サイバーセキュリティは、プロバイダーとお客様の間で共有される責任です。Salesforce では、プラットフォームのあらゆる部分にエンタープライズ水準のセキュリティを構築していますが、特に昨今、Salesforce のお客様を標的とした巧妙なソーシャルエンジニアリングやフィッシング攻撃が増加している中、データを保護する上でお客様は重要な役割を担っています。
脅威者は、ボイスフィッシング (すなわち「ビッシング」) を含む、さまざまなソーシャルエンジニアリング手法を駆使し、電話で IT サポート部門のメンバーになりすますことが確認されています。彼らは、弊社のお客様の従業員やサードパーティのサポート担当者を、フィッシングページに誘い込み認証情報や MFA トークンを盗む、もしくはユーザーに login.salesforce[.]com/setup/connect ページに移動して悪意のある接続アプリケーションを追加するよう促すことが報告されています。いくつかのケースでは、悪意のある接続アプリケーションがデータローダーを改変したもので、異なる名前やブランドで公開されていることが確認されています。脅威者がお客様の Salesforce アカウントにアクセスするか接続アプリケーションを追加すると、その接続アプリケーションを使用してデータを流出させます。
お客様がサイバーセキュリティの態勢を強化し、このような巧妙な脅威から守ることができるよう、プラットフォームの重要な機能とベストプラクティスを以下にご紹介します。 すべてを網羅しているわけではありませんが、この一覧には、お客様の Salesforce インスタンスを最適に保護するために、十分な情報を得た上でセキュリティに関する決定を下せるよう、その他のリソースへのリンクが含まれています。サポートが必要な場合は、ヘルプポータルから弊社サポート部門までお問い合わせください。
1. ログイン範囲と信頼できる IP を設定する
IP アドレスでアクセスを制限することで、不正アクセスやフィッシング攻撃からデータを保護することができます。企業や VPN ネットワークへのログイン IP 範囲を制限することで、許可される IP アドレスの範囲を定義することができ、未確認または信頼できない IP アドレスは拒否するか、本人認証を要求します。また、プロファイルでのログイン IP アドレスの制限を実施することで、プロファイルレベルでログインアクセスを制御することもできます。これにより、ユーザーのプロファイルで許可される IP アドレスの範囲を設定できます。プロファイルに IP アドレスの制限を定義すると、それ以外の IP アドレスからのログインは拒否されます。
2. 最小特権の原則に従う
ユーザーには必要以上でも以下でもない、業務に必要な権限のみを付与してください。これにより、機密情報への不要なアクセスを制限し、セキュリティリスクを大幅に低減します。ユーザーがデバイスから離れたときに不正なアクセスが発生しないよう、接続アプリ全体のアクセス許可をカスタマイズし、 組織の要件に合わせてセッションセキュリティ設定の変更をしてください。権限セットおよび権限セットグループを使用してユーザー権限をレイヤー化し、プロファイルレベルで一律の権限を付与することを避けてください。このヘルプ記事の手順を参照し、データローダーを設定し、組織内のレコードを一括インポート、更新、または削除できるユーザー数を制限してください 。
Salesforce の設定を利用し、接続アプリケーションを使用できるユーザーと、そのユーザーがどこからアクセスできるのかを接続アプリケーションへのアクセスの管理で制御することができます。特に、「アプリケーションのカスタマイズ」および「すべてのデータの編集」または「接続アプリケーションの管理」の権限を持つユーザーを確認し、このレベルのアクセスが必要か確認してください。接続アプリケーションを使用して API へのアクセスを制限することや、組織内で安全が確認されたアプリケーションを許可リストに追加することも検討する必要があります。また 、セッションセキュリティを管理することで、ユーザーがログイン中の状態でコンピューターから離れた場合に、ネットワークへのアクセスを制限することもできます。
3. 多要素認証 (MFA) の有効化
多要素認証 (MFA) は 、不正なアカウントアクセスからの保護を強化するために不可欠で有効なツールです。高度なサイバー攻撃が頻発する中、パスワードだけでは不正アクセスから防御するのに十分ではありません。MFA は、特にフィッシング攻撃に対する防御レイヤーを追加し、ビジネスの安全性とお客様の保護を強化します。
そのため、Salesforce サービスへのアクセスには MFA を必須としています。お客様の組織で働くサードパーティーを含むユーザーが、この要件に準拠しやすくなるように、Salesforce への直接ログインでは MFA が自動的に有効になります。Salesforce 組織における MFA の詳細については、こちらをご覧ください。
4. Salesforce Shield の包括的なセキュリティツールを検討する
Salesforce 組織内のアクティビティに対するアラートと可視化を強化するには、Salesforce Shield の利用を検討してください。Salesforce Shield は、サイバー攻撃から企業を保護するために開発された強力なセキュリティツールのセットであり、変化するデータプライバシー規制に対応し、Agentforce および Customer 360 環境を保護します。
一例として、Salesforce Shield の主要機能であるイベントモニタリングは、ユーザーの不自然な行動を警告し、疑わしい、または不要な行動を事前に遮断します。誰がいつデータを閲覧したか、データはどこからアクセスされたか、レコードはいつ変更されたか、どこからログインしたかなど、重要なアクティビティを可視化します。また、イベントモニタリングのログを社内のセキュリティツールに取り込み、さらなる分析のためにプロセスをレビューすることもできます。
さらに、Salesforce Shield は以下の機能を提供します。
- 脅威検出イベントは、ユーザーセッションのハイジャック、クレデンシャルスタッフィング攻撃、レポート使用や API コールの異常などの事象を警告します。
- トランザクションセキュリティポリシーは、大容量のダウンロードなどのアクティビティを監視し、これらのアクションが発生したときに自動的にアラートや遮断をトリガーすることができます。
- 機密データの検索と分類、履歴データの保持、データの暗号化の管理など、組織のセキュリティ確保とコンプライアンス維持に不可欠な機能をすべて備えています。
5. セキュリティ連絡先を組織に追加する
セキュリティ上の問題が発生した場合に弊社からお客様の組織に確実に連絡できるよう、Signature および Premier をご契約のお客様は、ヘルプ記事「組織のセキュリティ担当者の管理」に記載されている手順に従って、セキュリティ連絡先を追加することをお勧めします 。また、Standard ユーザーは、システム管理者を更新して最新の状態に維持することをお勧めします。
Salesforce では、信頼を第一に考えており、お客様のデータを保護することを最優先に行動しています。最高レベルのセキュリティを確保し、お客様の組織を保護するために必要なツールをお客様に提供することに尽力しています。Salesforce 環境のセキュリティに関する情報や手順については、 Salesforce セキュリティのほか、 Salesforce セキュリティガイドをご覧ください。
