Salesforceを利用する際、実際のリスクにはどのようなものがありますか？

責任共有モデルに基づき、同社はプレミアムセキュリティ機能の統合も推奨しています。これにより、ユーザーや顧客がプラットフォームとどのようにやり取りするかによって、セキュリティをさらにカスタマイズし、強化することが可能になります。

したがって、Salesforceプラットフォームを外部の脅威から守るために必要な追加のセキュリティ層を実装するのは、Salesforceを利用する企業の責任となります。言い換えれば、自動化された防御策がなければ、どのファイルやリンクが正当なコンテンツであり、どれが悪意ある人物による有害なサイバー攻撃の始まりであるかを判断する責任は、エンドユーザーに帰属することになります。特に、そのエンドユーザーがサポート担当者、保険金請求担当者、あるいはセキュリティ分野以外の専門家である場合、これは困難な課題となり得ます。

この事実をご存じなかったとしても、ご心配なく。最近では、Salesforceの設定ミスにより認証されていないユーザーが誤って企業情報にアクセスできてしまった事例や、企業インフラへのアクセス権を奪おうと、不正なリンクやドキュメントのアップロードを用いてカスタマーサービス部門を標的とした高度なフィッシング攻撃の報告が相次いでいます。

しかし、あなたの責任はどこから始まり、Salesforceのセキュリティ範囲はどこで終わるのでしょうか？クラウドに出入りするビジネスに不可欠なデータの中に、あなたやチームの業務を危険にさらし、サイバー犯罪者に業務をさらけ出す可能性のある、不正で有害なコンテンツが含まれていないことを保証するという、顧客やパートナーに対する義務を確実に果たすにはどうすればよいのでしょうか？

この境界線がどこにあるのかが不明確であることが、Salesforce運用における真のリスクです。ユーザーや組織全体における教育不足は懸念材料ではありますが、珍しいことではなく、比較的容易に解決できる問題です。

ここでは、ビジネスユーザーが対処すべき一般的なリスクと、Salesforceセキュリティ戦略の主導権を握るための実践的な方法について解説します。

IT、セキュリティ、営業・マーケティング部門間のサイロ化を解消する

Salesforceプロジェクトの初期段階からセキュリティを議論に組み込むことで、各事業部門におけるSalesforce活動がもたらすリスクに対する認識不足に対処しましょう。多くの場合、リスクはセキュリティ脅威の管理に関する知識や経験がほとんどない従業員によって作成されたモジュールから生じます。

一方、CISO（最高情報セキュリティ責任者）は、組織内でのSalesforceの利用状況や、アップロード・ダウンロードされているコンテンツについて完全な可視性を持てず、すでに十分なセキュリティ対策が講じられていると誤解している場合があります。これが混乱やコミュニケーション不足を招く原因となり、何か問題が発生するまでは顕在化しない可能性があります。部門横断的なタスクフォースを立ち上げるなどして、全員の認識を統一することで、Salesforceの基本的なセキュリティ対策基準を確実に満たすようインスタンスを構成できるだけでなく、自社の責任範囲（つまり、Salesforceプラットフォーム上に無断で存在している有害なコンテンツを監視・削除すること）をカバーする適切な技術的支援手段を見つけるための最善の体制を整えることができます。

思い込みは禁物！

多くのコンシューマ向けSaaSプラットフォームが持つ柔軟性と使いやすさは、システムに流入するデータが到着前にフィルタリングされているという誤った思い込みを生む可能性があります。これは、例えばメールサーバーに対して私たちが当然のように期待していることと同様です。しかし、実際にはそうではありません。また、ITチームなどの関係者の中には、既存のエンドポイントセキュリティに依存すれば十分だと考え、仮想サーバーに侵入した脅威は、最終防衛ラインである社内ハードウェアに到達した時点で対処すればよいと考えるかもしれません。しかし、その時点では手遅れである可能性が高いのです。

セキュリティを真剣に考える組織は、Salesforceが承認したパートナーソリューション（例えばWithSecure™ Cloud Protection for Salesforceなど）を選択することで、この受け身な姿勢から脱却できます。これらのソリューションは簡単に統合でき、同等の柔軟性とユーザーエクスペリエンスを提供します。ここで重要なのは、コンテンツがシステムに侵入するのを最初から阻止することです。

「セキュリティは後回し」は、もう終わりにしましょう

データに対するリアルタイムの可視性を確保し、システムに何が保存されているかを常に把握する時が来ました。

当社の「Cloud Protection for Salesforce」は、Salesforce環境内で行われているアップロードやダウンロードに関するリアルタイムの更新情報を提供し、データがクリーンで安全であることを保証します。すでに知らず知らずのうちに悪意のあるコンテンツをデータベースに侵入させていないかを確認できるだけでなく、新たなアクティビティを継続的に監視できます。脅威が検出された場合、当社のテクノロジーが自動的にブロックします。管理者に通知が送信され、次に取るべき措置について明確なガイダンスが提供されます。ITチームは、組み込みの高度な分析機能を活用して脅威の規模を迅速に把握し、問題の根本原因を素早く特定することで、迅速に対応できます。