新されるようにする必要があります。また、アカウントの安全性を確保するために、パスワードを定期的に変更することをお勧めします (少なくとも 90 日ごと)。さらに、どのようなパスワードでもよいわけではありません。次のような一意の強力なパスワードを作成します。
- 8 文字以上
- 英字と数字を含む
- 大文字と小文字を含む
- 特殊文字
SAML と SSO を使用したログインの簡素化
パスワードによってソフトウェアが保護されるものの、覚えておくべきパスワードをこれ以上増やしたくないことを私たちは認識しています。そのため Marketing Cloud Engagement では、サードパーティ製の SAML 2.0 を使用したシングルサインオン (SSO) 認証を承認しています。セキュリティ上の各自のニーズに応じて、Salesforce の統合認証あるいは別のサービスを使用できます。この機能を (適切なメタデータを使用して) 有効にすると、Marketing Cloud Engagement ユーザーが、パスワードをいちいち入力しなくても、必要とするすべてのリソースに安全にアクセスできます。SSO については、また次の単元で詳しく説明します。
保存されたデータの暗号化によるデータ保護
アカウント内に保管中のデータを暗号化する場合は、保存されたデータの暗号化で実行できます。このソリューションは、既存のコードを変更しなくてもデータを暗号化することができ、物理メディアの盗難をはじめとするさまざまな状況でデータを保護します。つまり、データを格納するドライブが誰かの手に渡ったとしても、保存されたデータの暗号化により、そのデータを複合化して利用することができません。この機能は Marketing Cloud Engagement に対して透過的に実行されるため、アプリケーションレベルの機能には影響しません。
これらの機能ではデータは異なる場所に保存されるため、そのデータが保存されたデータの暗号化によって実装されることはありません。
- 予測インテリジェンス
- Audience Builder
Marketing Cloud Engagement では、この暗号化のほかに、API コールと SFTP インタラクションにセキュアな接続を義務付けています。Marketing Cloud Engagement はこうしたインタラクションの一部にテナント固有のエンドポイントを使用して、最大限のセキュリティ対策を講じています。各自のアカウントのテナント固有のエンドポイントは、SOAP API や REST API のコールを許可するために作成したインストール済みパッケージで確認できます。インストール済みパッケージをまだ作成していない場合は、「Marketing Cloud Engagement API」に進んで詳細を確認してください。準備できましたか? インストール済みパッケージは、Marketing Cloud Engagement アカウントの [セットアップ] メニューで確認できます。
監査履歴を使用したアカウントアクティビティのトラッキング
Marketing Cloud Engagement アカウントのセキュリティ対策の一環として、アカウントで誰がどのアクションを実行しているかを把握することが挙げられます。アカウントユーザーに適切なロールや権限を割り当てたら、Marketing Cloud Engagement セキュリティ管理者が監査履歴機能を使用してユーザーアクションをトラッキングできます。監査履歴の基本バージョンは Marketing Cloud Engagement のすべてのアカウントで利用でき、アカウントの全ユーザーの 30 日間の情報が提示されます。
- ユーザー認証
- IP アドレス
- ユーザー、ロール、ユーザー権限の変更
- セキュリティ設定 (ログイン、パスワードの変更、ログアウト) の変更
監査履歴には高度なバージョンもあり、ユーザーエージェント、セッション ID、ビジネスユニットの変更のほか、Email Studio、CloudPages、MobilePush、MobileConnect のコンテンツやデータへの変更も捕捉します。
この機能の高度なバージョンの有効化についての詳細は、Marketing Cloud Engagement アカウントエグゼクティブにお問い合わせください。
参照可能な監査履歴情報は、Automation Studio の自動データ抽出または REST API コールを使用して取得できます。
次の単元では、暗号化キーと、このキーを使用して Marketing Cloud Engagement のセキュリティ機能を強化する方法を学習します。
リソース
- Salesforce ヘルプ: Marketing Cloud Engagement Security Settings (Marketing Cloud Engagement のセキュリティ設定)
- Salesforce ヘルプ: Marketing Cloud Engagement のシングルサインオン
- Salesforce ヘルプ: 透過的データ暗号化
- Salesforce ヘルプ: 監査履歴