Salesforceは、世界各国で15万社を超える企業に利用されています。Salesforceを活用し顧客情報を管理することで、顧客に適切なタイミングで適切なアプローチをおこなうことができるだけでなく、蓄積した顧客情報は、営業部門だけでなく、マーケティング部門、サービス部門など社内全体で横断して管理することができるため、サービスの提供からその後のフォローまでを一貫して最適化することができます。
しかし、Salesforceの導入には相応の知見が必要なため、導入支援を行う会社や外部コンサルに依頼するケースも少なくありません。この投稿では、非機能要件としてのセキュリティにフォーカスして、Salesforceに関連した下記の役割の仕事に携わっている人にとって役立つ情報を提することを目的としています。
- Salesforceソリューションエンジニアと営業担当者
- システムインテグレータのセキュリティアーキテクトとSalesforceアーキテクト
- Salesforceを使用中あるいは検討中の組織のITおよびセキュリティ専門家
どのようなSalesforc関連のプロジェクトであっても、顧客要件を定義することは重要であり、この要件は機能要件と非機能要件の2つのグループに分類されます。
機能要件 – Salesforceに何をして欲しいのか
機能要件は、Salesforceが実装すべき機能です。代表的な機能要件は以下のとおりです。
- システム機能
- データ定義
- ユーザクラス
- ビジネスプロセス
- ビジネスルール
非機能要件 – Salesforceにどうあって欲しいのか
Salesforceプロジェクトの非機能要件(NFR)は、その品質特性であり、本質的にソリューションがどのように機能するかを示しています。NFR は各組織に固有のもので、アーキテクトのような技術専門家によって定義されます。代表的な非機能要件は以下のとおりです。
- パフォーマンス
- セキュリティ
- 信頼性
- 適合性
- 移行性。
非機能要件としてのセキュリティ
通常、セキュリティは定量化されたNFRとして重要です。それは、組織がSalesforceを使用してビジネス目標を達成するためには、通常はセキュリティに対する適正な解決策が極めて重要だからです。
たとえば、小売業者がSalesforceのService Cloudを使用して、サプライヤーポータルを構築することで、コールセンターのコストを削減するケースが考えられます。他の例としては、銀行がSalesforceのCommunity Cloudを使用して、見込み客から住宅ローン申請書を受け取る場合や、保険代理店がSalesforce Chatterを介して、保険会社と保険金請求について話し合う場合が考えられます。これらの使用例は、Salesforceによるコンテンツコラボレーションに関連する新たな運用上のリスクと、多くの非機能的なセキュリティ要件が必要になります。
クラウドベースのセキュリティと責任共有モデル
Salesforceの環境でセキュリティを理解するには、クラウドベースのサービスに存在する責任共有モデルを理解することが重要です。
ユーザ企業は、SalesforceのようなSaaSモデルの利用に関して、自社で負うべき責任が最も少ないと思い込んでいるため、CRMとして採用するのが最も簡単で安全なオプションだと考えがちです。Salesforceは、エンドポイントデバイスとクラウド上のコンテンツ以外のすべてを維持・保護しています。
一方で、エンドポイントデバイスによってユーザーからクラウドに保管されるコンテンツは、利用者である企業側の責任範囲になります。ガートナーでは、クラウドのセキュリティに関する主要問題を取り上げた2020年1月のウェビナーで、「クラウドのセキュリティ障害のほとんどが顧客の過失に起因している」と述べています。
セキュリティ要件を定義するにはどのような質問をすべきか
どのような組織であっても、個々のセキュリティ要件を定義するには、まず最新の脅威ランドスケープの基本的な理解から始める必要があります。
- なぜ組織が攻撃されるのか、誰が攻撃するのか、そして保護する必要がある重要なアセットは何か?
- 組織内外のデータの流れはどのようなものか?それはどこから来てどこに行くのか?
- 組織は侵害されているか?それを知る方法は?侵害されたことが今になって判明した場合には何が起こるか?
一般的にSalesforceの導入は、組織の広範なデジタルトランスフォーメーションプロジェクトの一環として実施されますが、洞察力のある担当者なら、次のように尋ねるでしょう。「Salesforceへの移行は、脅威プロファイルにどのように影響しますか?」 取引企業、外部パートナー、顧客がSalesforceにファイルをアップロードできるようにし、従業員がネットワーク内でそれらにアクセスできるようにする場合は、これらの新しいリスクを軽減させる必要があるのでしょうか?
セキュリティに対する非機能要件を満たすために利用できるソリューションは何か?
Salesforce Shield
Salesforceプラットフォーム自体に追加されたセキュリティです。Salesforce Shieldは、プラットフォーム暗号化、項目監査履歴, イベントモニタリングの3つのオプションで構成されており、Salesforceに保存されている貴重なデータに対する保護、監視、保持機能を強化します。
F-Secure Cloud Protection for Salesforce
Salesforce環境のコンテンツに追加のセキュリティを提供します。F-Secure Cloud Protection for Salesforceは、Salesforceとネイティブ連携し、Salesforce環境にアップロードされたファイル、URL、Eメールのリアルタイムで検知し悪意のあるユーザーによってもたらせるリスクを軽減し、Salesforce環境とSalesforce Shieldのセキュリティ機能を補完します。
F-Secure Cloud Protection for Salesforceがもたらす具体的なセキュリティの付加価値とは何か?
セールスフォース・ドットコム社は、ことセキュリティに関しては、取り組むこと、取り組まないことを明確にしており、適切なアドバイスを公開しています。上記の質問に答えるために、SalesforceのWebサイトの4つのステートメントを見てみましょう。
これは事実であり、Salesforceの最大の脅威はプラットフォーム自体ではなく、プラットフォームを利用するユーザによってもたらされます。
F-Secure Cloud Protection for Salesforceは、感染したファイルがSalesforce環境にアップロードされるなどの利用企業側が意図しない、または意図的な悪意のある行動によって組織をサイバー侵害にさらす人々から保護します。
ファイルに悪意のあるコンテンツがあるかどうかはスキャンされません。
F-Secure Cloud Protection for Salesforceは、ファイルをリアルタイムでスキャンし、悪意のあるコンテンツをブロックする機能をネイティブで提供します。さらに、ファイルに加えて、フィッシングやランサムウェア攻撃で悪意のあるペイロードとしてよく使用されるURLもスキャンします。
Salesforceができることはプラットフォームを保護することだけです。
どのようなCRMでも、その価値はプラットフォームとそれに含まれるコンテンツにあります。Salesforceはプラットフォームを保護し、F-Secure Cloud Protection for Salesforceは、Salesforceクラウドにアップロード/ダウンロードされるコンテンツを保護します。
アプリケーション層(Applications)とインフラストラクチャ層(Platform)は、まったく異なります。
インフラストラクチャはSalesforceが管理・保護する層で、アプリケーションは、ユーザが必要なものを安全にアップロードできる層です。ただし、ユーザが感染したファイルをアップロードしてしまったり、感染したことが分かっているファイルを意図的にアップロードすることまでは制御できません。
F-Secure Cloud Protection for Salesforceは、Sales Cloud、Community Cloud、Service Cloudを含むアプリケーション層を保護します。特に、Community CloudとService Cloudは、ファイルやURLが顧客やパートナーを経由して組織の外部からやって来る難しい環境にあります。
カテゴリ