状態チェックによるセキュリティ設定の検査
学習の目的
この単元を完了すると、次のことができるようになります。
- 独自の組織にセキュリティ状態チェックを実行する。
- 概要スコアから組織のセキュリティ状態を読み取る方法を説明する。
- 状態チェック情報を取得できる Tooling API オブジェクトを特定する。
メモ
日本語で受講されている方へ
Challenge は日本語の Trailhead Playground で開始し、かっこ内の翻訳を参照しながら進めていってください。Challenge での評価は英語データを対象に行われるため、英語の値のみをコピーして貼り付けるようにしてください。日本語の組織で Challenge が不合格だった場合は、(1) この手順に従って [Locale (地域)] を [United States (米国)] に切り替え、(2) [Language (言語)] を [English (英語)] に切り替えてから、(3) [Check Challenge (Challenge を確認)] ボタンをクリックしてみることをお勧めします。
翻訳版 Trailhead を活用する方法の詳細は、自分の言語の Trailhead バッジを参照してください。
この単元を修了するためには、「設定・定義を参照する」および「パスワードポリシーを管理」ユーザー権限が必要です。
セキュリティ設定を評価するダッシュボードを望んでいる場合
ご希望のダッシュボードが存在します! 「状態チェック」といい、[設定] で使用できます。システム管理者は状態チェックを使用して、組織全般のセキュリティを強化できるほか、ワンクリックでスコアを向上させることができます。このモジュールを修了しなくても状態チェックを実行できます! ここで待っているので実行してみてください。
状態チェックでは、組織のすべてのセキュリティ設定を表示し、セキュリティ設定で脆弱性を特定して修正するという作業をすべて 1 つのページで実行できます。組織のセキュリティの「健全度」が 0 ~ 100 (100 が最も安全) のスコアで示されます。このスコアは、組織のセキュリティ設定 ([あなたの値] 列) が Salesforce の推奨設定 ([標準値] 列) とどの程度一致しているかの測定に基づいて計算されます。
![[79% 良い] というグレードを示す [状態チェック] ユーザーインターフェースのスクリーンショット](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/modules/security_basics/security_basics_healthcheck/images/ja-JP/54bb944c8968ae2048fa7828db8c089b_05-beb-68-f-fed-7-4599-bb-8-a-83-bd-64-d-36-ff-2.png)
概して、設定の制限を厳しくすればスコアが上昇します。たとえば、パスワードの最小文字数を 8 文字から 16 文字に変更し、ログインの許容試行回数を減らしたとします。こうした変更により、パスワードのハッキングやブルートフォース攻撃に対するユーザーアカウントの脆弱性が低下し、組織のセキュリティが強化されます。
組織のセキュリティリスクの特定および修正
状態チェックの機能を確認したところで、実際に試してみましょう。
- Salesforce 組織にログインします。
- [設定] ページに移動します。
-
[クイック検索] ボックスに
状態チェックと入力します (または、[設定] メニューの [セキュリティ設定] までスクロールダウンします)。 - [状態チェック] を選択します。
各設定の横にある [Edit (編集)] リンクをクリックすると、設定を標準値に調整できるページが開きます。状態チェックには、参考のために標準値が示されます。また、状態チェックの [リスクを修正] ボタンをクリックすると、一度にすべての設定を推奨値に変更できます! 設定をまとめて変更すると、インテグレーションなど意図しないものに影響が及んだり、一部のユーザーのアクセス権が誤って削除されたりする可能性があります。そのため、ユーザー表示やアクセス権を調整するときは、まず Sandbox で変更をテストすることをお勧めします。いずれの場合も、一度に 1 つずつ変更することがベストプラクティスです。
![重要なセキュリティ設定のリストを示す、[状態チェック] 内の [セキュリティリスクを修正] のスクリーンショット](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/modules/security_basics/security_basics_healthcheck/images/ja-JP/1831e368608c0aa981996b551b339671_e-2-f-39-ba-9-a-918-4-b-79-b-1-b-4-db-60-ae-010757.png)
カスタムベースライン
状態チェックは、自動的に Salesforce のベースライン (ツールでは「標準値」) に対する組織のセキュリティを測定するよう設定されていますが、独自のベースラインをインポートして、セキュリティビューをカスタマイズすることも可能です。独自のベースラインをこのツールでは「カスタムベースライン」といい、XML ファイルをインポートするだけで追加できます。
システム管理者がカスタムベースラインを追加するのはどのような場合でしょうか? 金融や医療など規制の厳しい業界に従事し、セキュリティ業界の標準とは異なる厳格なコンプライアンス要件を満たす必要があるシステム管理者にとって、カスタムベースラインが役立つものと思われます。状態チェックにカスタムベースラインをインポートする前に、IT やコンプライアンスチームと協議することをお勧めします。
次の動画は、状態チェックスコアを向上させる方法の一例を示しています。
セキュリティセンターや Optimizer を使用して複数の組織のセキュリティを表示する
複数の組織がある Salesforce 環境を実行している場合は、Salesforce のセキュリティセンターを使用して、すべての組織を対象に状態チェックを実行することができます。このツールはアドオンで、状態チェックのように標準装備されているわけではありませんが、複数の組織にまたがる高度な機能を備えています。
セキュリティセンターには、多要素認証 (MFA) を使用してログインしているユーザー数や、管理者レベルの権限を有するユーザーなど、システム管理者にとって重要なインサイトも示されます。Salesforce Optimizer にもこうした機能の一部が装備され、Salesforce Platform 上に構築された製品で無料で利用できます。
API を使用して状態チェック情報を取得するには、コマンドラインと Salesforce アプリケーションへの管理者アクセス権が必要です。