サイバー攻撃者が企業が利用しているクラウドプラットフォームへの攻撃を強めている今日、セールスフォースサービス上のコンテンツを効果的に保護することは極めて重要です。この投稿では、セールスフォースサービス上のコンテンツに関連するリスクと、F-Secure Cloud Protectionが攻撃者を阻止する方法についてご説明します。
Salesforceは、数あるSaaSサービスの中でもトップクラスのシェアを誇っており、世界をリードするクラウドプラットフォームとしてITへの大規模な投資をすることなく、組織のセールス機能を強化することのできる実証済みのサービスとして、多くの企業にとってクラウドサービス導入のの最初のステップとなっています。
ところが、利用企業の中には「クラウドサービスを安全に保護することはサービスプロバイダ側の責任であり、利用者である自分たちがやるべきことではないのでは?だからこそ、彼らは、第三者機関による各種の認定を取得しているのでは?」と疑問を投げかける人もがいます。
クラウドサービスの契約では、サービスプロバイダとユーザー企業の責任範囲を取り決めた「責任共有モデル」が存在します。セールスフォースサービスを利用の際、Salesforceはサービスプロバイダとしてシステムとアプリケーションのセキュリティにおけるさまざまな面を維持管理することを保証しています。 たとえば、システムにアクセスするすべてのユーザーとデバイスの認証や、設定したさまざまなルール、権限、役割の適用などが含まれます。 しかしながら、セールスフォースサービス環境にアップロードされたファイルやリンクを保護することはユーザ側の責任範囲であり、アップロードした人が、社内のスタッフ、外部のパートナーや顧客などであってもユーザ側に責任が生じます。
規制当局とは争わない
また、「責任共有」の契約は破棄すべきとは決して考えないでください。セキュリティとデータ保護の取り組みが不十分であると見なされた場合、企業は会社としての評判を落とすだけでなく、規制当局からの罰金、訴追の対象となる場合があります。
すでに、GDPR (EUの一般データ保護規則)では、セキュリティの責任を逃れたと見なされた企業に対して、厳しい罰金を課しており、他の地域もこれを踏襲しています。たとえば米国では、新しいCCPA(カリフォルニア州消費者プライバシー法)がEU同様に牙をむいており、米国の他の州も規制の有力なモデルとなっています。
従来のセキュリティ対策では不十分
現行のセキュリティシステムで十分にカバーされていると思うかもしれませんが、インハウスのシステムセキュリティに重点を置いてきたこれまでのセキュリティ対策は、クラウドサービス向けのセキュリティ対策として不十分です。たとえ、マルウェア、ランサムウェア、悪意のあるリンク、その他の脅威から内部システムを保護し、適切に構成されたファイアウォールやネットワークセキュリティシステムを使用している場合でも、セールスフォースサービスのようなクラウドシステムへのアクセスは、これらの保護を迂回するケースががよく起こります。
たとえば、社員や外部パートナーが個人所有のスマートフォンやノートPCなどのデバイスを使用してセールスフォースサービスに直接ログインしている場合、それらのデバイスで包括的な最新のセキュリティシステムが実行されている場合を除いて、セールスフォースサービスであるのSales CloudやChatterなどで悪意のあるリンクや感染したファイルを気付かずに共有してしまうことを防ぐ方法はありません。 その後、セールスフォースサービス上に分散された脅威は、ネットワークを介して伝播し、最終的には内部システムの損傷またはデータ漏洩につながる可能性があります。 また、コミュニティクラウドサービスのパートナーや顧客が感染したファイルをダウンロードすることで、システム、デバイス、データを侵害し、法的、評判的、経済的な影響をもたらす可能性があります。
セールスフォース・ドットコム社との共同開発
それでは、利用企業の観点でセールスフォースサービス環境を保護するために必要なことを確実に行うにはどうすればよいでしょうか? この課題の解決こそが、エフセキュアがF-Secure Cloud Protection for Salesforceを開発する際に注力した点になります。
セールスフォースサービスではデータプライバシー保護の観点から、ウイルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施していません。システムはお客様より受領したデータをデータベースにエンコードされた形式のまま格納しており、ウイルスに感染したファイルを格納しても他のファイルやシステムに感染することはありません。
しかしながら、エフセキュアのこのシステムは専用のセキュリティコンポーネントを提供し、プラットフォームの使用を妨げることなく、セールスフォースサービスにアップロードまたはダウンロードされるファイル、リンク、Eメールによってもたらされるセキュリティのリスクを軽減することができます。また、セールスフォースサービスとAPI連携されているため、SalesforceのAppExchangeから数分でインストールが完了でき、ミドルウェアの設定やネットワーク構成の変更などの追加のIT作業は一切必要ありません。
F-Secure Cloud Protection for Salesforceの仕組み
ユーザがファイルやその他のコンテンツをセールスフォースサービス (例:Sales Cloud、Community Cloud、Service Cloudなど)にアップロードまたはダウンロードするたびに、マルウェア、フィッシングリンク、不適切なコンテンツ、許可されていないファイルタイプなどの脅威を自動的にスキャンされます。さらに、定期的なスキャン (Salesforceの指定された領域、またはそこにあるすべてのユーザ情報)を設定しすることもできるため、F-Secure Security Cloudの導入前にアップロードされたファイルのスキャンも可能です。
システムがファイルの脅威を認識しなかった場合、そのファイルはF-Secure Security Cloudにアップロードされ、複数のマルウェア対策エンジンを使用してより詳細な脅威分析が行われます。この分析では、1日80億を超えるクエリを処理しますが、次世代のセキュリティとリアルタイム脅威分析が可能な最先端の技術、手法、インテリジェンスが駆使されます。また、システムは高度な機械学習技術を使用してさらに分析するために、当社のSmart Cloud Sandboxにファイルを送信するかどうかを決定します。Sandboxでは振舞いを安全に観察して、非常に高度な「ゼロデイ」脅威を特定することもできます。
なぜ他社製品よりも優れているか?
AppExchangeから利用できる他社のセキュリティ製品は、セールスフォースサービスにファイルがアップロードされたときのみスキャンし、ダウンロードされたときにはスキャンされません。つまり、アップロードの後にコンテンツが変更された場合は(たとえば、悪意のあるユーザがリンクを改ざんしてマルウェア配布サイトへ誘導する場合)、脅威を検知することができません。さらに、セキュリティ対策を改善するために情報に基づく意思決定を行おうとしても、それに必要な分析機能が欠けています。
また、AppExchangeの外部にある全社的なセキュリティシステムを使用して、アップロード・ダウンロードされた脅威の両方についてセールスフォースサービスをスキャンすることができます。これは、Cloud Access Security Broker(CASB)と呼ばれるミドルウェアに接続することで実現しています。 ただし、エフセキュアのようなセールスフォースサービス環境と統合されたソリューションは、エンドツーエンドで暗号化されますが、CASBの場合は途中で暗号化を解除する必要があるため、本質的に脆弱性が発生する恐れがあります。
F-Secure Cloud Protectionは、豊富なレポート、柔軟なアラート機能、高度な分析、および完全なデータ処理の内容を追跡調査できる記録する機能を備えています。つまり、セキュリティ担当者はコンテンツベースの攻撃を数秒で調査し、セールスフォースサービスを攻撃のソースとして特定または除外し、攻撃者の詳細(IPアドレス等)を明らかにすることができます。また、悪意のあるコンテンツにアクセスしてしまったユーザを特定することもできます。管理者は、組織のセキュリティポリシーに従って、潜在的な脅威への自動対応をカスタマイズすることもできます。たとえば、実行ファイルなどのコンテンツをブロックするか、警告付きでユーザにフラグを立てるかを決定できます。
コンテンツ保護がビジネスに不可欠な理由
今日のすべての組織は、サプライヤー、ベンダー、パートナー、そして顧客が相互に接続された広範なWeb上で運営されています。
サプライチェーンは長く延び、多くの場合、サプライチェーン内の組織間に高度な相互依存関係ができています。
組織間の結びつきが強いほど、サイバーリスクにさらされる機会が増えます。したがって、多くの組織は、企業の成長と革新を妨げる可能性があるために、Salesforce Community Cloudなどの共有クラウドプラットフォームの使用を制限しています。
エフセキュアは、Salesforceに対するクラウドの保護を有効にすることで、Salesforceの使用を安全に拡張し、以前はリスクが高すぎると考えられていた領域で効果的にコラボレーションする機会を提供します。エフセキュアの究極の目標は、組織がセキュリティを犠牲にすることなくイノベーションを実現することです。
ヤフーのカスタマーサポート部門で採用
8,000万もの一般ユーザを持つヤフー株式会社のカスタマーサポート部門には、同社の各サービスを合算すると1日あたり数千件の問合せがあります。同社が問合せ受付サービスのプラットフォームとして利用しているクラウドサービスがセールスフォースサービスであり、同社では更なるセキュリティ強化のためにF-Secure Cloud Protection が採用され、添付ファイルやURLの安全性を確保、スタッフ/ユーザに大きなメリットを提供しています。
事例の詳細はこちらからご確認ください。
将来を見据えた保護
F-Secure Cloud Protectionを使用すると、ユーザとしてセキュリティの共有責任モデルを遵守するだけでなく、セールスフォースサービスのセキュリティに対して参照基準を適用することで、要件を満たすだけでなく、さらに上回ることができます。エフセキュアの継続的に更新される脅威インテリジェンス機能を活用することで、脅威のランドスケープが変貌していても、セールスフォースサービス環境は常に最適な保護を確保することができます。詳細については、こちらから製品のパンフレットとソリューション概要をダウンロードしてください。
カテゴリ