セキュリティとコンプライアンス

 

Salesforce の業界をリードするカスタマープラットフォームは、世界をリードするエンタープライズクラウドエコシステムへと成長しました。モバイル、ソーシャルメディア、クラウドにおける最新テクノロジーを駆使して、あらゆる業界のあらゆるサイズの企業が利害関係者とこれまでにないつながりを持てるよう支援しています。 このビジョンは、お客様データの機密保持、整合性、セキュリティを最優先事項としてとらえる Salesforce の基本的価値がなければ実現できません。

実現に向けて、Salesforce の経営陣は、提供するサービスのセキュリティを確保し、継続的に改善することに力を注いでいます。そのサービスの 1 つが、Government Cloud の実現です。 Salesforce Government Cloud は、Salesforce のマルチテナント型パブリッククラウドインフラストラクチャーの一部であり、米国防総省、政府委託業者、連邦政府出資研究開発センター(FFRDCs)など連邦政府、州政府、地方自治体の機関での使用向けに特別にセグメント化されています。

Salesforce は信頼を最も大切にしています。 当社ではお客様データのプライバシーこそが何よりも重要です。”

Salesforce 共同創業者、Parker Harris

Salesforce は、包括的なプライバシーとセキュリティに関する以下の基準および認証へのコンプライアンスを維持してます。

FedRAMP

米国連邦政府のリスク・認証管理プログラム(FedRAMP)は、クラウドベースの製品およびサービスに対するセキュリティ評価、認証、継続的なモニタリングの手法に基準を設けるための米連邦政府プログラムです。 政府機関全体で評価と認証を繰り返し行うことで、安全なクラウドソリューションの導入を加速する支援を行ってきました。 FedRAMP は、連邦情報セキュリティマネジメント法(FISMA)に基づいて定められた、標準化された要件を使用して、クラウドソリューションのセキュリティの一貫性と信頼性を高めることを目的としています。 米国政府の顧客を支援している、または米国政府の情報に基づいて運営しているクラウドサービスプロバイダー(CSP)は、FedRAMP が定める要件に従う責任を負います。

2014 年 5 月、Salesforce は Salesforce Government Cloud に対し、アメリカ合衆国保健福祉省(HHS)が発行する中レベル影響度の FedRAMP エージェンシー運用認定(ATO)を取得し、それ以降維持しています。

Salesforce Government Cloud は、Salesforceのマルチテナント型コミュニティクラウドインフラストラクチャーの分割されたインスタンスであり、米国防総省、政府委託業者、連邦政府出資研究開発センター(FFRDCs)など連邦政府、州政府、地方自治体の機関での使用を特に想定しています。 Salesforce Government Cloud のサービスモデルはサービスとしてのプラットフォーム(PaaS)とサービスとしてのソフトウェア(SaaS)です。 Salesforce Government Cloud は、Salesforce サービス(Sales Cloud、Service Cloud、Chatter、Analytics Cloud、Work.com)、Force.com プラットフォーム、業界向けアプリ(Health Cloud、Financial Services Cloud)、プラットフォームの暗号化、コミュニティ、これらの製品の運用をサポートするバックエンドインフラストラクチャーで構成されています。  現在、運用認定の対象となっている Salesforce 製品の一覧をご希望の場合は、お問い合わせください。

米国防総省

米国防総省(DoD)は、FedRAMP が定める一般的な要件の範囲に加え、独自の情報保護要件を定めています。 FedRAMP の要件を基盤とし、米 DoD は DoD クラウド コンピューティング セキュリティ要件ガイド(SRG)内にクラウドコンピューティングのセキュリティおよびコンプライアンス要件を追加で定義しました。 米 DoD の顧客をサポートするクラウドサービスプロバイダーは、これらの要件に従う必要があります。

国防情報システム局影響レベル 2(DISA IL2)

Salesforce Government Cloud は、Salesforce Government Cloud が取得済みの FedRAMP エージェンシー AOT に加え、国防情報システム局(DISA)より、情報影響レベル 2 の暫定認証を獲得しています。 この認証獲得により、米 DoD の顧客は一般公開が許可されている情報やワークロード、具体的には"管理および機密扱いされていない情報"に対し Salesforce Government Cloud を使用できるようになります。 さらに、この認証は、"重要情報"扱いはされていないものの、一定のアクセス制限を必要とする非機密扱い情報を対象としています。

NIST特別公開 800-171

2015 年 12 月 30 日、米国防総省は国防総省調達規則補足(DFARS 252.204-7012)を更新し、元請業者とその下請け業者に米国国立標準技術研究所(NIST)の特別公開(SP)800-171 連邦政府外のシステムと組織における管理された非格付け情報の保護(CUI)を遵守するよう求めています。 規則改定により、2017 年 12 月 31 日までの委託業者は NIST SP 800-171 要件を、委託業者が所有または運用している、または委託業者向けに所有または運用されており、管理された非格付け情報(CUI)を含む対象の国防情報を処理、保管、発信する非格付け情報システムに完全に適用しなければなりません。

Salesforce Government Cloud においては、DoD 委託業者は Salesforce Government Cloud の既存の FedRAMP エージェンシー運用認定(ATO)を参照することができます。 Salesforce Government Cloud の ATOは、NIST 特別公開 800-53 改訂第四版連邦政府情報システム及び組織に対するセキュリティ及びプライバシー管理策に基づき、中レベル影響度で付与されました。 NIST SP 800-171 の付録 D には、NIST SP 800-171 の要件と NIST SP 800-53 改訂第四版の管理の対応付けが記載されています。

IRAP

情報セキュリティ公認監査人プログラム(iRAP: Information Security Registered Assessors Program)は、オーストラリア通信電子局(ASD)の取り組みの 1 つであり、オーストラリアのセキュリティを支援するために、高品質の情報通信技術(ICT)サービスを政府に提供することを目的としています。iRAP は、民間企業から公営企業までの個人によるオーストラリア政府へのサイバーセキュリティ評価サービスの提供を公認する枠組みを提供しています。 iRAP 公認監査人は、ICT セキュリティの独立評価を行い、リスク軽減策を提案し、残存リスクを指摘することができます。iRAP 監査人は、クラウドサービスなどに対し極秘レベルまで評価することが可能です。

イベント監視とプラットフォームの暗号化

複雑なセキュリティ要件、管理要件、コンプライアンス要件を持つお客様をさらにサポートするため、Salesforce Government Cloud では、お客様が利用可能な Force.com プラットフォームでネイティブに構築された質の高い統合サービスを提供しています。 イベント監視サービスとプラットフォームの暗号化サービスの詳細は以下の通りです。

イベント監視

イベント監視サービスにより、お客様は Salesforce サービスアプリのこれまでにない可視性を得ることができます。これにより、ユーザーがどの IP アドレスからどのデータにアクセスし、そのデータに関連してどのようなアクションを取っているかを簡単に確認できます。 お客様は、API(アプリケーションプログラムインターフェイス)を使って標準的な CSV(カンマ区切り)ファイルにアクセスするだけで、使用状況データをさまざまな可視化ツールにインポートできます。 この機能により、ページビューまたはリストビューの印刷、レコードの編集および作成、レコード所有者の変更、リストの変更、ユーザーによるデータのエクスポートなどの履歴を追跡できます。

プラットフォームの暗号化

Salesforce の暗号化サービスを利用することで、部署や代理店は標準項目とカスタム項目の両方や添付ファイルを、検索機能、Chatter、Lookup などの主要な Salesforce 機能とネイティブに統合する方法で暗号化することができます。 プラットフォームの暗号化サービスは、Force.com プラットフォームにネイティブに組み込まれており、お客様が重要なアプリケーション機能を維持しながら保存時にデータ(Salesforce Service に送信されたデータ)を暗号化することを可能にします。

プラットフォームの暗号化サービスは FIPS 140-2 に準拠しており、データ、ファイル、添付ファイルを暗号化します。 お客様は、ハードウェアセキュリティモジュールをベースとするデータ暗号化鍵のライフサイクルの管理が可能になり、ポリシー設定を管理できます。

その他のコンプライアンス認証

Salesforce Government Cloud の提供および運営において、Salesforce は、HIPAA セキュリティルールの要件が事業提携者としての Salesforce に適用される範囲で同ルールに準拠しています。 また、Salesforce Government Cloud に対し、以下の世界で最も厳しいセキュリティ標準と監査標準への準拠を維持しています。

  • PCI DSS Level 1
  • ISO 27001/27018
  • SOC 1/SSAE 16/ISAE 3402(旧 SAS70)
  • SOC 2
  • SOC 3


Salesforce のセキュリティに関する詳細は、https://trust.salesforce.com/ja/ をご覧ください。

公共機関向けCRMで将来に備える

Salesforce公共機関向けプラットフォームの機能の詳細をご確認ください。人々をつなぎ、プロセスを合理化する戦略の策定に役立つ、これまでにないソリューションをご提案します。