Salesforceセキュリティ診断

Salesforceの設定、きちんと漏れなく把握できていますか?

クラウドサービスの脅威

セキュリティ設定不備によるクラウド環境の情報漏えい事件が増加中!

昨今のコロナ禍によるテレワークの急速な推進により、クラウドサービスを業務で活用する企業が増えています。
特に、Salesforceは機能の豊富さから設定項目が数多く存在するにも関わらず、利用にあたっての各種設定をユーザー企業が行う必要があり、ユーザーの設定不備から意図しないセキュリティ問題が生じることによる情報漏えい事故も発生しています。
2021年1月には、内閣サイバーセキュリティセンター(NISC)から「Salesforce の製品の設定不備による意図しない情報が外部から参照される可能性について」の注意喚起が出されました。

Salesforceには、データのアクセス権などの設定不備により、意図しない情報が外部から参照される可能性があります。
サービスの利用状況や各種設定の確認・見直しを行うなど、適切なセキュリティ対策を講ずることが必要です。

※ 出典:内閣サイバーセキュリティセンター(NISC)

https://www.nisc.go.jp/pdf/policy/infra/salesforce20210129.pdf別ウィンドウで開きます

NISCが公開しているSalesforceの本注意喚起に関連する設定ミスによりセキュリティ事故が起きた場合、クラウド事業者と利用者の責任範囲の分界点上、利用者側の責任となりかねないため、利用者側で適切な設定を確実に行う必要があります。

そして、クラウドサービスの特性上、利用者の知らない間に続々と新機能が追加・変更され、運用管理者が気づかぬうちに、セキュリティ上のリスクを抱えてしまう可能性があります。
上述のようなセキュリティ事故を発生させないためにも、継続的に適切な設定値がクラウドサービス上で設定されているのか確認する必要があります。
また、このような確認について当事者での確認はもちろんですが、意図しない見落としを防ぐために、第三者目線での確認も非常に有効です。

サービス内容

Salesforceセキュリティ診断サービスは、企業がご契約のSalesforceの設定にセキュリティ事故のリスクがないか、エンジニアにより設定項目を確認するサービスとなります。
セキュリティ事故の原因となりやすい、ゲストユーザーのセキュリティポリシー関連の設定はもちろん、クラウドサービスを利用するうえで非常に重要となるセキュリティ設定を幅広く診断します。

主な確認項目
(一部のみ抜粋)

カテゴリ 確認項目
ユーザー認証 ログイン時の多要素認証
パスワードポリシーの設定
セッションセキュリティレベルポリシーの設定
ユーザーのアクセス権とオブジェクト共有設定 権限セットの設定
オブジェクトの設定
プロファイルの設定
Shield Platform Encryption でのセキュリティの強化 暗号化ポリシーの設定
暗号化統計の収集設定
鍵の循環設定
組織のセキュリティの監視 ログイン履歴の監視
標準オブジェクトの項目履歴管理
設定変更履歴の取得
リアルタイムイベント監視 リアルタイム監視権限の設定
API イベントポリシーの設定
セキュリティ管理者専用のプロファイル設定
ゲストユーザーのセキュリティポリシー ゲストユーザーのレコードアクセス権の保護
ゲストユーザーの共有ルール設定
ゲストユーザーのオブジェクト権限設定

サービスフロー

Salesforceセキュリティ診断サービスは以下のStep1~Step5のフローで実施します。

診断サービスに関する
注意事項・補足事項

お客様の課題を解決する
最適なプランを
ご提案します。

まずはお気軽にお問い合わせください。

お問い合わせはこちら

セキュリティに関する
お問い合わせ

サイバーセキュリティのさまざまな領域に対し、
セキュリティプロフェッショナルの知見を活かした
「セキュリティ診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。​

ヘルプデスクサポート

0120968995

平日 9:30 - 12:00、13:00 - 17:30
(祝祭除く)

© MOTEX Inc.