SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

全Salesforce管理者が知るべきセキュリティの鉄則:設定上の4つの重要事項とは

 2020年には、Salesforceの設定上のミスによるセキュリティに関するトラブルが相次ぎ、問題になった。クラウドベンダーとユーザー企業には「責任共有モデル」があるが、ユーザー企業のIT部門にとっては、自社が行うセキュリティの担当範囲の理解は進んでいない。WithSecureのSalesforceセキュリティの営業担当の河野真一郎氏、セールスエンジニアの鈴置純也氏に、Salesforce設定上の注意やセキュリティ管理上の要点について話を聞いた。

Salesforceのセキュリティの責任は誰にあるのか?

──2020年の初め頃に、Salesforceの情報流出などの問題が生じました。改めて現在の動向とユーザーがとるべき対策についてうかがいます。

河野:クラウド事業者は、セキュリティに関する責任の分担について明確な、「Shared Responsibility」(責任共有)モデルと呼ばれるセキュリティパラダイムを作成し、クラウド上で運用する場合の役割と責任の概要を示しています。クラウド上のデータやコンテンツの整合性とセキュリティを確保する責任は、常にサービスを利用するユーザー側にあり、ユーザー側でセキュリティ対策が必要になります。

 Salesforceに当てはめると、ユーザーやデバイスの認証、アクセスルールの適用など、システムやアプリケーションのセキュリティにおけるさまざまな側面はSalesforceが保証していますが、プラットフォーム上にアップロードされたデータ、ファイル、リンクを安全に保護することはユーザー側の責任なので、ユーザー側で安全性を確保する必要があります。Salesforce社から日本国内事例作成の際に、公式にいただいたコメントがこちらになります。

 Salesforceサービスではデータプライバシー保護の観点から、ウイルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施しません。システムはお客様より受領したデータをデータベースにエンコードされた形式のまま格納しており、そのデータを解釈し実行するようなことはありません。
したがってウイルスに感染したファイルを格納しても他のファイルやシステムに感染することはありません。マルウェアに関する脅威を低減するための施策として、お客様側でウイルス対策またはマルウェア対策ソリューションを実行いただくことを推奨しています。

 ※2020年7月 お客様事例作成時 受領コメント

──とはいえ、ユーザー企業のIT担当者からすれば、アップされるデータやコンテンツのセキュリティは、Salesforce上でチェックされるという期待もあるのではないでしょうか?

河野:Salesforce社は、上記の通りデータプライバシー保護の観点から、ウイルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施しません。クラウドはセキュリティを含む広範なメリットを企業に提供します。しかし、セキュリティについては責任共有が基本であり、その責任を果たせない組織は、自らとその顧客およびパートナーを、大きなリスクにさらすことになります。

 このような情報を、我々のようなセキュリティベンダーの側からも、クラウド環境、Salesforce環境をご利用になるユーザー企業様の情報システムご担当部門様やSalesforceの運用を担うベンダー様へ、引き続き情報発信をしていく必要があると認識しています。

(左より)WithSecure 法人営業本部シニアセールスマネージャー:河野 真一郎氏
サイバーセキュリティ技術本部 セールスエンジニア 鈴置 純也氏

次のページ
Salesforce設定の4つの重要ポイント

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

京部康男 (編集部)(キョウベヤスオ)

翔泳社 メディア事業部。同志社大学卒業後、人材採用PR会社に就職後1994年から翔泳社に参加。以後、翔泳社の各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在は、嘱託社員の立場でEnterpriseZineをメインに取材・編集・書籍などのコンテンツ制作に携わる。 趣味:アコギ、映画...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16024 2022/05/31 09:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング