Salesforceセキュリティ診断サービス Salesforceの設定、きちんと漏れなく把握できていますか?

クラウドサービスの脅威

セキュリティ設定不備によるクラウド環境の情報漏えい事件が増加中!

昨今のコロナ禍によるテレワークの急速な推進により、クラウドサービスを業務で活用する企業が増えています。
特に、Salesforceは機能の豊富さから設定項目が数多く存在するにも関わらず、利用にあたっての各種設定をユーザー企業が行う必要があり、ユーザーの設定不備から意図しないセキュリティ問題が生じることによる情報漏えい事故も発生しています。
2021年1月には、内閣サイバーセキュリティセンター(NISC)から「Salesforce の製品の設定不備による意図しない情報が外部から参照される可能性について」の注意喚起が出されました。

Salesforceには、データのアクセス権などの設定不備により、意図しない情報が外部から参照される可能性があります。
サービスの利用状況や各種設定の確認・見直しを行うなど、適切なセキュリティ対策を講ずることが必要です。
※ 出典:内閣サイバーセキュリティセンター(NISC)

https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf別ウィンドウで開きます

Salesforce Experience Cloud 社内 ナレッジの共有 サポート パートナー企業 営業情報の共有 会員情報の共有 攻撃者 設定不備による不正侵入/情報漏えい 申込 要望・質問 顧客

NISCが公開しているSalesforceの本注意喚起に関連する設定ミスによりセキュリティ事故が起きた場合、クラウド事業者と利用者の責任範囲の分界点上、利用者側の責任となりかねないため、利用者側で適切な設定を確実に行う必要があります。

そして、クラウドサービスの特性上、利用者の知らない間に続々と新機能が追加・変更され、運用管理者が気づかぬうちに、セキュリティ上のリスクを抱えてしまう可能性があります。
上述のようなセキュリティ事故を発生させないためにも、継続的に適切な設定値がクラウドサービス上で設定されているのか確認する必要があります。
また、このような確認について当事者での確認はもちろんですが、意図しない見落としを防ぐために、第三者目線での確認も非常に有効です。

サービス内容

Salesforceセキュリティ診断サービスは、企業がご契約のSalesforceの設定にセキュリティ事故のリスクがないか、エンジニアにより設定項目を確認するサービスとなります。
セキュリティ事故の原因となりやすい、ゲストユーザーのセキュリティポリシー関連の設定はもちろん、クラウドサービスを利用するうえで非常に重要となるセキュリティ設定を幅広く診断します。

Salesforce Experience Cloud 【ユーザー認証、セッション関連】 Lightning Loginによる多要素認証 クリックジャック GSRF保護 複数セッションの動作設定 【ゲストユーザーポリシー関連 プロファイルの設定 共有ルールの設定 オブジェクトの設定 弊社診断エンジニア


主な確認項目(一部のみ抜粋)
カテゴリ確認項目
ユーザー認証 ログイン時の多要素認証
パスワードポリシーの設定
セッションセキュリティレベルポリシーの設定
ユーザーのアクセス権とオブジェクト共有設定 権限セットの設定
オブジェクトの設定
プロファイルの設定
Shield Platform Encryption でのセキュリティの強化 暗号化ポリシーの設定
暗号化統計の収集設定
鍵の循環設定
組織のセキュリティの監視 ログイン履歴の監視
標準オブジェクトの項目履歴管理
設定変更履歴の取得
リアルタイムイベント監視 リアルタイム監視権限の設定
API イベントポリシーの設定
セキュリティ管理者専用のプロファイル設定
ゲストユーザーのセキュリティポリシー ゲストユーザーのレコードアクセス権の保護
ゲストユーザーの共有ルール設定
ゲストユーザーのオブジェクト権限設定

サービスフロー

Salesforceセキュリティ診断サービスは以下のStep1~Step5のフローで実施します。

事前準備 Step1 事前ヒアリング 事前に環境のヒアリングやサービスの流れ、スケジュール等の確認を実施いたします。 Step2 環境の設定 お客さまにてSalesforce環境の設定をお願いしております。設定マニュアルは事前にご提示いたします。 診断/報告書作成(約3週間) Step3 診断の実施 Salesforce環境の診断を実施します。 Step4 報告書作成 診断結果をもとに不適合項目を抽出し、報告書にまとめます。 Step5 問い合わせ対応 報告書内容に関する問い合わせ(報告書提出後約3か月以内)対応いたします。

診断サービスに関する注意事項・補足事項

  • 連携先Salesforceの設定閲覧権限を持ったアカウント情報のご提供が必要になります。
  • 上記アカウント設定の切り戻しについてはお客さまにてご対応をお願いします。
  • 本診断はSalesforceが対象となります。
  • 本診断はセールスフォース・ドットコムが提供している以下の内容を基に診断項目を作成して実施します。
    -セキュリティガイドの「ユーザーの認証」項目
    -ゲストユーザーセキュリティポリシーのベストプラクティス

価格

「お問い合わせはこちら」より、お問い合わせください。
※資料についてもお問い合わせよりお申し込みください。


カタログダウンロード

京セラコミュニケーションシステム(KCCS)は、セキュリティブランド「SecureOWL」を展開しています。
鋭い眼光と広い視野で暗闇でも見通すフクロウ(OWL)をブランドのキャラクターとしました。お客さまの環境を監視し、大切な情報を守るためのセキュリティソリューションを提供します。

ページトップへ