Salesforce Trust

セキュリティを最新に保つ

Salesforce はカスタマーセキュリティの効果的なパートナーとして、サービスソフトウェアの基準を設定しています。

 

セキュリティのベストプラクティス

Salesforce は、サービスにアクセスするお客様のセキュリティを強化するために全力を注いでいます。驚異が日々進化するなか、お客様には Salesforce 組織への不正なアクセスを防止するための対策を実施していただくことを強くお勧めします。

Salesforce システム管理者の皆様には、次の手順を実施して Salesforce ユーザの操作を可能な限りセキュアにするとともに、会社のデータを保護することを検討するよう強くお勧めします。Salesforce では、エンドユーザの確認または認証レイヤを追加する次のセキュリティ機能を提供しています。

2 要素認証

2 要素認証では、すべてのログイン試行時に、ログイン情報と 2 つ目の認証要素の両方が要求されます。これを実施するには、Salesforce Authenticator またはセキュリティベンダーが提供する類似のソリューションを使用する必要があります。ログイン試行時、入力された認証情報が両方とも有効な場合に限り、Salesforce へのアクセスが許可されます。この機能の実装方法についての詳細は、[ヘルプ & トレーニング] をご参照ください。

ログイン IP アドレスの制限

ログイン IP アドレスの制限: 不正なアクセスを制限するため、ユーザは指定された IP アドレス (通常は会社のネットワークまたは VPN) から Salesforce にログインするように要求されます。ログイン IP アドレスの制限を使用することで、システム管理者は許可される IP アドレスの範囲を定義して Salesforce へのアクセスを制御できます。指定された IP アドレス以外から Salesforce にログインを試みると、アクセスは許可されません。Professional Edition、Group Edition、または Personal Edition をご利用の場合、[ログイン IP アドレスの制限] は [セキュリティのコントロール] > [セッションの設定] で設定できます。Enterprise Edition、Unlimited Edition、Performance Edition、または Developer Edition をご利用の場合、[ログイン IP アドレスの制限] は [ユーザの管理] > [プロファイル] で設定できます。この機能の実装方法についての詳細は、こちらをご参照ください。

TLS 1.1 以上

2017 年 3 月 4 日以降、Salesforce では、よりセキュアな環境を提供し、PCI コンプライアンスを維持するために、セキュアな組織接続に最新プロトコルの TLS 1.1 以上を使用することが要求されます。TLS 1.0 を使用している組織が API インテグレーションへのアクセス、コミュニティとサイトへの接続、パートナーの AppExchange やユーザのブラウザへのアクセスを継続するためにはアップグレードが必要になります。

ユーザとインテグレーションが Salesforce に接続する方法を確認して、これらの接続が TLS 1.1 以上をサポートするようにしていただく必要があります。まだ TLS 1.0 を使用しているユーザやインテグレーションを特定するために、システム管理者は [TLSプロトコル] 項目と [TLS 暗号化スイート] 項目をログイン履歴レポートに追加できます。

移行を成功させるには、無効化の前に時間的余裕を持って対策を実施する必要があります。この変更に向けた準備方法のベストプラクティスについては、「TLS 1.0 無効化への準備状況チェックリスト」(PDF) をご参照ください。

詳細は 「Salesforce による TLS 1.0 の無効化」を参照し、質問は「Official: Salesforce Infrastructure」Success コミュニティグループに投稿してください。また、「Secure Connections: How TLS 1.0 disablement impacts your organization (セキュアな接続: TLS 1.0 の無効化が組織に与える影響)」(Web セミナー) で、無効化に関するエキスパートの説明をご覧いただけます。

ご質問やご不明点などございましたら、[ヘルプ & トレーニング] ポータルから Salesforce サポートにお問い合わせください。

フィッシングに関するユーザの教育

すべての Salesforce ユーザを対象にフィッシングに関する教育を行うことを強くお勧めします。ほとんどのサイバー攻撃は、マルウェア (悪意のあるソフトウェア) を使用しており、パスワードやデータを盗みだしたり、コンピュータ/ネットワーク全体を中断させたりするために設計された悪意のあるコードでコンピュータを感染させます。

Salesforce ユーザに対する簡単な推奨事項として次のようなものがあります。

ユーザがフィッシングに騙されないように、また、不審なメールのリンクをクリックしたり、添付ファイルを開いたりしないように指導します。最も効果的なサイバー攻撃の手口の 1 つは、ユーザを騙してリンクをクリックさせたり、添付ファイルを開かせたりしてマルウェアをインストールする方法です。これらはユーザを誘導してメールを開かせようとするため、フィッシングメールと呼ばれます。フィッシングメールは、興味をそそる有益な話をもちかけたり、実在の企業からの正当なメッセージ (荷物の配送、給与、国税庁、ソーシャルネットワークなど) に見せかけたりします。

見知らぬ送信者からのメールは決して開かないようにユーザに指示します。ハッカーはユーザにリンクをクリックさせてそのコンピュータを感染させようとしています。同様に、見知らぬ送信者から受信したメールは、その送信者と妥当性に基づいて評価する必要があることをユーザに伝えます。そのメールには悪意があるかもしれません。送信者のアドレスは常に確認する必要があり、URL へのリンクはマウスカーソルを置くと検証できます。たとえば、Salesforce からのリンクと表示されている場合、リンクにマウスカーソルを置くと「.salesforce.com」で終わる URL が表示されるはずです。

Salesforce からのメールが正当なものかどうか判断がつかない場合は、そのメールを security@salesforce.com に転送します。下記の最近のフィッシング例をご参照ください。

私のドメイン

[私のドメイン] を使用するとカスタムドメインを Salesforce 組織の URL に追加できます。カスタムドメインによってブランドを強調し、組織のセキュリティを強化できます。さらに、コードやインテグレーション (na1.salesforce.com など) にインスタンス名を指定しないというベストプラクティスに従うこともできます。このベストプラクティスに従うと、今後のメンテナンス時にシステム管理者やエンドユーザの操作がよりシームレスになります。

[私のドメイン] を使用して、Salesforce ドメインの一部となるカスタムドメインを定義します。カスタムドメインは実際にはプライマリドメインのサブドメインです。たとえば、Universal Containers の場合、[私のドメイン] の例「https://universal-containers.my.salesforce.com」ではサブドメインは「universal-containers」になります。

カスタムドメイン名を使用すると、組織でのログインや認証の管理を次のような複数の方法で改善することができます。

  • 新しいドメイン名を使用しないページ要求をブロックまたはリダイレクトする
  • カスタムログインポリシーを設定してユーザの認証方法を決定する
  • 複数の Salesforce 組織で同時に作業する
  • ユーザがログインページで Google や Facebook などのソーシャルアカウントを使用してログインできるようにする
  • ユーザが 1 回ログインするだけで外部サービスにアクセスできるようにする
  • 一意のドメイン URL でビジネスアイデンティティを強調する
  • ログイン画面のブランド設定および右フレームのコンテンツのカスタマイズを行う

[私のドメイン] と組織での実装方法についての詳細は、こちらをご参照ください。

パスワードポリシー

Salesforce アカウントを保護するための重要な第 1 歩は、強いパスワードセキュリティです。

Salesforce では次のベストプラクティスを推奨しています。

  1. パスワードの有効期限 – 90 日以内にパスワードの再設定をユーザに要求することをお勧めします。
  2. パスワードの長さ – Salesforce が推奨する最小パスワード長は 8 ~ 10 文字です。
  3. パスワードの複雑さ – Salesforce パスワードに英字と数字の両方を使用することをユーザに要求します。
    さらに、決して複数のアカウントでパスワードを再利用しないように念を押します。再利用すると、複数のアカウントに侵害リスクが生じます。また、オンラインか直接かにかかわらず、Salesforce パスワードなどのパスワードを誰とも共有してはならないことをユーザが理解する必要があります。

セッションタイムアウト上限を短くする

ユーザがコンピュータをログオフせずに離席することがあります。一定時間アクティビティのないセッションを自動的に終了することで、アプリケーションを不正なアクセスから保護することができます。デフォルトのタイムアウトは 2 時間に設定されていますが、この値は 30 分から 8 時間の間で設定できます。セッションタイムアウトを変更するには、[設定] > [セキュリティのコントロール] > [セッションの設定] をクリックします。

フィッシングの例

フィッシング詐欺は、偽装メールを使用してユーザから機密情報を盗みだそうとします。このようなメールは通常、正規の組織から送信されたように見え、偽サイトへのリンクが含まれる場合があります。この偽サイトは正規組織のサイトに似せて作成され、情報を収集できるように設計されています。

不審なメールを報告するには、そのメールを security@salesforce.com に転送します。

こうした詐欺はますます巧妙になっており、メールが本物か偽物かを見分けることが難しくなっています。だまされないようにする最善の方法は、メールのどこを見ればよいかを知っておくことです。最近の詐欺の例で確かめてください。

疑わしいメールを報告