世界的なパンデミックにより、企業はテレワークの実施を継続しています。 その中でハッカーは、クラウド利用する従業員の単純な不注意によるセキュリティの脆弱性を狙ってシステムを攻撃しており、特にSalesforceが主な標的となっています。この記事では、Salesforceを安全に利用する方法をご紹介します。
コロナ過の最中、企業は驚くほどの速さで業務を維持してきましたが、これは主にリモートワークやクラウドベースのコラボレーションツールの利用が増えたことによるものです。 多くの企業にとって、市場をリードするSaaSプラットフォームであるSalesforceは、チームがどこにいても同僚や社外のパートナーと情報、ドキュメント、ファイル、メッセージを共有するための重要な基盤となっています。そのため、リモートワーカーがドキュメントやその他のファイルをSalesforceにアップロードできるように、規制を緩和する企業が大幅に増加しています。
しかし、セキュリティの観点からは、このプラットフォーム上での共同作業が爆発的に増加したことで、厄介な問題が発生しています。エフセキュアの「セキュリティ脅威のランドスケープ2020年上半期レポート」では、次のように指摘しています。「さらに多くのデータが物理的に保管されていたり、社外からアクセスが可能になってきています。リモートワーカーは、安全性の低いデバイスやネットワークを使って業務をおこなっている可能性が高く、IT/セキュリティ部門の社員との日々の直接的なコミュニケーションの機会も減少しています」
利用者としての責任を理解する
組織の多くは、業務の継続的な維持に力を入れているため、システムの安全性を攻撃から守ることには目をつぶっています。 Salesforceのような大手のクラウドプロバイダーは、多数のセキュリティ認証や認定を表示しているため、多くの組織は、セキュリティはサービスプロバイダーに任せておけばよいと考えています。しかし、通常クラウドサービスプロバイダーと契約する際には、セキュリティの「責任共有モデル」にも契約することになります。
これをSalesforceに当てはめると、ユーザーやデバイスの認証、アクセスルールの適用など、システムやアプリケーションのセキュリティにおけるさまざまな側面をSalesforceが保証することを意味します。しかし、プラットフォーム上にアップロードされたデータ、ファイル、リンクを安全に保護することはユーザ側の責任になります。アップロードされたデータ、ファイル、リンクが、従業員、、外部のパートナー、顧客、はたまたユーザーを装ったハッカーであったとしても、誰によって行われたかは問いません。
たとえば、攻撃者はリモートワーカーに、フィッシングメールのリンクや添付ファイルをクリックするよう仕向けることで、安全性の低いスマートフォンやノートPCを操作する可能性があります。パンデミックの発生以来、この種の攻撃が大幅に増加していることは間違いありません。多くの場合、政府による新型コロナウイルスを題材にした公式メッセージを流用して、ユーザを騙して危険なファイルやリンクを開かせたり、共有させたりします。
リスクを過小評価しない
この類の脅威は、社内のセキュリティをうまく回避してシステムをダウンさせ、機密データを危険にさらすことがよくあります(企業を信頼して保存している顧客のデータが含まれることは言うまでもありません)。そして、Salesforceのセキュリティを効果的に確保しないと、こうした脅威が企業に金銭的損害や風評被害をもたらすリスクが非常に高くなります。
共有責任モデルを遵守しないと、GDPR (EUの一般データ保護規則)やCCPA(カリフォルニア消費者プライバシー法)など、さまざまな司法管轄区域で定められている法律に基づいて罰金や訴追を受けるリスクもますます高くなります。
最も簡単に安全を保つ方法とは
ーザー側でSalesforceを効果的に保護するには、プラットフォームにアップロード、またはプラットフォームからダウンロードされたファイル、リンク、Eメールによってもたらされるリスクを軽減する必要があります。また、Salesforceユーザが使える機能を妨げることなく、迅速かつ簡単に保護できる必要があります。
これは、当社がF-Secure Cloud Protection for Salesforceを設計する際に注力した課題です。この製品には、既知の脅威と未知の(いわゆる「ゼロデイ」)脅威の両方を阻止できる専用のセキュリティコンポーネントが用意されています。Salesforce環境と密結合されているため、素早く運用を開始でき、スキャン時のタイムラグなども発生せず、F-Secure Cloud Protection for Salesforce の存在を意識することもありません。導入は、Salesforce AppExchangeから数分で実施でき、追加のIT作業も必要ありません。また、エフセキュアの継続的に更新されるマルチレベルの脅威インテリジェンス機能を搭載しているため、脅威の状況が変化しても、Salesforce環境を常に最適な状態で保護することができます。
詳細については、製品カタログとソリューション概要をここからダウンロードしてください。
カテゴリ