セキュリティデータを収集して確認する
学習の目的
この単元を完了すると、次のことができるようになります。
- セキュリティセンターアプリケーションを設定する。
- セキュリティセンターのどこにトレンドが表示されるかを見つける。
- 認証とユーザーのトレンドがセキュリティポリシーにどのように影響するかを説明する。
メモ
セキュリティセンターは、Developer Edition 組織では無料で使用できます。それ以外のすべてのエディションでは、ライセンスを購入する必要があります。
運は勇敢な者の味方
最初の単元で学習したように、成功する企業はデータの保存方法、アクセス方法、保護方法に細心の注意を払っています。Zephyrus Relocation Services という会社がセキュリティセンターを使用して安全で効率的な事業拡大を計画する様子を見ていきましょう。
ZRS は母国から外国へ転勤する企業従業員向けの全般的な転勤管理サービスを提供していて、現在のどこからでも働ける時代はヨーロッパの市場へと拡大するチャンスだと捉えています。ZRS の経営陣はヨーロッパのデータガバナンスとプライバシーに関する法律に準拠するために自社のデータガバナンスポリシーを調べて調整する必要があります。そこで、事業拡大の前に必要な監査、ガバナンス、ポリシー業務を行うためにセキュリティのスペシャリストチームを雇うことにします。
優秀な新しい Salesforce システム管理者の Calvin Green はプロジェクトをうまく開始するための良い考えを思いつきます。カンファレンスでデモを見たセキュリティセンターがこの業務に最適なツールだということです。Calvin はセキュリティセンターアプリケーションを設定して、会社の既存のセキュリティ設定の初期レビューを行うことを申し出ます。
ZRS には、1 つの本番組織と複数の Sandbox 組織があります。この Sandbox 組織は会社の DevOps プロセスで使用されており、機密の本番データが含まれている可能性があります。Calvin は本番組織を親テナントとしてセキュリティセンターを設定し、Sandbox 組織を子テナントとして接続します。これで、すべてのセキュリティデータが 1 つのビューで集計されて使用できるようになります。新しいセキュリティチームが来れば、彼らが Calvin の初期レビューに基づいて推奨を作成できます。
ZRS のセキュリティセンターのライセンスが有効になって数日後に、Calvin は普段よく使用されている ZRS テナントにログインします。彼はアプリケーションランチャーを開き、[セキュリティセンター] を選択します。[概要] ページには昨日の総計値の概要と、各総計値の前日からの変化量が表示されます。アプリケーションではデータの収集がすでに開始されています。順調です!
カスタムアラートを設定してテナントのセキュリティ体制を常に把握できるようになりました。90% 以上の状態チェックスコアを維持したいため、状態チェックスコアが低下すると通知を受信するようにアラートを作成できます。そうすれば、セキュリティの脅威を評価し、テナントを保護するためのアクションを実行できます。
独自のセキュリティセンター親テナントを設定する
試してみたい方は、親テナントを自分で作成してみましょう。
セキュリティセンターのハンズオンを実行する
このモジュールでは、セキュリティセンターで親テナントを作成する手順を説明します。このモジュールにハンズオン Challenge はありませんが、以下の手順を実際に実行してみたい方のために Trailhead Playground の起動方法をご紹介します。まず、Trailhead にログインしていることを確認します。次に、このページの右上にあるユーザーアバターをクリックして、ドロップダウンから [ハンズオン組織] をクリックします。開く組織の横にある [起動] をクリックします。または、新しい Playground を作成する場合は、[Playground を作成] をクリックします。
ここで説明する手順を実行するには、2 つ以上の Playground が必要です。1 つは親テナントとして使用し、それとは別の 1 つ以上を子テナントとして使用します。
- 親テナントと子テナントの両方で「セキュリティセンターの管理」権限を持っていることを確認します。この権限は、自分に割り当てられている既存の権限セットに追加できます。または、新しい権限セットを追加し、そこに「セキュリティセンターの管理」権限を追加し、権限セットを自分に割り当てます。重要なことは、親テナントと子テナントの両方で権限を持つようにすることです。
- セキュリティに関する集計データを表示するテナントにログインします。これが親テナントです。
- アプリケーションランチャーから、[セキュリティセンター] を選択します。
- [接続済みテナント] タブをクリックします。
-
[テナントを接続] をクリックします。
実務では、テナント環境種別が重要です。本番環境の親テナントは本番環境または Sandbox 環境の子テナントに接続できます。親テナントが Sandbox 環境にある場合は、Sandbox 環境の子テナントのみを接続できます。
ログイン画面が開きます。
- ログイン画面で、接続する子テナントのログイン情報を入力します。子テナントのログイン情報は「セキュリティセンターの管理」権限を持つユーザーのものである必要があります。
- [ログイン] をクリックします。
- 認証済み接続を確認するように求められます。[許可] をクリックします。
これで親テナントが作成されました。[接続済みテナント] ページが更新され、追加した子テナントに関する詳細が表示されます。
子テナントは何個でも接続することができ、いつでも子テナントを切断できます。
データガバナンスを簡単に
セキュリティセンターが稼働開始したところで、情報に基づく判断を行うためにアプリケーションを使用する方法を見ていきましょう。
権限を把握する
自宅の鍵と同じように、権限は大切なものへのアクセスを許可するものであるため、常に把握しておく価値があります。ZRS には 1,500 人近い従業員がいるため、データの特定のカテゴリに誰がアクセスできるかを厳密に管理する必要があります。ZRS のシステム管理者は最小権限の法則に従います。つまり、ユーザーには業務に必要な最低限のアクセス権が付与されます。セキュリティセンターには「すべてのデータの編集」や「すべてのデータの参照」のような機密性の高い権限に対するアクセス権を持っているユーザー数が表示されます。また、「Apex 開発」のようなスペシャリスト権限も表示されます。この権限では重要なビジネスプロセスを操作するカスタムツールへのアクセス権が付与されます。[権限] ダッシュボードを見たところ、割り当ては安定しているようです。システム管理者チームが先週計画した変更はなかったため、これは予想どおりです。Calvin は表示された内容に満足し、次の作業に進みます。
![過去 7 日間の権限の割り当てが表示されている [権限] ダッシュボード。](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/modules/security-center/gather-and-review-security-data/images/ja-JP/a5e3f22fde3eeb51133c4147d55f7928_e-249-c-26-d-f-71-e-4-b-0-f-9588-16-e-32-d-46121-e.png)
認証パターンを評価する
システム管理者は、ユーザーが本人であることを確認し、ユーザーが簡単で安全にログインできるようにする責任を負っています。多要素認証 (MFA) などの安全性の高い認証方法では、ユーザーはパスワードとユーザー名以外のものも提供する必要があります。ZRS では、すべての従業員と一部の北米顧客に MFA を義務付けます。現在ロールアウト中で、このフェーズは四半期末までに完了する予定です。Calvin は親テナントにログインし、ロールアウトの状況を確認するために [種別ごとの認証] ダッシュボードカードを表示します。
![最近のログイン数の折れ線グラフが表示されている [種別ごとの認証] ダッシュボードカード。](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/modules/security-center/gather-and-review-security-data/images/ja-JP/53d85c5b1d82f470addd348ecf987e4c_758550-db-514-a-40-e-7-aa-1-b-2-c-5-c-6-feaf-35-c.png)
いくつかのテナントではまだ MFA が使用されていないようです。理想的ではない状況ですが、貴重なフィードバックです。セキュリティスペシャリストはこのデータをロールアウト計画と合わせて使用して、MFA 採用率を高めるための推奨事項を提案できます。
パッケージとユーザーアクティビティを監視する
Calvin は別のシステム管理者から、Salesforce 実装のさまざまな構成要素をすべて把握することがいかに難しいかということを聞きました。どのインストール済みパッケージで最新の (そして最も安全な) バージョンが使用されているかを追跡するには時間がかかります。通常、管理パッケージ、未管理パッケージ、AppExchange パッケージのレビューはテナントごとに行われます。すべてのパッケージを 1 か所に表示できれば、データの流出が発生する可能性のある未承認のアプリケーションが存在しないことをすばやく確認できます。
さらに、新しいユーザーのオンボーディングと従業員の離職に伴う Salesforce ライセンスの追跡もあります。Calvin は [User and Profile (ユーザーとプロファイル)] ダッシュボードで、過去 90 日間に活動のなかったユーザーが少数存在することを知ります。彼は活動のないユーザーの詳細ページを開き、昨日の日付を選択します。レコードテーブルから、該当するユーザーは退職した従業員と以前の顧客であることがわかります。つまり、ZRS はこれらの Salesforce ライセンスを回収して他のユーザーに使用することができます。
セキュリティレビュースケジュールにセキュリティセンターを組み込む
数日間の分析の後、Calvin は発見したトレンドに関する予備レポートを作成します。Calvin は従業員の離職プロセスを合理化してライセンスを迅速に回収し、権限セットとプロファイルの割り当てを変更して権限割り当てを厳格化するためのいくつかのアイデアを持っています。彼にはまた、なぜ MFA の採用率がそれほど高くないかについても考えがあります。彼はこのレポートをセキュリティチームに渡します。そして、セキュリティセンターには 6 か月分のデータが保持されるため、彼はこのデータについて説明したり、チームがデータ自体を見ることを希望すればデータへのアクセス権を付与したりできます。
セキュリティセンターによって Calvin は何日分もの時間を節約できました。Zephyrus Relocation Services は効率的、安全、スケーラブルなデータコンプライアンス計画を作成するのに必要な作業を順調に開始しました。
