セキュリティセンターについて
学習の目的
この単元を完了すると、次のことができるようになります。
- データガバナンスの重要性を説明する。
- 複数のテナントのセキュリティポリシーを追跡する場合の主な課題を挙げる。
- セキュリティセンターの設計目的である主な使用事例を挙げる。
- 親子テナント構造を使用する状況を挙げる。
重要なデータのための手厚い管理
どのセクターにいても成功の鍵となるのは、従業員データ、顧客データ、専有データの保護です。「価値のあるデータ」と聞くと、特許、大手取引先リスト、知的財産、個人識別情報といったいかにも重要なデータが思い浮かびますが、それほど明らかでない情報でも、同じくらい成功に欠かせないものがあります。たとえば、セキュリティの高い認証プロトコルを使用してログインしている (またはしていない) ユーザーの数や、「すべてのデータの編集」権限のような強力な権限を持つユーザーの数などです。
このようなインサイトが複数の組織やテナントにわたって広がっていたらどうでしょうか? 設定やユーザーアクティビティを追跡するには、通常、多数のクリックが必要です。セキュリティレビューや監査のために適切なレコードを取得することや、ポリシー変更をいつどこで行うかを判断するために情報を収集すること、新しいセキュリティポリシーがロールアウト後にどの程度成功しているかを報告することを考えてみてください。
概して、Salesforce システム管理者はいつも大活躍で、データ管理に対する義務を大切にしています。ただし、どんなに優秀な人でも時間の制約があります。そして、システム管理者が多くの役割を果たしている場合は、余分なクリックをするごとに、他の必要な作業を行うための時間を消費してしまいます。
大規模なポリシー監督という大きな仕事
セキュリティに従事している人にとって、データガバナンスは基本業務です。数多くの業務を担当していて、セキュリティがそのうちの 1 つである場合は、データガバナンスという用語よりも、データガバナンスの実務に馴染みがあるのではないでしょうか。米国国立標準技術研究所 (NIST) はデータガバナンスを「エンタープライズ全体を通じてデータアセットが正式に管理されることを保証する一連のプロセス」と定義しています。実用的な言葉に言い換えれば、誰が情報にアクセスできるかを管理し、重要なレコードを長期的に追跡し、そのデータを組織の内外の監視プロフェッショナルに報告するということです。
Salesforce 実装内の価値が高いデータに話を戻しましょう。使用する Salesforce ライセンス数がデータガバナンスの影響を受けるのはなぜでしょうか? あなたが非営利団体で働いているとしましょう。この団体は助成金によって資金を得ていますが、その一部はインフラストラクチャにしか使用できません。そのような助成金を受けている場合、資金の使い道を報告する義務もあるかもしれません。このようなルールがデータガバナンスモデルです。このルールはどの設定に資金を使用できるか (ライセンスなど) や、資金の使い道の表示 (使用しているライセンス数や効率) に影響します。助成金の発行者やソフトウェア資金を担当する内部部門のリーダーに発見事項を報告する必要がある場合もあります。
組織が成長するにつれて、データガバナンスの要件は急速に複雑化します。ビジネスのニーズに適した Salesforce 機能の組み合わせを設定するだけでもシステム管理者にとって大仕事です。さらに複数の Salesforce 組織があり、複数の規制要件がある場合はどうなるでしょうか? 時間の制約がある中で異なる設定のすべてのページをクリックして回るのは、優秀なシステム管理者でも大変です。
幸い、Salesforce セキュリティセンターによって負荷を軽減できます。
データガバナンスを簡単にするセキュリティセンター
Salesforce のロールアウトの規模に関係なく、セキュリティセンターでは 1 つのダッシュボードに価値の高い各種のセキュリティ総計値とガバナンス総計値 (認証方法、権限の割り当て、インストールされたパッケージ、状態チェックのスコアと設定、セキュリティ関連のユーザー総計値と設定総計値) が表示されます。基本的な報告のために概要レベルの総計値合計を知ることも、詳細なレポートで特定の日の変化や合計を調べることもできます。
このような情報の透明性は、次のような各種データガバナンス業務を効率的に実行するために役立ちます。
- ポリシー要件に対する組織やテナントのパフォーマンスを評価する。
- ポリシーに違反している可能性のある使用パターンを特定することでリスクを抑える。
- セキュリティレビューと承認のプロセスを短縮する。
- 全体的なセキュリティ体制を理解する。
- 脅威や異常にすばやく対処する。
- セキュリティ監査のためのデータを効率的に収集する。
セキュリティセンターのしくみ
セキュリティセンターでは、1 つのアプリケーションに認証、権限、ユーザー、設定に関する総計値が表示されます。最大 6 か月分のデータがわかりやすいダッシュボードとグラフに表示されます。概要ダッシュボードとカテゴリダッシュボードには、簡単な監査のための概要レベルのスナップショットが表示されます。
![設定総計値カードが表示されている [設定総計値] ダッシュボード。](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/modules/security-center/learn-about-security-center/images/ja-JP/bb300cbfc74811b19b6e4a69dd206c24_9-e-66038-d-892-f-4-cf-7-a-8-f-1-67-de-63949-d-6-c.jpg)
カテゴリ内の各総計値には固有の詳細ページがあり、グラフと詳細レコードリストビューが含まれています。わかりやすいグラフに経時的なトレンドが表示され、変化があった日は強調表示されます。このアプリケーションのデータは 1 日に 1 回更新されます。それよりも頻繁にデータを監視する必要がある場合は、1 日に複数回、オンデマンドで総計値を更新できます。
セキュリティセンターでカスタムアラートを設定してセキュリティ体制の監視を簡素化します。関心のあるセキュリティ設定に対する変更を直ちに知り、テナントのセキュリティ体制を常に把握するには、カスタムアラートを作成します。セキュリティセンターテナントの設定が設定済みのしきい値を超えると、メールまたは Salesforce アプリケーションでアラートが通知されます。
たとえば、組織の規模が大きくなるにつれて「Modify All Data (すべてのデータの編集)」権限を持つユーザーの数を監視するのは難しくなります。各テナントに割り当てられた権限を定期的に確認する代わりに、アラートを作成できます。これにより、「Modify All Data (すべてのデータの編集)」権限を持つユーザーの合計数が指定したしきい値を超えるか増加したことを知らせるメールおよびアプリケーション内通知を受信します。また、フローを活用して、このような変更を独自のビジネスプロセスに接続することもできます。 この情報を使用して、テナントのセキュリティ体制を再評価できます。
セキュリティセンターで収集されたデータを使用して最も重要な設定を識別し、セキュリティ関連のポリシーを定義して選択したテナントにリリースします。
たとえば、ビジネスで機密性の高い顧客データを処理している場合、Salesforce ベースライン標準よりも高いリスク設定を使用して状態チェックのベースラインを確立したいと考えることがあるでしょう。セキュリティセンターポリシーを使用すれば、ベースラインを作成してセキュリティセンターにアップロードし、関連テナントにリリースすることができます。新しいベースラインが厳しすぎる場合は、ポリシーの新しいバージョンを作成できます。更新された状態チェックのベースラインは、元のベースラインと同じテナントに適用されます。
![セキュリティセンターからリリースできるセキュリティポリシーオプションが表示されている [Security Policy (セキュリティポリシー)] モーダル](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/modules/security-center/learn-about-security-center/images/ja-JP/2fe7a1394d67ba35acd47228f0f7e84d_f-96336-fb-7836-43-bf-8449-0372-ae-366-b-16.jpg)
Sandbox 組織についてはどうでしょうか? 各 Sandbox 組織でアプリケーションにアクセスする必要があるのでしょうか? 違います! 親テナントとして機能する 1 つの組織を選択することで、時間を大幅に節約できます。親テナントは複数の Salesforce 組織からの集計されたセキュリティデータを表示するために使用されます。親テナントにデータを伝達するテナントは子テナントと呼ばれます。子テナントを親に接続すると、すべての接続済みテナント (子と親) からのデータが親のセキュリティセンターアプリケーションに表示されます。
あなたがセキュリティセンターを開いて、上記の詳細ビューが表示されたとしましょう。「Modify All Data (すべてのデータの編集)」権限が割り当てられたユーザー数が 2020 年 12 月 15 日に急増したようです。これは強力なシステム管理者権限であるため、十分に調べる意味があります。![接続済みテナント別の総計値の内訳が表示されている詳細ページの [すべてのデータ] ビュー](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/modules/security-center/learn-about-security-center/images/ja-JP/a1dd12576abf5374e5519ecc62accdad_2-d-8-ada-94-83-a-1-43-d-8-a-0-e-3-e-66-d-18944666.png)
[日付別の変更] 項目から増加が発生した日付を選択して、詳細テーブルを確認します。次に [すべてのデータ] をクリックして、各接続済みテナントでこの権限を持つユーザー数を確認します。どうやらシステム管理者プロファイルが変更され、半数のテナントのシステム管理者がその影響を受けたようです。この場合は、該当するテナントを担当するシステム管理者に問い合わせて、組織のデータアクセスポリシーがすべてのテナントでどのように適用されているかについて理解を深めます。
簡単に言えば、セキュリティセンターはデータを可視化する時間効率の良い方法です。次の単元では、Zephyrus Relocation Services が安全で順調な成長に備えてセキュリティセンターアプリケーションを設定する方法を見ていきます。
