EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

全Salesforce管理者が知るべきセキュリティの鉄則:設定上の4つの重要事項とは

 2020年には、Salesforceの設定上のミスによるセキュリティに関するトラブルが相次ぎ、問題になった。クラウドベンダーとユーザー企業には「責任共有モデル」があるが、ユーザー企業のIT部門にとっては、自社が行うセキュリティの担当範囲の理解は進んでいない。WithSecureのSalesforceセキュリティの営業担当の河野真一郎氏、セールスエンジニアの鈴置純也氏に、Salesforce設定上の注意やセキュリティ管理上の要点について話を聞いた。

Salesforceのセキュリティの責任は誰にあるのか?

──2020年の初め頃に、Salesforceの情報流出などの問題が生じました。改めて現在の動向とユーザーがとるべき対策についてうかがいます。

河野:クラウド事業者は、セキュリティに関する責任の分担について明確な、「Shared Responsibility」(責任共有)モデルと呼ばれるセキュリティパラダイムを作成し、クラウド上で運用する場合の役割と責任の概要を示しています。クラウド上のデータやコンテンツの整合性とセキュリティを確保する責任は、常にサービスを利用するユーザー側にあり、ユーザー側でセキュリティ対策が必要になります。

 Salesforceに当てはめると、ユーザーやデバイスの認証、アクセスルールの適用など、システムやアプリケーションのセキュリティにおけるさまざまな側面はSalesforceが保証していますが、プラットフォーム上にアップロードされたデータ、ファイル、リンクを安全に保護することはユーザー側の責任なので、ユーザー側で安全性を確保する必要があります。Salesforce社から日本国内事例作成の際に、公式にいただいたコメントがこちらになります。

 Salesforceサービスではデータプライバシー保護の観点から、ウイルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施しません。システムはお客様より受領したデータをデータベースにエンコードされた形式のまま格納しており、そのデータを解釈し実行するようなことはありません。
したがってウイルスに感染したファイルを格納しても他のファイルやシステムに感染することはありません。マルウェアに関する脅威を低減するための施策として、お客様側でウイルス対策またはマルウェア対策ソリューションを実行いただくことを推奨しています。

 ※2020年7月 お客様事例作成時 受領コメント

──とはいえ、ユーザー企業のIT担当者からすれば、アップされるデータやコンテンツのセキュリティは、Salesforce上でチェックされるという期待もあるのではないでしょうか?

河野:Salesforce社は、上記の通りデータプライバシー保護の観点から、ウイルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施しません。クラウドはセキュリティを含む広範なメリットを企業に提供します。しかし、セキュリティについては責任共有が基本であり、その責任を果たせない組織は、自らとその顧客およびパートナーを、大きなリスクにさらすことになります。

 このような情報を、我々のようなセキュリティベンダーの側からも、クラウド環境、Salesforce環境をご利用になるユーザー企業様の情報システムご担当部門様やSalesforceの運用を担うベンダー様へ、引き続き情報発信をしていく必要があると認識しています。

(左より)WithSecure 法人営業本部シニアセールスマネージャー:河野 真一郎氏
サイバーセキュリティ技術本部 セールスエンジニア 鈴置 純也氏

著者プロフィール

  • 京部康男 (編集部)(キョウベヤスオ)

    翔泳社 メディア事業部。同志社大学卒業後、人材採用PR会社に就職後1994年から翔泳社に参加。以後、翔泳社の各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在は、嘱託社員の立場でEnterpriseZineをメインに取材・編集・書籍などのコンテンツ制作に携わる。 趣味:アコギ、映画鑑賞。 Mail : kyobe(a)shoeisha.co.jp

バックナンバー

連載:EnterpriseZine Press

もっと読む

All contents copyright © 2007-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5