組織の保護に関するユーザ教育
学習の目的
ユーザへの教示
Salesforce ユーザに安全な行動について教育すれば、実装のセキュリティ保護に大きな効果があるものと思われます。
データの安全性の確保における個々のユーザの役割を過小評価してはなりません。ユーザ教育を徹底します。データの安全性の確保に対するユーザの認識を向上させ、その役割を果たすモチベーションを高めるために各人が実践してきた創造的な方法について、同僚や Salesforce システム管理者と話し合います。
パスワードの設定上の注意
パスワードの履歴、文字数、複雑性の要件とともにその他の値を設定し、ユーザがパスワードを忘れた場合の処理も指定します。
多要素認証やシングルサインオンなど、保護を強化する補足的な技術を採用しているかどうかに関係なく、以下の簡単なベストプラクティスを実践すればパスワードの脅威が軽減されます。
パスワードを頻繁に変更する
一意のパスワードを義務付ける
パスワードは長いほど安全
解読されにくいパスワードにする
パスワードを絶対に教えない
フィッシング詐欺の回避策
幸い、セキュリティエキスパートでなくても不正ソフトウェアを阻止することは可能です。
件名の調査
不審なメールが届いたときにリンクをクリックしたり、添付ファイルを開いたりしないようユーザに教示します。フィッシングメールは、人間の通常の行動に付け入ってメールを開けるように誘い込みます。たとえば、小包を配達予定である、あるいは給料支払小切手を受け取り可能であるなどと記載されていることがあります。本物かどうか定かでない場合は、受信したメールの件名を Google で検索し、フィッシング詐欺として報告されていないか確認します。
送信元の検討
メールのリンクをクリックする前によく考えるようユーザに指示します。送信者のアドレスを必ずチェックし、リンク上にカーソルを置いて検証します。たとえば、リンクの移動先が Salesforce である場合、リンク上にカーソルを置いて URL の末尾が salesforce.com かどうか確認します。
Salesforce に照会
メールの送信元が Salesforce かどうか定かでない場合は、そのメールを会社のセキュリティ担当者か security@salesforce.com に転送します。会社のセキュリティチームが Salesforce 信頼チームと協力して悪意のあるメールを特定します。また、trust.salesforce.com にアクセスして、信頼チームが把握しているメール脅威の最新リストを確認することもできます。
ユーザ教育の徹底
ユーザの行動をわずかに変えるだけで、大きな効果がもたらされることがあります。Salesforce セキュリティチームが当社の従業員にフィッシングメールを送信したところ、当社のセキュリティトレーニングを受講していた人は、トレーニングを受講していない従業員と比べて、フィッシングのリンクをクリックする割合がわずか半分で、フィッシングを報告する割合が 2 倍近いことが判明しました。こうしたトレーニングを定期的に実施します。ログインフローを使用して、上記の原則をユーザに繰り返し伝えることや、ユーザにトレーニング資料へのリンクを表示することも考えられます。