組織の保護に関するユーザ教育

学習の目的

この単元を完了すると、次のことができるようになります。

  • 強力なパスワードポリシーと脆弱なパスワードポリシーの違いを説明する。
  • フィッシングメールにひっかからないようにする方法をいくつか挙げる。
  • ユーザ権限の最小主義的アプローチについて説明する。

ユーザへの教示

昨今の攻撃の標的はユーザです。攻撃の対象が法人、政府、個人取引先のいずれでも、その突破口としてまずユーザが狙われます。

Salesforce ユーザに安全な行動について教育すれば、実装のセキュリティ保護に大きな効果があるものと思われます。

データの安全性の確保における個々のユーザの役割を過小評価してはなりません。ユーザ教育を徹底します。データの安全性の確保に対するユーザの認識を向上させ、その役割を果たすモチベーションを高めるために各人が実践してきた創造的な方法について、同僚や Salesforce システム管理者と話し合います。

パスワードの設定上の注意

パスワードは防衛の最前線です。場合によっては、あなたと惨事を隔てる唯一のものがパスワードであることもあります。

パスワードの履歴、文字数、複雑性の要件とともにその他の値を設定し、ユーザがパスワードを忘れた場合の処理も指定します。

多要素認証やシングルサインオンなど、保護を強化する補足的な技術を採用しているかどうかに関係なく、以下の簡単なベストプラクティスを実践すればパスワードの脅威が軽減されます。

パスワードを頻繁に変更する

パスワードを最長 90 日ごとにリセットするようユーザに義務付けます。

一意のパスワードを義務付ける

1 つ以上のアカウントが侵害された場合に備えて、パスワードを複数のアカウントに使い回さないようユーザに念を押します。ハッカーは人々がパスワードを使い回すことを知っており、ハッキングされたパスワードを他のサイトにも試します。パスワードを使い回すことは、ハッカーを容易に突破させることになります。

パスワードは長いほど安全

パスワードを 10 字以上にすることを義務付けます。

解読されにくいパスワードにする

パスワードに文字と数字を組み合わせることを義務付けます。パスワードに複数の単語を含めるようユーザに指示すると安全性がさらに高まります。意味をなさないフレーズは、ランダムな文字列よりも覚えやすく、解読が一層難しくなるものと思われます。

パスワードを絶対に教えない

オンライン経由でも直接会っている相手にも、パスワード (Salesforce パスワードを含む) を絶対に教えないようユーザに念を押します。Salesforce システム管理者にも教えてはなりません!

フィッシング詐欺の回避策

攻撃の大半は不正ソフトウェアを使用して、パスワードやデータの窃取を目的とするコードによってコンピュータを感染させるか、コンピュータまたはネットワーク全体を妨害します。

幸い、セキュリティエキスパートでなくても不正ソフトウェアを阻止することは可能です。

件名の調査

不審なメールが届いたときにリンクをクリックしたり、添付ファイルを開いたりしないようユーザに教示します。フィッシングメールは、人間の通常の行動に付け入ってメールを開けるように誘い込みます。たとえば、小包を配達予定である、あるいは給料支払小切手を受け取り可能であるなどと記載されていることがあります。本物かどうか定かでない場合は、受信したメールの件名を Google で検索し、フィッシング詐欺として報告されていないか確認します。

送信元の検討

メールのリンクをクリックする前によく考えるようユーザに指示します。送信者のアドレスを必ずチェックし、リンク上にカーソルを置いて検証します。たとえば、リンクの移動先が Salesforce である場合、リンク上にカーソルを置いて URL の末尾が salesforce.com かどうか確認します。

Salesforce に照会

メールの送信元が Salesforce かどうか定かでない場合は、そのメールを会社のセキュリティ担当者か security@salesforce.com に転送します。会社のセキュリティチームが Salesforce 信頼チームと協力して悪意のあるメールを特定します。また、trust.salesforce.com にアクセスして、信頼チームが把握しているメール脅威の最新リストを確認することもできます。

ユーザ教育の徹底

ユーザの行動をわずかに変えるだけで、大きな効果がもたらされることがあります。Salesforce セキュリティチームが当社の従業員にフィッシングメールを送信したところ、当社のセキュリティトレーニングを受講していた人は、トレーニングを受講していない従業員と比べて、フィッシングのリンクをクリックする割合がわずか半分で、フィッシングを報告する割合が 2 倍近いことが判明しました。こうしたトレーニングを定期的に実施します。ログインフローを使用して、上記の原則をユーザに繰り返し伝えることや、ユーザにトレーニング資料へのリンクを表示することも考えられます。

権限の慎重な付与

重要なセキュリティ対策として、ユーザには職務の遂行に必要な最低限のアクセス権を付与します 。(「最小権限の法則」といいます)。

たとえば、ビジネスアナリストは顧客の請求情報を参照する必要がありません。管理者権限を有するユーザ数を制限し、同じ個人であっても管理者権限が必要かどうかを定期的に確認します。誰にどのアクセス権が必要かは時間とともに変化します。