専門家の視点: エンタープライズ向けExperience Cloudの活用とセキュリティ

Experience Cloud とは？

ここ数年、Salesforceは自社のプラットフォームの力をさらに引き立てるため、より堅牢なカスタマーエクスペリエンスの構築に多大な投資を行ってきました。そこで登場したのが「エクスペリエンス・クラウド」です。かつて「コミュニティ・クラウド」と呼ばれていたエクスペリエンス・クラウドは、顧客が求める場所で顧客と接点を持てるよう企業を支援すると同時に、顧客が繰り返し訪れたいと思うような強固なビジネスコミュニティを構築するための新たな手段を提供することを目的として構築されました。エクスペリエンス・クラウドの強みは、Salesforce内のデータを活用して、サイトやポータルを訪れるユーザー向けにカスタマイズされた体験を創出できる点にあります。リアルタイムデータを活用することで、顧客やパートナーは自分たちにとって重要な情報を確認することができます。

端的に言えば、SalesforceのExperience Cloudは、本来なら退屈なウェブサイトを魅力的なものに変えつつ、企業が顧客との関わり方をより深く理解するのを支援します。さらに、標準的なUIコンポーネントを活用し、CRMデータと直接連携するサイトを、統合作業なしで素早く立ち上げることが可能です！昨今、ビジネスの大半がオンラインで行われていることは周知の事実です。最も関連性の高いコンテンツを提示することで、見込み客に自社の事業内容を理解してもらう、より魅力的なウェブサイトを望まない企業などあるでしょうか？

Experience Cloud のリスク

Experience Cloudは、Salesforce内に存在するあらゆるデータに即座にアクセスできます。これは素晴らしい顧客体験を生み出すための、計り知れないほどの力です。しかし問題なのは、それと同じく、見るべきではない人々や、潜在的な攻撃者、サイバー犯罪者にそのデータをさらしてしまう可能性も、同様に計り知れないほど高いということです。Salesforceは、データ間の関連付けに大きく依存しています。これにより、特定のアカウントに関連するすべての連絡先を確認することが可能になります。こうした関連付けは、Salesforceの操作やビジネス活用を大幅に容易にする一方で、Experience Cloudを通じて誤ったデータが漏洩し、結果としてエコシステムに新たな脅威の経路が持ち込まれるリスクを、たった1つや2つの設定ミスで招くことにもなりかねません。

顧客とビジネス双方にとってサイバーセキュリティに配慮した体験を構築するには、真に「セキュリティファースト」の考え方が不可欠です。安全な体験を実装、修正、または構築するには、WithSecure^TMのようなサイバーセキュリティの専門家と協議し、計画段階から本番稼働後の監視に至るプロセスのあらゆる段階でセキュリティに対処する必要があります。私の見解では、計画および調査フェーズが間違いなく最も重要です。この計画フェーズにおいて、脅威の検知や脆弱性スキャンを通じて、組織のあらゆる弱点を把握し始めます。適切なデータを提供するために組織が依存しているデータの関連性を理解し、データがどのように提供されるべきかを理解し、顧客がサイトとどのようにやり取りすべきかを理解するなどです。要するに、訪問者が体験とどのように「あるべき」か、つまり「あるべき姿」でのやり取りを理解し始めるのです。同時に理解しておく必要があるのは、訪問者が体験や機密データとどのように「すべきではない」かという点です。この2つ目の要素は、サイバーセキュリティの知見と一定の想像力を駆使して実践する必要があるため、最も見落とされがちな部分です。

例えば、ローン申請の一環として顧客に書類をアップロードしてもらう体験を考えてみましょう。これらの書類はSalesforce組織内に保存され、審査担当者や融資担当者がそれらを開いたり、ダウンロードしたり、その他の方法で操作したりできるようになります。残念ながら、サイバーセキュリティの専門家として、私たちは、このようなフォームがマルウェアを仕込む手段や、偽のリンクを使って認証情報をフィッシングする手段として、サイバー犯罪者やハッカーに悪用されることが非常に多い世界に住んでいることを知っています。ビジネスに不可欠な情報を受け取るこの貴重な手段を失いたくないため、ファイルの受信機能を無効にすることはできません。一方で、ビジネスやSalesforce組織を危険にさらすことも避けたいところです。ここで、サイバーセキュリティの知見と発想力が重要になります。「Salesforce経由でファイルを受け取れない」と諦めるのではなく、「攻撃対象領域を拡大したりマルウェアを侵入させたりすることなく、どうすればSalesforce経由でファイルを受け取れるか」と自問する必要があります。幸いなことに、Salesforceにはこの問題に特化したソリューションが揃った充実したAppExchangeがあります。WithSecure^TMのCloud Protection for Salesforceのようなアプリケーションを導入すれば、組織やビジネスの安全性を犠牲にすることなく、SalesforceおよびExperience Cloudの全機能を活用できるようになります。

もちろん、すべての問題に対してAppExchangeのソリューションが存在するわけではありませんが、社内外を問わず利用可能なツールやソリューションを把握しておくことで、顧客体験のセキュリティ確保において、最も困難なサイバーセキュリティ上の課題さえも解決できるようになります。

セキュリティファーストの考え方

Salesforceを導入する際には、セキュリティファーストの考え方を採用することが不可欠です。多くの組織では、Salesforceを「ビジネス部門が所有するソリューション」と見なしているため、サイバーセキュリティチームによる監視が不十分になりがちです。これは「諸刃の剣」と言えます。システムで発生するあらゆる変更について、セキュリティチームから詳細な説明を求められることがないという点ではメリットですが（ただし、変更内容を理解する必要はあります）、一方で、ビジネスとSalesforce組織にとって最も安全な環境を構築するために、セキュリティチームの経験や研ぎ澄まされたサイバーセキュリティの知見を活用することが困難になる場合があるという点ではデメリットです。つまり、セキュリティの責任はあなたの手にあるのです。スパイダーマンのベンおじさんが言うように、「大きな力には大きな責任が伴う」のです。あらゆる変更がセキュリティに与える影響を考慮し、セキュリティに対する責任を共有する文化を築くことで、自社や顧客をデータ漏洩やサイバー攻撃のリスクにさらすことなく、顧客に素晴らしい体験を提供することができるでしょう。