マイナビニュースマイナビ
【特別企画】

バックエンドで連携するSalesforceが狙われる。共同開発のソリューションでネイティブなセキュリティ機能を補完

[2021/04/26 10:00] ブックマーク ブックマーク

クラウドサービス市場の拡大が止まらない。どこからでもアクセスできる利点が、コロナ禍におけるリモートワーク需要の増加と相まって、更なる利用拡大を促している。その中の代表的なクラウドサービスのひとつにSalesforceがあり、業界をリードする顧客管理プラットフォームとして数多くの企業に利用されている。

一方、クラウド環境を対象とした新たなサイバー攻撃の事例として、Salesforce経由の攻撃が近年増えているのをご存知だろうか。クラウドサービスはオンプレミスと異なり、サービス提供者と利用者の間で責任分界点が定められており、この点への利用企業側の理解が十分ではないこと(=利用企業として講じなければならないセキュリティ対策を怠っているケースがあること)とユーザー数の多さ(=攻撃対象の多さ)が相まって、Salesforceユーザーを狙う攻撃が増えているのである。

Salesforce利用企業のセキュリティギャップを埋める

Salesforceを利用している方には、ダウンロード資料をご覧頂く事を勧めたい。

例えば、一般消費者からの問い合わせや申込みに関するシステムをSalesforce環境で構築することが多いため、攻撃者が意図的にマルウェアやランサムウェアを送り付ける事例も数多く報告されている。また、新型コロナウイルス感染症の影響で、従来の窓口業務からSalesforce環境で構築されたシステムによるオンライン化が進んだことも、攻撃増加の要因になっている。

本稿では、Salesforceユーザーを狙った脅威を整理し、そのうえで、エフセキュアとSalesforceによって共同開発された、セキュリティソリューション「F-Secure Cloud Protection for Salesforce」を紹介したい。

エフセキュア提供資料
Salesforce利用企業のセキュリティギャップを埋める
> > 資料ダウンロードはこちら

クラウドサービスを狙う脅威とは

クラウドサービスの利用に際しては、SaaS、PaaS、IaaSの各サービス体系によって、責任分界点が異なってくる。「責任共有モデル」と呼ばれる下図にある体系を正しく理解しなければ、適切なセキュリティ対策を実装することは困難だ。

責任共有モデル

利用企業は「利用企業側に常に責任範囲がある」領域に関しての適切なセキュリティ対策を施すことが求められるのだが、企業側の理解不足にともないこれが不十分であるケースは少なくない。Salesforceを例に挙げれば、利用企業はいま、以下に挙げるような脅威への対応を常に考慮する必要がある。

Salesforceクラウドにおけるセキュリティリスクと脅威
・マルウェアとランサムウェア
・ゼロデイエクスプロイト
・フィッシング
・迷惑で不適切なコンテンツ
・サプライチェーン攻撃
・高度な持続的脅威
・悪意のあるインサイダーによる脅威


Salesforceの標準機能を補完し、コンテンツセキュリティを強化

Salesforceはサービスプロバイダとしてシステムとアプリケーションのセキュリティにおけるさまざまな面を維持管理することを保証している。たとえば、システムにアクセスするすべてのユーザーとデバイスの認証や、設定したさまざまなルール、権限、役割の適用などが含まれる。しかし、Salesforce環境にアップロードされたファイルやリンクを保護することはユーザー側の責任範囲であり、アップロードした人が、社内のスタッフ、外部のパートナーや顧客などであってもユーザー側に責任が生じる。

こうした背景から、エフセキュアでは、Salesforceと共同で設計・開発したF-Secure Cloud Protection for Salesforceによるセキュリティ機能を提供している。高度な脅威インテリジェンスサービスや、機械学習技術を利用したセキュリティ解析をSalesforce環境に適用することで、より高度なセキュリティ対策を施すことが可能になる。

F-Secure Cloud Protection for Salesforce

*  *  *

ダウンロード資料では「F-Secure Cloud Protection for Salesforce」の詳細を説明するほか、先述の責任共有モデルについても分かりやすく丁寧に解説している。現在Salesforceを利用している企業はもちろんのこと、クラウドサービスを利用する企業の方にもぜひご覧いただきたい。

ダウンロード資料のご案内

エフセキュア提供資料
Salesforce利用企業のセキュリティギャップを埋める
> > 資料ダウンロードはこちら

[PR]提供:エフセキュア

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
Slackで始める新しいオフィス様式
Google Workspaceをビジネスで活用する
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
次世代YouTubeクリエイターの成長戦略
IoTでできることを見つけるための発想トレーニング
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
マイクロサービス時代に活きるフレームワーク Spring WebFlux入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る