狙われるSalesforce、セキュリティリスクを回避する方法

こんにちは、吉政創成　菱沼です。

コロナ禍以降、各社はテレワークでも問題なく業務が執り行えるよう、クラウドサービスをはじめとしたシステムの導入や工夫をしてきたと思います。特にクラウドサービスを導入する企業は増えたとされており、Salesforceも売上を伸ばしているひとつのようです。

SalesforceはSFA・CRMというだけでなく、申し込みや問合せの管理に使用されます。

コロナ禍では保健所業務の支援やワクチン接種予約のシステムの裏側でも使用されており、2021年6月には患者管理ソフトウェアの本格的な提供を開始するなど、医療業界にも手を伸ばしはじめました。

さて、そんなSalesforceですが、実は最近Salesforce経由のサイバー攻撃が増加しつつあるそうです。

そこでSalesforceはウイルス検知率において高評価を得ているエフセキュア社と共同でセキュリティソリューションを開発しました。今回はこのソリューションについてご紹介したいと思います。

エフセキュア社によれば、そもそも、クラウドサービスの利用という部分で考えたとき、その責任分界点を正しく理解されていないケースがあるといいます。

例えば、IaaSであればサーバ（物理・仮想）の管理はホスティング事業者が行いますが、その上に乗るOSやミドルウェア、アプリケーション部分は利用者側が行います。

一方、SaaSの場合、アプリケーションの管理までをサービス提供者側が担います。ですが、アプリケーションに入れられた情報やコンテンツの管理、サービスを使用する端末、ユーザーの管理は利用者側が担います。

そのため、利用者側はセキュリティリスクを低減するためにも、アプリケーションを正しい設定と使用方法で使わなければなりません。正しく使用できていない場合、穴がどこかにあいている可能性が捨てきれず、そこから侵入され、改ざんや情報の盗難などの可能性が出てきてしまうからです。

SalesforceはSaaSであるため、システムにアクセスするすべてのユーザーとデバイスの認証や、設定したさまざまなルール、権限、役割の適用などセキュリティ面に対する対策を行っています。

ですが、そのほかのSaaSと同様、Salesforceにアップされたファイルやリンクなどのデータの管理はユーザーが行うものになりますので、それらの安全性の管理をSalesforceは行いません。

設定を誤れば外部からデータを取得できるようになってしまうこともありますし、アカウント奪取など、何らかの手段によってユーザーを装った攻撃者に不正なファイルやリンクをアップされる可能性もあります。

そうしたことを防ぐために、Salesforceには外部に公開しない、接続IPで制限する、多要素認証を設定するなどの対策が用意されています。

例えばテレワーク中の社員が自宅などからアクセスする場合、対象が増えるほどIP制限をかけるのは難しくなりますが、多要素認証が使えます。これは顧客やパートナーと共同で利用する場合でも同様の手段を取ることになると思います。

ですが、昨今増えている問合せや申し込みといった用途で使う場合には、利用者が不特定多数になりますので、用意された対策を取ることは難しくなります。また、利用者側のITリテラシー（パスワードの設定やセキュリティの考え方など）にも依存するため、よりセキュリティに留意する必要があります。

では具体的にSalesforceが抱えるリスクにはどんなものがあるのかというと、次のようなものが挙げられるそうです。（参考）

こうした脅威に対応するために開発されたのが「F-Secure Cloud Protection for Salesforce」です。

このソリューションの特徴は、セキュリティ分析機能によって、ユーザーがアップロードしたすべてのファイルとURLが検査され、コンテンツの安全性とコンプライアンス要件を満たしているかを確認できるところにあります。

また、Salesforce社との共同開発のため、サービスとの親和性が高く、わずか数分で導入が可能です。

ランシステムではこれまでもウイルス検知率において高い評価を得ているエフセキュア社をお勧めしてきました。
特に本ソリューションはSalesforce社との共同で開発されているため、より親和性の高いセキュリティ対策を施すことができます。

詳しく知りたい方は以下サービスページをご参照頂くか、ランシステムにお気軽にお問合せ下さい。
F-Secure Cloud Protection for Salesforce

よかったらシェアしてね！