Salesforceのセキュリティ機能は？管理者に求められる対策や注意点も紹介

はじめに

セラクCCCのSalesforce推進部のAです。昨今、ビジネスのデジタル依存度はますます高まっています。一方で、企業を狙ったサイバー攻撃は高度化・複雑化しており、今後はより適切なセキュリティ対策が求められます。

情報システムやセキュリティ対策の担当者がサイバー攻撃に備えるだけでは、企業として十分ではありません。本記事では、Salesforceが提供するセキュリティ機能をはじめ、Salesforce管理者が知っておきたいクラウドサービスのセキュリティリスクや注意点について解説します。

Salesforceが提供するセキュリティ機能

Salesforceは、ユーザ企業がシステムやデータを安全に保護できるように、多様なセキュリティ機能を提供しています。以下では、その代表的な機能を紹介します。

MFA（多様性認証）の実装

MFA（多様性認証）とは、ユーザのログイン時に、2つ以上の要素による本人確認を求めるセキュリティ方法です。一般的に以下の認証要素が用いられます。

• 【知識要素】ユーザだけが知っている情報（例：パスワード、PIN）
• 【所有要素】ユーザだけが所有しているもの（例：スマートフォン、セキュリティキー）
• 【生体認証要素】ユーザの生物学的特徴（例：指紋、顔認証）

これらを2つ以上組み合わせることにより、万が一、1つの認証要素が漏洩したとしても、不正アクセスを防ぎやすくなるので、認証セキュリティを高められます。

パスワードポリシーのカスタマイズ

パスワードの長さや複雑さ、有効期限などのパスワードポリシーを組織の要件に沿って自由に設定し、セキュリティの強化が可能です。他に、ログイン操作の試行回数の制限なども含まれます。

これらの設定は組織全体へ一律に適用するだけではなく、特定のユーザやグループごとの設定も有効です。これにより、機密性の高い情報へのアクセス権をもつユーザには、複雑なパスワードポリシーを適用するなど、きめ細やかな制御を実現できます。

IPアドレスによるアクセス制限

IPアドレス制限により、信頼されたIPアドレス以外からのログインを防止できます。この機能を利用すれば、ユーザに対して、オフィス内の指定端末からしか、Salesforceへアクセスできないように制限をかけるといったことが可能です。

セッションセキュリティの設定

ユーザセッションのセキュリティ設定をカスタマイズできます。とくに、一定時間以上操作がない場合に、自動的にログアウトする「セッションタイムアウト」は、離席した際や休憩時間などに起こる、なりすまし防止に有効です。これにより、無人の端末からの不正なアクセスやデータ漏洩を防げます。セッションタイムアウトの制限時間は、組織のポリシーや業務内容に応じて、自由に設定できます。

リアルタイムのイベントモニタリング

リアルタイムのイベントモニタリング機能を提供しており、これは「いつ・誰が・どこで・どのデータにアクセスしたのか」などの詳細な情報を、リアルタイムで監視する機能です。この機能を利用することで、不正なアクセスや疑わしい動きをすぐに検出し、必要な場合には即座に対策を講じられます。これにより、セキュリティリスクの軽減が可能です。

Salesforceのセキュリティリスクは？過去にあった設定不備問題

前述したように、多様なセキュリティ機能をもつSalesforceですが、設定の不備によって、セキュリティリスクが高まる可能性があります。実際に各社のSalesforce設定不備がセキュリティリスクにつながってしまった事例をご紹介します。

2020年12月、総合通販企業や決済サービス企業が、100万件から1,000万件単位の大規模な顧客個人情報漏洩の可能性を発表しました。

＜NISCの2021年1月29日発表資料の一部＞
出典元：NISC「Salesforce の製品の設定不備による意図しない情報が外部から参照される可能性について」

2021年1月29日に、NISC（内閣官房内閣サイバーセキュリティセンター）が「Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について」との注意喚起を発表。同2月、クラウドサービス提供企業が「自治体に提供したSalesforceを利用したシステムに対して、外部の第三者からのアクセスが確認された」ことを公表しました。この一連の問題は、漏洩の可能性がある個人情報の件数が非常に多く、その後も大手企業や自治体、政府機関の発表が続いたことで話題に上げられました。

設定不備問題の原因

問題の原因は、Salesforceの脆弱性ではなく設定によるものでした。
以下の条件をすべて満たした場合、SalesforceのIDとパスワードを持たない第三者が、ログインせずに外部からレコード情報を参照できる状態になってしまいます。

• ・［ゲストユーザ］にレコード情報を参照する権限が付与されている
• ・ログインせずに、外部からSalesforce内の情報を参照できる［サイト機能］が有効
• ・［サイト機能］の詳細設定画面で、［ゲストユーザのLightning機能］が有効

［ゲストユーザ］は、デフォルト設定でレコード情報を参照する権限が付与された状態になっていますが、この設定だけでは情報漏洩リスクはありません。アップデートで［サイト機能］が追加された際に、特定の条件が重なることで問題になりました。
こうした設定が適切でない場合でも、問題がすぐに顕在化しないケースもあります。

セールスフォース社の対応

セールスフォース社は、ユーザに対して「アップデート内容については事前に確認いただくことを推奨」しています。しかし、権限設定に不備のあるユーザが少なからず存在していたため、Winter’21のアップデートで、「安全性の原則に基づいたゲストユーザセキュリティポリシーの強制適用」を開始。ゲストユーザ権限のデフォルト設定を、情報漏洩リスクの少ない厳しいものに変更しました。

また、ゲストユーザのアクセス権限を確認できるアプリ「ゲストユーザアクセスレポート」の利用と、ヘルプ記事の参照を推奨する注意喚起も実施。［ゲストユーザ］アカウント権限に関するリスク低減に努めています。

Salesforce管理者に求められるセキュリティ対策

クラウドサービスの設定不備が原因で、情報漏洩のリスクが生じた場合、その責任はベンダ企業とユーザ企業のどちらが負うのでしょうか。

今回紹介した問題では、Salesforceは「ゲストユーザの権限設定・変更」を機能として備えており、設定変更の権限と責任はユーザ企業に帰属します。そのため、設定不備による問題が発生した場合、その責任はユーザ企業にあると考えられます。

クラウドサービスは常にアップデートされ、最新の状態で利用できることがメリットです。一方で、アップデートにより機能追加や仕様変更が発生する場合があります。セキュリティの観点から見て、アップデート内容と設定の定期的な確認が重要です。

情報システム担当者がSalesforceについて学び、設定をチェックして最新情報を追い続けることは容易ではありません。そのため、Salesforce管理者は、情報システム担当者と連携を取りつつ、主体的にSalesforceのセキュリティを学ぶことが求められます。

セールスフォース社は、システムパフォーマンスやセキュリティ情報について、コミュニティ情報サイトを通じて、リアルタイムで提供しています。Salesforce管理者はこれらの情報を活用しながら、具体的に次のような対策を実施し、Salesforceに関連したセキュリティリスクを低減することをオススメします。

• ・Salesforceのセキュリティやアクセス権限に関して設定する
• ・Salesforceの年3回のアップデート情報を確認し、セキュリティ関連の設定を見直す
• ・セールスフォース社の運営するサイトで、定期的に最新のセキュリティ情報をチェック

Salesforceのセキュリティ対策の注意点

Salesforceは、強固なセキュリティ機能を提供していますが、それらを最大限に活用するためには、ユーザ側の知識や意識が欠かせません。Salesforceで、セキュリティ対策を実施する際の主な注意点としては、以下のことが挙げられます。

1. ユーザ責任の認識

多様なセキュリティ機能がありますが、それらをどのように活用するかについては、ユーザ側の責任が重要です。パスワードの管理やアカウントの権限設定、データの取り扱い方などはすべてユーザ側で管理しなければならないため、正確な知識をもとに適切な対策を行うことが求められます。

2. セキュリティ知識の習得

Salesforceに備わっている数多くのセキュリティ機能を適切に設定することで、安全性をより高められます。しかし、緻密なセキュリティ設定を行うためには、セキュリティに関する基本的な知識が不可欠です。たとえば、「どのような種類の攻撃が存在するのか」「それらを防ぐためにどのような対策が有効なのか」などが挙げられます。

3. 情報の更新

Salesforceは頻繁に新機能を追加し、既存の機能もアップデートしています。そのため、最新の情報を常にチェックし、必要に応じて設定の見直しを行うことが重要です。

これらの注意点を押さえつつ、自社に合った機能を活用してセキュリティ対策を行うことで、より安全にSalesforceを運用できるようになります。

まとめ

SalesforceはMFAをはじめ、多種多様なセキュリティ機能を搭載しています。しかし、過去にユーザ側の設定不備が原因で、情報漏洩や不正アクセスが起きてしまった事例があります。もし、Salesforceのセキュリティ対策に困っていることがあれば、ぜひセラクCCCへお気軽に無料相談からお問い合わせください。当社はセールスフォース社認定のコンサルティングパートナーとして300名（23年5月時点）を超える経験豊富なコンサルタントが在籍しており、お客様の視点に立ってSalesforceの定着・活用支援サービスを行っています。