組織の保護に関するユーザ教育

学習の目的

この単元を完了すると、次のことができるようになります。

• 強力なパスワードポリシーについて説明する。
• フィッシングメールに騙されない方法を説明する。
• ユーザ権限の「最小権限」アプローチを定義する。

ユーザは貴重なデータにアクセスできる

前の単元で説明したとおり、今日のサイバー犯罪の標的は大抵が従業員で、財務記録や医療データといった機密データにアクセスできる従業員はハッカーの恰好のターゲットです。そのため、Salesforce ユーザに安全な行動について教育することが、会社の実装の保護やお客様のデータの安全確保に大きな効果があるものと思われます。

データの安全確保においては、個々のユーザが極めて重要な役割を果たします。Salesforce データの安全確保における各自の役割についてユーザを教育すれば、長期的なメリットがあります。企業が所有し得る最も貴重な財産はお客様の信頼です。そして、日々お客様の信頼を獲得するために、データの安全を確保することはシステム管理者の責務です。 

データの安全性の確保に対するユーザの認識を向上させ、その役割を果たすモチベーションを高めるために各人が実践してきた創造的な方法について、同僚や他の Salesforce システム管理者と話し合います。誰が一番早く多要素認証 (MFA) を有効にできるかを競う大会やゲームを開催するなど、ユーザが楽しめる形でセキュリティ教育を行う方法を考案すれば、ユーザが安全な行動を身に付けやすくなります。また、より体系的なアプローチとして、IT チームやサイバーセキュリティチームと連携して定期的にフィッシングテストを実施し、ハッカーからのフィッシングメールに常に目を光らせるようユーザをトレーニングすることも考えられます。

パスワードの設定上の注意

パスワードは、Salesforce 実装を不正なアクセスから守る防衛の最前線です。Salesforce ではユーザアカウントの保護を強化するために、MFA を使用して Salesforce にアクセスすることをお客様に求めています。MFA では、アクセスするために複数の形式の認証が必要になります。通常は、本人が知っていること (パスワードなど) と、本人が所有するもの (モバイル認証アプリケーションのコードなど) を使用します。ただし、すべてのプラットフォームがこの安全なユーザアクセス方法に対応しているわけではありません。最低限でもパスワードの履歴、文字数、複雑性などの要件を設定してパスワードのセキュリティを強化し、ユーザがパスワードを忘れた場合の処理も指定します。

米国標準技術局 (NIST) では、デジタル ID 認証とライフサイクル管理のガイドラインを定期的に公開しています。MFA やシングルサインオン (SSO) など、保護を強化する補足的なテクノロジを採用しているかどうかに関係なく、以下のごく簡単なベストプラクティスを実践すればパスワードの脅威が軽減されます。

一意のパスワードを使用する

私たちの誰もが、いくつもの Web サイトに Rover123 のような単純なパスワードを繰り返し設定した経験があるものと思われます。パスワードを使い回せば覚えやすくて便利ですが、こうしたことがしょっちゅう行われているため、攻撃者はパスワードを少しずつ変形させて解読を試みます。Web サイトやプラットフォームが侵害 (ハッキング) された場合、こうした安全でないパスワードを利用して重要な情報にアクセスするというのが攻撃者のごく一般的な手口で、ユーザのログイン情報が公開されたり販売されたりします。侵害された Web サイトで使用していたパスワードを、オンラインバンキングや企業データベースへのアクセスなどの重要な操作にも使用していれば、深刻な問題が生じるおそれがあります。同じパスワードを少しずつ変形させている場合でも、攻撃者は異なるバージョンを試行して多数のサイトにアクセスできます。 

複雑なパスワードを使用する 

パスワードは 10 文字以上にする必要がありますが、長ければ長いほど安全です。実際の用語を連結させた覚えやすいパスフレーズに、1 つ以上の数字と 1 つ以上の記号を組み合わせることをユーザに推奨します。強力なパスワードとなるのは、「CouchEagle$Window9783Fan」のようなものです。

年に 1 度パスワードを変更する

年に 1 度パスワードをリセットすることをユーザに義務付けます。

パスワードを教えない

オンラインでも電話でも、パスワード (Salesforce パスワードを含む) を誰にも教えてはならないことをユーザに念を押します。 

パスワードマネージャを使用する

LastPass や 1Password のようなパスワードマネージャを使用することも、強力なパスワードの安全性を確保する有効な方法の 1 つです。組織がパスワードマネージャを導入していることもありますが、導入していない場合でも個人的に使用することができます。パスワードマネージャを使用すると、あらゆる Web サイトのログイン情報を保存することや、安全なパスワードを生成してセキュリティ保護されたデータベースに保存することができるため、使用する各サービスの複雑かつ強力なパスワードを覚えておく必要がありません。パスワードマネージャでも MFA を有効にして、セキュリティを強化することをお勧めします。 

Salesforce がメールや電話でシステム管理者やそのユーザに連絡し、パスワードを聞くことは絶対にありません。Salesforce を装った人物から連絡があり、パスワードやその他の機密情報 (社会保障番号など) を聞かれた場合は、ただちに security@salesforce.com に報告してください。

フィッシング詐欺に騙されない

フィッシング攻撃の大半はマルウェア (悪意のあるソフトウェア) を使用して、パスワードやデータの窃取を目的とするコードでコンピュータを感染させたり、コンピュータまたはネットワーク全体を妨害したりします。ただし、システム管理者やそのユーザがセキュリティのエキスパートでなくても、フィッシングメールを特定することは可能です。

件名や送信者のメールを検索エンジンで検索する

フィッシングメールは前述のとおり、人間の通常の行動に付け込んで、悪意のあるリンクのクリックや添付ファイルのダウンロードを行うよう仕向けるものです。こうしたメールは、小包を配達予定である、あるいは給料支払小切手を受け取り可能であるなど、実際にありそうな事柄に基づいているため簡単に信じてしまう可能性があります。多くの場合、送信者のメールアドレスが実際の送信者の会社名と一致していないために不信感を抱きます。  メールが正当なものかどうか定かでないときは、件名や送信者のメールアドレスを検索エンジンに入力し、フィッシング詐欺として報告されていないか確認します。

クリックする前に送信元を検討し、リンクを検証する

不審なメールや心当たりのない送信者からのメールが届いたときは、絶対にリンクをクリックしたり、添付ファイルを開いたりしないでください。ユーザにも見覚えのない送信者からのメールについては、クリックする前によく調べるよう指示します。メール内のリンクの正当性を確認するもう 1 つの裏技は、リンクの上にカーソルを置いてリンク先を確認することです。たとえば、メールに Salesforce のマーケティングホワイトペーパーへのリンクをクリックするよう指示されている場合には、リンク上にカーソルを置いて URL の末尾が salesforce.com かどうかを確認します。

Salesforce に照会

メールの送信元が Salesforce かどうか定かでない場合は、会社の IT チームやサイバーセキュリティチームに通知します。サイバーセキュリティチームにはメールのヘッダーが必要なため、必ず不審なメールのコピーを添付ファイルとして security@salesforce.com に転送します。その際、件名に「フィッシング」または「マルウェア」と記載して、フィッシングメールの疑いがあることを伝えます。 

通常は、会社のセキュリティチームが Salesforce セキュリティチームと協力して悪意のあるメールを特定します。また、security.salesforce.com で、Salesforce セキュリティチームが把握している最近のメール脅威のリストを確認できます。

ユーザと連携してセキュリティを保護する

ユーザの行動をわずかに変えるだけで、大きな効果がもたらされることがあります。Salesforce セキュリティチームが従業員にフィッシングメールを送信したところ、セキュリティトレーニングを受講していた人は、トレーニングを受講していない従業員と比べて、フィッシングのリンクをクリックする割合がわずか半分で、フィッシングを報告する割合が 2 倍近いことが判明しました。各自の会社でフィッシングテストを実施することを検討し、セキュリティの次のベストプラクティスに従うことをユーザに定期的に通知します。

権限の慎重な付与

重要なセキュリティ対策として、ユーザには各自の職務の遂行に必要な最低限のアクセス権を付与します。この概念を最小権限の原則といいます。 

たとえば、ビジネスアナリストは顧客の請求情報を参照する必要がありません。極めて有効なベストプラクティスは、システム管理者権限を有するユーザ数を制限し (通常は 5 人以下を推奨)、この個々のユーザに引き続きシステム管理者権限が必要かどうかを定期的に確認することです。表示や権限を項目レベルで制限することもできます。時間が経てば誰にどのアクセス権が必要かも変化するため、定期的にアクセス権を見直すメカニズムを設置することが重要です。

リソース

• Salesforce ブログ: Be a Security-Minded Admin (セキュリティ意識の高いシステム管理者になる)
• 外部サイト: NIST Special Publication 800-63B: Digital Identity Guidelines (NIST 特別刊行物 800-63B: デジタル ID のガイドライン)
• Trailhead Live: Low Code Love — Maintain a Secure Maintain a Secure Org and Scale With Confidence (ローコードの強味 — 安全な組織を維持し、自信を持って拡大する)
• Trailhead Live: Admin Best Practices: Remove Security Risks From Your Org With a User Audit (システム管理者のベストプラクティス: ユーザ監査で組織からセキュリティリスクを排除する)
• Trailhead: ユーザ認証
• Salesforce セキュリティ: Salesforce セキュリティのリソース