金融サービス業界におけるSalesforceセキュリティのベストプラクティス

顧客体験が重要な差別化要因となる業界において、このプラットフォームを活用することで、営業チームやマーケティングチームは、ローン、住宅ローン、保険、投資、その他の金融商品を提案するプロモーションを掲載したフォームやマイクロサイトを簡単に作成できます。

Salesforceは、極めて柔軟で拡張性の高いツールです。さまざまな部門、パートナー、サードパーティと自動的に連携し、別々のシステムからデータを収集することで、従業員の業務効率を向上させると同時に、顧客に提供できるサービスの質も高めます。

残念ながら、Salesforceの使いやすさ、柔軟性、接続性、自動化機能は、サイバー犯罪者にとって新たな攻撃の機会も提供しています。多くのSaaSサービスと同様に、Salesforceはセキュリティにおいて「責任分担モデル」を採用しています。Salesforceは自社の製品とサービスのセキュリティ確保に責任を負います。一方、金融機関は、顧客、見込み客、パートナーからプラットフォームに流入する文書、ファイル、リンクについて、その管理責任を負わなければなりません。

金融セクターがサイバー犯罪者の標的となり続けていることは驚くべきことではありません。ここ数年、ランサムウェア攻撃が急増しています。最近の報告書によると、世界の金融サービス企業は過去5年間で、ランサムウェアによる侵害が原因で320億ドル以上のダウンタイム損失を被っています。監視されていない文書が絶えずシステムに流入することが、事業継続性とデータセキュリティに及ぼすリスクを認識していなければ、この統計はさらに増加する可能性が高いでしょう。

金融業界の従業員に対するSalesforceセキュリティ教育

Salesforceは急速に進化するプラットフォームです。そのため、導入に伴うリスク、特に外部関係者がプラットフォームにコンテンツをアップロードすることを許可することによるリスク、およびITチームとSalesforceチーム間のサイロ化の解消について、従業員への教育が急務となっています。

Salesforceの要素は、一般的にセキュリティの専門知識を持たない個々のユーザーによって作成されます。つまり、フォーム、ウェブサイト、共有ストレージスペースなどが、ITセキュリティチームの関与なしに、ユーザー名やパスワードといった基本的なアクセス制御なしで作成されることが多々あります。

このプラットフォームに組み込まれたセキュリティ機能は、悪意のあるリンクやマルウェアをスキャンするメールの迷惑メールフィルターなど、エンドユーザーが他のアプリケーションでは当然のこととして利用しているプロセスには及んでいません。

さらに、メールシステムは通常、潜在的な脅威や脆弱性を十分に認識しているIT部門によって作成、管理、更新されます。IT部門は、メッセージや添付ファイルの保存場所やアクセス権限に関するあらゆる決定を行う際に、セキュリティを考慮に入れます。しかし、Salesforceの導入においては、必ずしも同じことが言えるわけではありません。

Salesforceにおける顧客データの保護

実例として、消費者が銀行のウェブサイトを利用してローンや保険の請求を行う場合が挙げられます。そのオンラインフォームはSalesforceを使用して作成されている可能性があります。顧客は個人情報を含むフォームに記入し、その後、銀行取引明細書、身分証明書、写真、その他の関連書類といった機密文書をアップロードします。

このデータは、IT部門ではなくSalesforce管理者がセキュリティの責任を負う場所に保存されます。サイバー犯罪者はローン申請者を装い、そのオンラインフォームを通じて悪意のあるファイルやURLを送信する可能性があります。疑いを持たない銀行のスタッフがそのファイルやリンクを開くと、データ窃取やランサムウェア攻撃への入り口を開くリスクを負うことになります。

つまり、銀行のスタッフが業務を行い、これらの申請の処理を開始する際、アップロードやダウンロードの際にコンテンツがスキャンされていない限り、企業は受信データが正当なものか、マルウェアを含んでいるかを見分けることができません。

さらに悪いことに、金融機関はパートナーや顧客からなるエコシステムを有しているため、この種の侵害は他の脅威、複雑な調査や復旧プロセス、そして最終的には信頼の喪失につながる可能性があります。

リアルタイムの脅威対策による金融サービス向けSalesforceのセキュリティ確保

この問題の解決策は、Salesforceプラットフォームを監視し、すべてのファイルやリンクをマルウェア検査できる、実績があり使いやすいセキュリティツールを見つけることです。BEC Financial Technologies（事例）は、デンマークの大手銀行数行と提携し、安全なITサービスを提供しています。同社は顧客のSalesforceプラットフォームを保護するため、さまざまなITセキュリティソリューションプロバイダーを調査し、2021年2月にWithSecure™ Cloud Protection for Salesforceを採用しました。

BECのプログラムディレクター、トニー・ラブイェルグ氏は次のように述べています。「WithSecure™を選んだのは、彼らが当社のすべてのコンプライアンス要件を満たす、信頼できるサプライヤーだからです。さらに、同社のソフトウェアは簡単かつ迅速に導入できるため、Salesforceからも推奨されていました。まさにプラグアンドプレイのソリューションです。」

WithSecure Cloud Protection for Salesforceは、すべてのSalesforceクラウドおよび機能にわたって有害なコンテンツを自動検知・ブロックします。マルウェア、ランサムウェア、フィッシングなどの高度な脅威がエコシステムに侵入するのを阻止し、パートナーや顧客への感染を防ぎ、数分でビジネスを保護し、企業の評判を守ります。