ネイティブなマルウェアスキャナーの導入は、脅威の状況や顧客のニーズの変化に対応するベンダーの動きを反映し、SaaSプラットフォームにおけるセキュリティ機能の継続的な進化を示すものです。
この機能が追加されたことで、セキュリティ担当者としては「実際の運用でどのような挙動を示すのか」を当然把握しておきたいところでしょう。特に、異なるワークフロー経由でファイルがアップロードされた場合や、実際に悪意のあるコンテンツが検知された際の挙動は、非常に重要な関心事となります。
当社では、検知クオリティを定期的に評価する「脅威カバレッジ検証プログラム」を常時実施しています。その一環として、今回はSalesforceマルウェアスキャナーについても評価を行いました。
Salesforceのファイルセキュリティが重視される理由
Salesforce環境では、日常的なワークフローの一環として、頻繁にファイルの保存や配布が行われます。これらのファイルには、例えば以下のようなものが含まれます:
- Officeドキュメント
- PDFファイル
- アーカイブファイル
- 画像ファイル
Threat actors increasingly use these file types as delivery mechanisms. Instead of distributing standalone malware, attackers often rely on documents containing embedded links, redirect chains, or other mechanisms that lead users to malicious infrastructure.
Some common techniques include:
- フィッシングURLが埋め込まれたドキュメント
- 単純なファイルスキャンを回避するためのアーカイブ(ZIP等)ファイル
- 多段階のペイロード配信(ドキュメント → リンク → 不正プログラムの実行へ)
- QRコードを用いたフィッシング(通称「クィッシング / Quishing」)など画像の悪用
こうした攻撃パターンが存在するため、SaaSプラットフォーム内でのファイルセキュリティは、組織の防御において欠かせない重要なレイヤーとなっています。
Salesforceマルウェアスキャナーの仕組み
実際のテストを通じて、Salesforceマルウェアスキャナーがアップロードされたファイルをどのように評価するのか、その運用上の挙動がいくつか明らかになりました。
重要な注意点として、このマルウェアスキャン機能が適用されるのは「Salesforce Files」に保存されたファイルのみであるという点が挙げられます。一部の環境では、いまだにレガシーな「添付ファイル(Attachmentオブジェクト)」が使用されている場合がありますが、これらはスキャン機能の対象外となっています。
UI経由のアップロードに対する同期スキャン
Salesforceのユーザーインターフェースを通じてファイルをアップロードする場合、マルウェアスキャナーは同期スキャンを実行します。つまり、アップロードのプロセスと並行して、即座にスキャンが行われる仕組みです。
このスキャンでファイルが悪意のあるものと識別された場合、アップロードは即座にブロックされ、そのファイルがSalesforce環境内に保存されることは一切ありません。
UIアップロード時のブロックメッセージ
このアプローチは、悪意のあるファイルがプラットフォーム内に侵入するのを確実に阻止できる一方で、ブロックされたアップロード試行は管理画面の検知ビュー(レポートなど)には表示されないという側面も持っています。
API経由のアップロードに対する非同期スキャン
Data Loaderや外部連携などのAPIワークフローを通じてアップロードされるファイルは、UIからのアップロードとは異なる方法で処理されます。
これらのケースでは、ファイルはまずSalesforce内に保存され、その後マルウェアスキャナーが非同期(バックグラウンド)でスキャンを実行します。
潜在的に危険なファイルが環境内でアクセス可能な状態(ダウンロードできる状態)になってしまう可能性があることを意味しています。
その後、ファイルが悪意のあるものと判定された場合にはフラグが立てられ、プレビュー表示もできないよう制限がかかります。
ブロック時のメッセージ
検知の可視性と管理上の対応
Salesforceの「検知レコード」は、マルウェアスキャンの結果を表します。ファイルが非同期で検知された場合、それらは「Malicious Files (Beta)」ビューに表示され、管理者はフラグが立てられたファイルの内容を確認することができます。
検知されたファイルの表示ビュー
管理者は、検知内容が誤り(誤検知)であると判断した場合、対象のファイルを「安全」としてマークすることができます。検証中、この操作を行うと対応するエントリーがビューから削除されることが確認されました。つまり、このインターフェースは永続的な履歴ログというよりも、主として「現在検知されているもの」を反映する仕組みになっています。
「安全」としてマークする
さらに、フラグが立てられたファイルに対してユーザーがダウンロードを試みるなど、検知後のアクセス試行は個別のセキュリティイベントとして記録されません。 そのため、検知されたファイルに対して「その後、誰がどのようにアクセスしようとしたか」という詳細な挙動を追跡するには、可視性に制限があるという点に注意が必要です。
インシデント調査や監査対応を行う組織にとって、こうした挙動の違い(同期・非同期スキャンの差やログの仕様)は、セキュリティイベントの追跡や分析方法に大きな影響を与える可能性があります。
ダウンロードの強制制限
一度ファイルに「悪意あり」のフラグが立てられると、そのダウンロードが強制的に制限されるかどうかは、ユーザーの権限設定によって決まります。
標準ユーザーがフラグの立てられたファイルをダウンロードしようとすると、アクセスを拒否するブロックメッセージが表示されます。一方で、管理者ユーザーの場合は、付与されている権限によっては依然としてそのファイルをダウンロードできる可能性があります。
ダウンロード時のブロックメッセージ
この挙動により、一般ユーザーが潜在的に悪意のあるコンテンツにアクセスするのを防ぎつつ、管理者は必要に応じてファイルを調査することが可能になります。
脅威検知のカバー範囲に関する考察
前のセクションではスキャナーの運用上の動作について説明しましたが、ここからは一般的な脅威に対してスキャナーがどのように機能するか、検証から得られた観察結果について詳しく見ていきます。
今回の脅威カバー率の検証サイクルでは、Salesforce環境において一般的とされる脅威を模したサンプルデータセットを用いて評価を行いました。これには主に、Officeドキュメント、PDF、アーカイブファイル、そして画像ベースのおとりファイルなどが含まれています。
Salesforce Malware Scannerは、評価対象のサンプルのごく一部のみを検出し、85件の悪意あるサンプルのうち3件(3.5%)しか特定できませんでした。検出されたのは主に、エクスプロイトやマクロコードといった信頼度の高い指標を含むサンプルでした。しかし、最近の脅威の多くは、文書自体が攻撃の初期段階として機能する多段階の配信メカニズムに依存しています。こうした文書には、ユーザーを外部インフラへリダイレクトする埋め込みURLが含まれていることが多く、そこで追加のペイロードやフィッシング攻撃が行われます。
これは、ファイルベースのセキュリティにとって重大な課題となります。なぜなら、悪意のある活動がファイル自体からは完全には把握できない可能性があるからです。
SaaS環境における多層的な保護
テストから得られたいくつかの運用上の観察結果から、Salesforce Malware Scannerが実際にどのように動作するかが明らかになりました:
- 信頼度の高い悪意のあるファイルに重点を置いた検出
- UIとAPIのアップロードワークフローで動作が異なる
- 検出レコードにはスキャン結果は反映されるが、その後のアクセス試行は反映されない
- ファイルが安全とマークされると、検出レコードは削除される
- 検出のコンテキストや過去の検出活動に関する可視性が限定的である
脅威の多くは、最初のファイルそのものを超えて外部へと波及するため、多くの組織ではSaaSプラットフォームの周囲に多層防御戦略を導入しています。
多層防御ソリューションは、標準機能のコントロールを補完し、以下のような強力な機能を提供します:多層防御ソリューションは、標準機能のコントロールを補完し、以下のような強力な機能を提供します:s:多層防御ソリューションは、標準機能のコントロールを補完し、以下のような強力な機能を提供します:
- ファイルと埋め込みリンクの高度な解析
- リダイレクトチェーンと多段階攻撃の検知
- 悪意のあるコンテンツの隔離と無害化
- 悪意のあるコンテンツの隔離と無害化
実務において、これらの機能は、脅威が最初のファイルを起点としてどのように進行していくかをセキュリティチームが監視することを可能にします。また、インシデントの調査や対応に不可欠な「付加的なコンテキスト(背景情報)」を提供します。
多くの現代的な攻撃がURLを介した配信段階に依存していることから、この点は特に重要となります。当社の最近の脅威動向レポートによると、Salesforce環境を標的とした観測された脅威の大部分はURLを介して発生しており(98%)、ファイルとして最初に配信されたものはごく一部にとどまりました(1.74%)。
結 論
Salesforce Malware Scannerは、Salesforce環境にアップロードされた悪意のあるファイルを検知するための「基本機能」としての役割を担っています。今回の検証において、このプラットフォームは、確信度の高い(明らかに有害と判定できる)悪意のあるファイルをブロックし、フラグが立てられたコンテンツに対して適切なアクセス制御を強制できる能力を実証しました。
At the same time, modern threats increasingly rely on multi-stage delivery techniques and external infrastructure, where the initial file acts only as the first step in a broader attack chain.
同時に、現代の脅威は多段階のデリバリ手法や外部インフラへの依存度を強めています。この手法において、最初に送り込まれるファイルは、より広範な攻撃チェーンにおける「最初の一歩」に過ぎません。
Salesforce環境がビジネスに不可欠なデータやプロセスを支える基盤となるにつれ、それらを保護するセキュリティコントロールにも、エンタープライズレベルの要求事項を満たすことが期待されています。
エンタープライズグレードのセキュリティソリューションは、包括的な検知範囲、調査に不可欠なコンテキスト、脅威の緩和、そして運用の可視性を提供できるよう設計されています。これらの環境がビジネスにおいて極めて重要な役割を果たしているからこそ、求められる保護レベルに見合ったセキュリティ投資を行うことが、組織のレジリエンスを維持する上で不可欠です。
対照的に、Salesforceに組み込まれたこの標準機能は、広範なサービス提供の一部として「基本レベル」の保護を提供するものであり、検知範囲や運用の可視性には固有の限界があります。これらの機能に関する詳細な比較は、弊社の「機能比較ページ」でご確認いただけます。
実際のワークフローにおいて、これらの保護機能がどのように動作するのかを正しく理解することは、組織が自社のSalesforce環境を保護するための最適な意思決定を下す上で非常に重要です。.