セキュリティのベストプラクティス

森の中で手を振る Codey と、バックパックを背負った Astro

サイバーセキュリティの責任は共有されるものです。Salesforce はそのすべての業務にセキュリティを組み込み、お客様のデータを保護するために必要なツールやリソースを提供しています。その上で、セキュリティ統制の実装やベストプラクティスの適用を通じて Salesforce インスタンスのセキュリティをさらに強化することは、お客様ご自身に委ねられています。

セキュリティに着手する

セキュリティダッシュボードのイラスト

Salesforce の利用を始めて間もない場合も、セキュリティ体制を強化する場合も、ここで紹介するセキュリティのベストプラクティスを実践することが、会社自体やデータ、ビジネスを保護することにつながります。

  • セキュリティ状態チェックを実行する:  Salesforce のコアプラットフォーム上に構築されている状態チェックは、システム管理者向けの無料ツールです。組織のセキュリティ設定の管理、潜在的に脆弱なセキュリティ設定の特定と修正、ビジネスのニーズと一致したカスタムベースライン標準の作成を行えます。状態チェックについての詳細はこちら

  • 多要素認証 (MFA) を有効化する: MFA は、フィッシング攻撃、クレデンシャルスタッフィング、アカウントの乗っ取りなどの一般的な脅威に対する保護を強化します。会社が Salesforce データのセキュリティを強化できる最も効果的な方法として、MFA の実装があります。Salesforce での MFA についての詳細はこちら

  • ユーザーの権限を評価する: 権限セットは、組織内でアクセス権を制御し、セキュリティを向上させるための有効な方法です。評価するには、まず、ユーザーにとって不可欠な職務、タスク、およびプロセスを特定し、それに応じて権限セットを定義します。次に、プロファイルから高リスクの権限を削除し、必要に応じて、権限セットを通じてそれらの権限をユーザーに再度付与します。権限セットについての詳細はこちら

フィッシングメールに注意

フィッシング詐欺は、不正なメールを使用して、情報を取得するためのマルウェアをインストールすることにより、ユーザーが機密情報を漏らすように仕向けます。

ソーシャルエンジニアリングについて >

ユーザーのトレーニングと教育

セキュリティについてユーザーを教育することで、Salesforce org を安全に保つことの重要性について理解を促し、安全な文化を推進します。

堅固なセキュリティ文化を確立する方法について >

セキュリティの懸念事項の報告

Salesforce メールが正当かどうかを確認できない場合は、その不審なメールのコピーを添付ファイルとして Salesforce セキュリティに送信してください。

Salesforce セキュリティにメールする >

アクセスを安全に管理し監視する

セキュリティの擁護者として、Salesforce のセキュリティツールやリソースを理解し使用することにより、会社のデータを保護し、セキュリティ水準を維持し、コンプライアンス要件を満たす上で重要な役割を果たすことができます。

  • 最小権限の法則を適用する: 最小権限の法則に従うということは、ユーザー、デバイス、アプリケーション、システムに対して、業務を遂行するために必要な最小限の権限のみを付与するということです。ユーザーの権限を制限することは、機密情報への不正アクセスを防ぐことにつながり、組織のセキュリティリスクを大幅に軽減できます。最小権限の法則によるデータ保護の方法についての詳細はこちら

  • ログイン範囲と信頼できる IP を設定する: IP アドレスによるアクセス制限は、不正アクセスやフィッシング攻撃からデータを保護することにつながります。ログイン IP アドレスの制限を設定することにより、システム管理者は許可される IP アドレスの範囲を定義できます。これにより、未確認または信頼できない IP は拒否されるか、ID 検証を要求されるようにすることができます。Salesforce 用のログイン IP アドレスを制限する方法についての詳細はこちら 

  • セキュアな接続を維持する: 常に仮想プライベートネットワーク (VPN) を使用することで、インターネット接続をより安全なものにすることができます。さらに、ルータの管理者コンソールを使用して暗号化を有効化 (WPA2 または WPA3 を使用) したり、ファームウェアを更新したりすることで、外部デバイスをネットワークから排除することができます。インターネットを安全に利用する方法についての詳細はこちら。 

  • Salesforce Authenticator: Salesforce Authenticator は、ユーザーエクスペリエンスを損なうことなく Salesforce リリースのセキュリティを強化する、スマートでシンプルな 2 要素認証ソリューションを提供します。モバイルデバイスを 1 回タップするだけで、従業員はログインやその他の操作を承認でき、さらには信頼できる場所からの検証を自動化することもできます。Salesforce Authenticator についての詳細はこちら。 

ラップトップ、ロック、キー、人が描かれたイラスト

アプリケーション構築やデータ保護のための高度なツール

products-726x384.png

Salesforce は、セキュリティ体制のテストや確認、セキュリティスキャンの追跡と管理、セキュアなコードや Web アプリケーションの開発などに役立つ高度なセキュリティツールやリソースを多数提供しています。

  • Salesforce Well-Architected Secure: セキュリティポリシーを設定したら、このリンク先のガイドラインに示されているパターンやアンチパターンを使用してセキュリティモデルを設計します。

  • コードスキャナポータル: コードスキャナを使用してコード内の一般的なセキュリティの問題を見つけます。

  • パートナーセキュリティポータル: Lightning プラットフォームセキュリティスキャンの追跡と管理ができる Salesforce パートナー向けの一元化されたポータルです。

  • AppExchange セキュリティレビュー: AppExchange セキュリティレビューでは、ソリューションのセキュリティ体制をテストします。そのレビュープロセスのしくみを説明します。

  • 開発者ディスカッションフォーラム: ご不明な点がある場合は、Salesforce およびコミュニティのエキスパートから必要なときにサポートを受けることができます。

  • Salesforce セキュリティセンター: セキュリティセンターアプリケーションを使用すると、自社のすべての Salesforce org やテナントにわたるセキュリティ、プライバシー、ガバナンスの体制を一か所で確認できます。

  • Salesforce Shield: Salesforce には多くの標準のセキュリティコントロールが装備されていますが、Shield コンポーネントは、強化された暗号化、アプリケーションとデータの監視、セキュリティポリシー自動化によってセキュリティ機能を補足します。

Salesforce を活用したセキュアな開発

セキュアなコーディングのガイドライン

Web アプリケーションを Lightning プラットフォーム上に構築するか Lightning プラットフォームと統合するときの最も一般的なセキュリティの問題について説明します。

ガイドを確認する >

セキュアな Web アプリケーションの開発

アプリケーションのセキュリティの強化に役立つ最新の開発者セキュリティトレイルを確認してください。

トレイルを受講する >

Developer Center

これらのリソースを使用して、Salesforce を使用したアプリケーションの構築と保護について学習します。

センターにアクセスする >