Salesforceセキュリティ診断サービス Salesforceの設定、きちんと漏れなく把握できていますか?
 |
 |
クラウドサービスの脅威
セキュリティ設定不備によるクラウド環境の情報漏えい事件が増加中!
昨今のコロナ禍によるテレワークの急速な推進により、クラウドサービスを業務で活用する企業が増えています。
特に、Salesforceは機能の豊富さから設定項目が数多く存在するにも関わらず、利用にあたっての各種設定をユーザー企業が行う必要があり、ユーザーの設定不備から意図しないセキュリティ問題が生じることによる情報漏えい事故も発生しています。
2021年1月には、内閣サイバーセキュリティセンター(NISC)から「Salesforce の製品の設定不備による意図しない情報が外部から参照される可能性について」の注意喚起が出されました。
Salesforceには、データのアクセス権などの設定不備により、意図しない情報が外部から参照される可能性があります。
サービスの利用状況や各種設定の確認・見直しを行うなど、適切なセキュリティ対策を講ずることが必要です。
※ 出典:内閣サイバーセキュリティセンター(NISC)
https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf
NISCが公開しているSalesforceの本注意喚起に関連する設定ミスによりセキュリティ事故が起きた場合、クラウド事業者と利用者の責任範囲の分界点上、利用者側の責任となりかねないため、利用者側で適切な設定を確実に行う必要があります。
そして、クラウドサービスの特性上、利用者の知らない間に続々と新機能が追加・変更され、運用管理者が気づかぬうちに、セキュリティ上のリスクを抱えてしまう可能性があります。
上述のようなセキュリティ事故を発生させないためにも、継続的に適切な設定値がクラウドサービス上で設定されているのか確認する必要があります。
また、このような確認について当事者での確認はもちろんですが、意図しない見落としを防ぐために、第三者目線での確認も非常に有効です。
サービス内容
Salesforceセキュリティ診断サービスは、企業がご契約のSalesforceの設定にセキュリティ事故のリスクがないか、エンジニアにより設定項目を確認するサービスとなります。
セキュリティ事故の原因となりやすい、ゲストユーザーのセキュリティポリシー関連の設定はもちろん、クラウドサービスを利用するうえで非常に重要となるセキュリティ設定を幅広く診断します。
主な確認項目(一部のみ抜粋)
| カテゴリ | 確認項目 |
|---|---|
| ユーザー認証 | ログイン時の多要素認証 | パスワードポリシーの設定 | セッションセキュリティレベルポリシーの設定 |
| ユーザーのアクセス権とオブジェクト共有設定 | 権限セットの設定 | オブジェクトの設定 | プロファイルの設定 |
| Shield Platform Encryption でのセキュリティの強化 | 暗号化ポリシーの設定 | 暗号化統計の収集設定 | 鍵の循環設定 |
| 組織のセキュリティの監視 | ログイン履歴の監視 | 標準オブジェクトの項目履歴管理 | 設定変更履歴の取得 |
| リアルタイムイベント監視 | リアルタイム監視権限の設定 | API イベントポリシーの設定 | セキュリティ管理者専用のプロファイル設定 |
| ゲストユーザーのセキュリティポリシー | ゲストユーザーのレコードアクセス権の保護 | ゲストユーザーの共有ルール設定 | ゲストユーザーのオブジェクト権限設定 |
サービスフロー
Salesforceセキュリティ診断サービスは以下のStep1~Step5のフローで実施します。
診断サービスに関する注意事項・補足事項
- 連携先Salesforceの設定閲覧権限を持ったアカウント情報のご提供が必要になります。
- 上記アカウント設定の切り戻しについてはお客さまにてご対応をお願いします。
- 本診断はSalesforceが対象となります。
- 本診断はセールスフォース・ドットコムが提供している以下の内容を基に診断項目を作成して実施します。
-セキュリティガイドの「ユーザーの認証」項目
-ゲストユーザーセキュリティポリシーのベストプラクティス
価格
「お問い合わせはこちら」より、お問い合わせください。
※資料についてもお問い合わせよりお申し込みください。
エムオーテックス株式会社は、セキュリティブランド「SecureOWL」を展開しています。
鋭い眼光と広い視野で暗闇でも見通すフクロウ(OWL)をブランドのキャラクターとしました。お客さまの環境を監視し、大切な情報を守るためのセキュリティソリューションを提供します。