適切な Salesforce セキュリティ設定の選択

学習の目的

この単元を完了すると、次のことができるようになります。

  • 現在 Salesforce で利用できる組み込みのセキュリティ機能を挙げる。
  • マルチテナンシーによる組織のセキュリティ保護について説明する。
  • 監視と監査を区別する。
  • どのユーザがどのデータを参照するかを決定する方法について説明する。

セキュリティレイヤ

あなたのデータを守ることは、あなたと Salesforce の共同責任です。Salesforce のセキュリティ機能を使用して、必要以上の支障をもたらすことなく、ユーザが効率的に業務を遂行できるようにします。

セキュリティチーム

Salesforce システム管理者は、自動的に会社のセキュリティチームの一員になります。セキュリティは、Salesforce サービス全般の基盤です。データやアプリケーションを保護するだけでなく、組織のニーズに合わせて独自のセキュリティスキームを構築することもできます。

Salesforce セキュリティは多数のレイヤを連動させてビジネスの安全性を確保します。データが社外の不正なアクセスから保護される一方で、社内のユーザによる不適切な使用から保護する安全策も必要です。当社ではデータが悪者の手の届かない場所に保管されるようにし、ネットワークを移動中のデータも保護します。システム管理者はユーザを追跡し、適切なユーザが適切なデータを処理できるようにします。私たちは協力して、ユーザがデータの安全を確保するようトレーニングします。

Salesforce セキュリティは、複数のレイヤによる安全性の基盤です。

プラットフォームに組み込まれた機能を有効にすれば、会社の操作環境をできる限りセキュアなものにすることができます。セキュリティに万全な戦略や機能はありません。けれども、こうした機能で実装を補強すれば、組織が侵害を受ける可能性が減少し、また侵害されてもデータの損失が軽減されるものと思われます。

実装へのセキュリティを増強する最善の方法は、Salesforce のターンキー機能を有効にして使用することです。手軽な機能からすぐに活用します。犯罪者が容易な突破口を見逃すことはありません。あなたも見逃してはなりません!

マルチテナンシー

Salesforce はマルチテナントプラットフォームです。つまり、コンピューティングリソースを 1 つのプールに集約して、さまざまな顧客のニーズに対応します。Salesforce では、一意の識別子を各ユーザのセッションに関連付け、お客様の組織のデータを他のあらゆる顧客組織から守ります。組織にログインすると、この識別子を使用してそれ以降の要求が組織に関連付けられます。

Salesforce では、インターネットセキュリティに使用可能な最先端の技術をいくつか採用しています。Salesforce でサポートされているブラウザを使用してアプリケーションにアクセスすると、トランスポートレイヤセキュリティ (TLS) 技術により、サーバ認証と従来の暗号化の両方を使用して情報を保護し、データの安全性を確保し、組織の登録済みユーザだけが使用できるようにします。

また、Salesforce は、ファイアウォールやその他の高度な技術を使用する安全なサーバ環境にホストとされ、外部の侵入者からの妨害またはアクセスを阻止します。

適切なユーザのログイン許可

Salesforce 組織のセキュリティを強化する有力な方法の 1 つが、ユーザのログイン時に二次的な認証を義務付けることです。たとえば、ユーザに Salesforce Authenticator モバイルアプリケーションからの通知に応答させるか、携帯電話またはハードウェアトークンから取得したコードを入力させることが考えられます。こうした対策により、万が一ユーザのログイン情報が漏洩した場合でも、ユーザのアカウントが保護されます。

複数の種類の認証の規定

Salesforce では、Salesforce Authenticator を使用して多要素認証を [設定] から簡単に設定できます。ユーザの負担を最少限にするために、多要素認証の設定は、システム管理者や請求の詳細といった機密データへのアクセス権があるユーザなど、一定のプロファイルに限定することを検討します。

ユーザがログイン可能な IP アドレスの制限

承認済みの範囲内の IP アドレスから Salesforce にログインするようユーザに義務付けることを検討します。これは通常、企業 VPN に属するアドレスからログインすることを意味します。指定された範囲外のアドレスから Salesforce にログインしようとしても、許可されません。この方法により、悪意のある人物がフィッシングやその他の攻撃でログイン情報を窃取しても、企業ネットワーク外からはその情報を利用できません。信頼済み IP アドレス範囲は、組織全体あるいは特定のユーザプロファイルに対して設定できます。

過去のユーザの無効化

最近では人々の転職がかつてないほど増えています。人々が退職しては新規ユーザが追加される中、Salesforce ユーザは常に変化しています。ユーザが退職したときは、システム管理者がセキュリティを保護する必要があります。ユーザをできる限り早急に無効にし、退職者が Salesforce ログイン情報を使用して組織にログインできないようにします。

ユーザが実行可能な操作の制限

マルチレイヤのアクセスおよび制御によって、Salesforce 組織で「誰が何を参照できるか」や「誰が何を実行できるか」が決まります。Salesforce 組織が複数ある場合は、組織ごとにこれらの制御を設定します。

ユーザが何を実行できるか?

ユーザの現在のセッションの認証 (ログイン) 方法に関連付けられているセキュリティレベルに基づいて、特定の種類のリソースへのアクセスを制限することができます。デフォルトでは、ログイン方法ごとに標準と高保証という 2 つのセキュリティレベルのいずれかが設定されます。セッションセキュリティレベルを変更してポリシーを定義すると、指定したリソースの使用を高保証レベルのユーザに限定することができます。

ユーザが何を実行したか?

項目監査履歴を使用すると、項目履歴管理とは関係なく、アーカイブ済みの項目履歴データを最長 10 年保持するポリシーを定義できます。この機能により、監査機能とデータ保持に関する業界の規制に準拠できます。設定変更履歴は、システム管理者やその他の管理者が組織に対して行った最近の設定変更を追跡します。監査履歴は、特に管理者が複数いる組織で役立ちます。

次の動画は、組織で誰が何を実行できるかを管理する方法について説明します。

その他のセキュリティオプション


データの暗号化

プラットフォームの暗号化を使用すると、重要なプラットフォーム機能を保持したまま、データにセキュリティの新しいレイヤが追加されます。選択したデータが、高度な鍵派生システムを使用して暗号化された状態で保存されます。データをこれまで以上に細かいレベルで保護できるため、会社が非公開データの処理に関するプライバシーポリシー、規制要件、契約義務に確実に準拠できます。

プラットフォームの暗号化は、アドオンの強力なセキュリティ機能パッケージである Salesforce Shield に含まれています。

セキュリティイベント発生時の自動アクションのトリガ

トランザクションセキュリティポリシーは、指定したイベントを使用してアクティビティを評価します。ポリシーごとに、通知の送信、ブロック、多要素認証の強制、終了するセッションの選択といったリアルタイムアクションを定義します。

たとえば、ユーザあたりの同時セッション数を制限するポリシーを有効にするとします。さらに、ポリシーがトリガされたときにメールを送信するようにポリシーを変更します。また、ポリシーの Apex 実装を更新して、ユーザのセッション数をデフォルトの 5 セッションから 3 セッションに制限します。大変なように聞こえますが、どれも簡単に行えます。その後、ログインセッションが 3 つあるユーザが 4 つ目のセッションを作成しようとします。この操作はポリシーによって阻止され、新しいセッションを開始する前に既存のいずれかのセッションを終了するようユーザに求めます。同時に、ポリシーがトリガされたことが通知されます。

トランザクションセキュリティは、アドオンの強力なセキュリティ機能パッケージである Salesforce Shield に含まれています。

組織のイベントの監視

イベントモニタリングを使用すると、イベントログファイルにアクセスして、ユーザアクティビティや機能の採用を追跡したり、問題をトラブルシューティングしたりすることができます。また、データログを独自のデータ分析ツールと統合することもできます。

イベントモニタリングは、アドオンの強力なセキュリティ機能パッケージである Salesforce Shield に含まれています。

無料で学習を続けましょう!
続けるにはアカウントにサインアップしてください。
サインアップすると次のような機能が利用できるようになります。
  • 各自のキャリア目標に合わせてパーソナライズされたおすすめが表示される
  • ハンズオン Challenge やテストでスキルを練習できる
  • 進捗状況を追跡して上司と共有できる
  • メンターやキャリアチャンスと繋がることができる