狙われる「Salesforce」 – クラウド移行時のサイバー攻撃と情報漏えいのリスク
日々増加するサイバー攻撃は、国家のインフラや大手企業だけでなく、あらゆる業種や規模の企業に対しても猛威を振るっています。特に最近では、企業がインフラや運用をクラウドに移行する動きが進む中、サイバー攻撃者はそのクラウド環境を狙った攻撃を強化しています。
クラウドベースのCRMソリューションとして広く利用されている「Salesforce」は、多くの企業や組織にとって欠かせない存在となっており、そのプラットフォームには顧客の貴重で機密性の高いデータが大量に保存されています。しかし、Salesforceを標的としたマルウェアやランサムウェアの攻撃も増加しており、セキュリティリスクが顕在化しています。
さらに、2020年以降、金融機関やEC事業者、自治体、システム会社などで「Salesforceの設定不備」が原因となり、顧客データが外部に漏洩する事故が相次いで発生しています。これらの事例は、クラウド環境における設定ミスがどれほど重大なリスクを引き起こすかを示しています。
設定ミスと監視外資産が引き起こす脅威に対処するために
Salesforceは、高度なセキュリティ制御機能を備えたプラットフォームであり、顧客データを安全に保存するための多くの機能を提供しています。しかし、そのセキュリティを確保するためには、ユーザー企業自身がこれらの機能を適切に設定し、運用する必要があります。
クラウド環境には多様な設定オプションがあり、その複雑さが設定ミスを誘発しやすくします。また、システムが複雑化することで、適切に管理されていない資産が増え、これが脆弱性の原因となり得ます。IT部門の担当者がこれらの脅威を見逃さないよう、監視体制を強化し、設定の定期的な見直しが求められます。
データコンサルタントの視点から、企業はSalesforceをはじめとするクラウドサービスを最大限に活用するために、セキュリティ設定の適切な実施、監視の徹底、およびリスク管理を怠らないことが重要です。これにより、顧客データの安全性を維持し、サイバー攻撃によるリスクを最小限に抑えることができます。
Salesforceにおけるセキュリティリスクとその対策の重要性
Salesforceは、企業の業務効率を高めるために多くのEメールベースのフローを提供していますが、その利便性がサイバー攻撃の標的になるリスクも高まっています。特に、「ランサムウェア」や「フィッシング」といった手法がSalesforceユーザーを狙った攻撃で増加しており、悪意のあるファイルやURLリンクが柔軟なコラボレーション機能を悪用してシステム内に持ち込まれる可能性があります。
Salesforceのデータプライバシーとセキュリティの課題
Salesforceでは、クラウド上で共有されたデータは基本的にファイルデータとして取り扱われ、ウイルススキャンや検疫といったセキュリティ対策が施されないため、コンテンツの安全性はユーザー自身で確保する必要があります。これにより、データプライバシーの保護が強調される一方で、セキュリティリスクが顕在化しやすい状況が生まれています。
Salesforceのセキュリティ強化のための実践ガイド
Salesforceを安全に運用するためには、特定のリスクを認識し、それに対応するための具体的な対策が求められます。最新の市場調査に基づいたSalesforceのセキュリティに関する最優先事項と、リスクを軽減するために実施すべき8つのアクションを解説します。これにより、組織全体でのセキュリティ意識の向上と、Salesforceの運用におけるセキュリティリスクの最小化を目指します。
Salesforceを利用する組織の情報セキュリティ責任者や担当者
Salesforceのシステム開発やインテグレーション事業者
Salesforceの管理者やエンジニアとしてシステムを運用する方
Salesforceのセキュリティリスクとその対策について詳しく知りたい方
Salesforceのセキュリティ対策を効果的に実施することで、企業のデジタル資産を守り、ビジネスの継続性を確保するための基盤を強化することができます。
ネットワーク接続プロセスの変革:クラウドベースアプローチのメリットと課題
現在、企業ネットワーク接続の主な手法としては、ユーザーがネットワークへのアクセスを要求し、その要求に対してネットワークが接続を提供する方式が一般的です。しかし、この従来型の接続プロセスでは、企業が管理するネットワーク内部の制御にのみ焦点が当てられています。クラウド環境の台頭に伴い、セキュリティ戦略には大きな変革が求められています。以下、データコンサルタントの視点から、この変革について解説します。
1. クラウド時代におけるネットワーク管理の変化
従来のネットワーク管理は、企業が物理的・論理的に自社のネットワークインフラを制御する前提で成り立っていました。しかし、クラウドベースのインフラが一般化し、ネットワークが企業の直接的な管理外となったことで、新しいセキュリティパラダイムが必要となっています。ここで最大の課題は、もはや企業内ネットワークだけではなく、クラウドやインターネット上のリソースに安全にアクセスできる仕組みを構築することです。
2. ネットワークアクセスからアプリケーションアクセスへの移行
従来のネットワーク接続プロセスでは、企業のネットワークに接続してからアプリケーションにアクセスするという構造でしたが、クラウドベースのセキュリティソリューションは、ネットワーク接続そのものを再定義しています。クラウドソリューションでは、ユーザーが直接アプリケーションにアクセスするのではなく、アプリケーションがクラウドブローカーにインサイドアウトで接続し、そこからユーザーとアプリケーションが結びつく仕組みが採用されています。この構造により、アプリケーションがインターネット上に公開されることなく、セキュリティが向上します。結果として、従来必要とされたファイアウォールやウェブアプリケーションファイアウォールといったネットワークセキュリティアプライアンスも不要になります。
3. マイクロセグメンテーションによるセキュリティ強化
クラウドベースのアプローチの大きな利点は、複雑なネットワークセグメンテーションやACL(アクセス制御リスト)、ファイアウォールポリシーの煩雑な管理を解消し、マイクロセグメンテーションを実現できる点です。これにより、ユーザーのセッションごとに動的にトンネルを生成し、必要な範囲のみアクセスを許可する形で、セキュリティが強化されます。従来のVPNのような静的トンネルを常時稼働させる必要がなく、マイクロセグメンテーションを通じて、マルウェアの水平方向への拡散や過剰な特権アクセスを制御できます。
4. 攻撃面の縮小とアクセス制限
このマイクロセグメンテーションアプローチでは、ユーザーは特定のアプリケーションにのみアクセスできるように制限されており、ネットワークの他の部分には一切アクセスできません。これにより、マルウェアの水平的な拡散リスクが大幅に軽減されます。また、アプリケーションがインターネットに直接公開されないため、DDoS攻撃のリスクも排除され、従来必要だった複数の単機能セキュリティ製品を削減することが可能です。
5. エンドツーエンドの暗号化によるセキュリティとパフォーマンスの両立
クラウドベースのセキュリティソリューションは、エンドツーエンドの暗号化を採用しているため、セキュリティを保ちながら高速でスケーラブルな接続が可能です。このアプローチは、企業の独自ネットワークに代わるものとしても機能し、ネットワーク管理やセキュリティ運用のコスト削減をもたらします。さらに、クラウドインフラの特性を活かし、スピードと拡張性を確保することで、企業のデジタル変革を支える重要な要素となります。
まとめ
ネットワーク接続のプロセスは、クラウド環境の普及により進化を求められています。従来のネットワークセキュリティモデルでは対応しきれない新たなリスクに対処するため、アプリケーションアクセスを中心としたクラウドベースのアプローチが有効です。マイクロセグメンテーションや暗号化通信により、企業はセキュリティリスクを低減しつつ、柔軟で効率的な運用を実現できます。
最適化段階におけるベストプラクティス
最適化とは、ビジネス目標を損なうことなく効率を向上させ、コストや時間を削減する機会を特定するプロセスです。この段階では、手作業によるプロセスが含まれる場合もありますが、すべてのチームにとって有用となるアプローチを明文化することが推奨されます。
特にクラウド環境では、スケールアップ/スケールダウンを柔軟に行える一方で、適切なツールが不足していると過剰な支払い(オーバープロビジョニング)やリソース不足のリスクが高まります。過剰なリソース供給は不要なコストを引き起こし、一方でリソース不足はパフォーマンスやユーザー体験の低下を招きます。
成熟した組織はクラウドコストの最適化に向けた専任チームを編成しており、以下のような活動を効果的に管理します。
ライトサイジング:必要なリソースに合わせた最適なサイズに調整
ゾンビインフラの排除:使われていないリソースの無駄を排除
予約と使用コミットの管理:コスト削減プランの適用
電源オン/オフポリシーの導入:無駄な稼働時間を削減
スポットインスタンス/仮想マシンの利用:短期的かつ低コストのコンピューティングオプション
最適化の対象はコストにとどまらず、運用やセキュリティも含まれます。運用の最適化は業務効率の向上を目指し、標準化されたインフラを確立します。セキュリティの最適化は、リスクを監視し、早期に対処するためのプロアクティブなプロセスです。
成功するための鍵は、最適化の重要性を全社的に認識させ、積極的な取り組みを奨励することです。従来のエンジニアリングチームでは、コストや構成、セキュリティへの意識が低いことが一般的でしたが、現在はセキュリティに関する意識が高まりつつあります。生産性を重視しつつ、コストやセキュリティにも責任を持ち、バランスの取れた最適化アプローチが求められます。
具体的な戦術例をいくつかご紹介しましょう。
コンサルタント視点での変更ポイント
目的の明確化:ビジネスゴールを達成するために、コスト削減や効率化をどのように進めるかを具体的に示す。
ツールの重要性の強調:適切なツールがないと、リソースの無駄やコスト超過が発生するリスクがあることを強調。
チームとプロセスの成熟度:成熟した組織の具体的なアプローチ(チーム編成や活動内容)を明示し、他の組織への参考モデルとする。
最適化の範囲拡大:単なるコスト削減だけでなく、運用やセキュリティ最適化の必要性を強調。
クラウドサービスに対応したセキュリティ対策
クラウドサービスの普及に伴い、従来のIT部門では把握できなかったリスクが生まれる可能性があります。特に、エンドユーザーがIT部門の管理外でクラウドサービスを利用する場合、たとえ悪意がなくてもセキュリティ上のリスクを引き起こす恐れがあります。これを防ぐため、IT部門によるクラウドサービスの一元管理が重要です。
以下に挙げるセキュリティソリューションを導入することで、クラウドサービスの監視漏れやセキュリティホールの発生を防止できます。
1. CWPP (Cloud Workload Protection Platform)
CWPPは、IaaSやPaaSなどのクラウドサービスにおけるアプリケーションのリスク管理を支援するプラットフォームです。動的に展開される「ワークロード」の検出機能を持ち、どのアプリケーションがどのクラウドサービスで稼働しているのか、またパッチ適用状況などを可視化します。これにより、クラウド上でのセキュリティ対策が不明確な問題を解決し、ソフトウェア資産管理(SAM)の負荷を軽減します。
2. CASB (Cloud Access Security Broker)
CASBは、エンドユーザーが利用しているSaaSアプリケーションの可視化に効果的です。例えば、「いつ、誰が、どのファイルをクラウドストレージに移動したのか」といった通信情報を追跡することが可能です。IT管理者はこの可視化情報を活用し、エンドユーザーがセキュリティポリシーに違反していないか、またシャドーITの使用を検出することができます。不正な通信が確認された場合、その通信を遮断することも可能です。
クラウドサービス導入時の考慮点
クラウドサービスを導入する際、重要なのはそのサービスが自社のセキュリティポリシーに合致しているかどうかです。まずはクラウドベンダーが提供するセキュリティ機能が自社の要件を満たすか確認し、必要に応じてカスタマイズや制御方法を検討します。
シングルクラウド vs マルチクラウド戦略
特定のクラウドベンダーのサービスのみを利用する「シングルクラウド」戦略を採用する場合、まずそのベンダーが提供する標準のセキュリティ機能を活用するのが効率的です。主要なクラウドベンダーは、企業向けに必要なセキュリティ機能をほぼ網羅しており、サポート窓口も一元化できます。もし標準機能では不十分であれば、対象を絞ったサードパーティ製のセキュリティソリューションを導入することを検討するべきです。
データコンサルタント視点での変更ポイント
リスクの特定と可視化:エンドユーザーによる無意識のリスクを減らすため、可視化の重要性を強調。
包括的な管理体制の導入:クラウド利用においても、IT部門が一元的にリスクを管理するためのツール導入を提案。
クラウド戦略の多様化:シングルクラウドとマルチクラウドの利点とリスクを整理し、組織に合ったアプローチを選択する重要性を強調。
マルチクラウド環境におけるセキュリティ対策の課題と解決策
マルチクラウド戦略を採用する企業にとって、セキュリティ管理はシングルクラウド環境に比べて複雑化します。特定のクラウドベンダーが提供するセキュリティ機能のみを導入しても、他のクラウドサービスには適用されず、一貫性のないセキュリティ対策となる可能性があります。また、各クラウドベンダーごとに個別のセキュリティ機能を導入すると、管理が煩雑になり、全体のセキュリティポリシーを統合的に運用できなくなるリスクも高まります。
マルチクラウド環境におけるセキュリティの統合管理
このような状況に対応するためには、サードパーティー製のマルチクラウド対応セキュリティソリューションを導入することが推奨されます。具体的には、以下のツールやアプローチが考えられます。
マルチクラウド管理ツール:複数のクラウドサービスに対して一貫したセキュリティ設定を適用できるツール。これにより、各クラウドのセキュリティ管理が分散されず、統合されたポリシーで一貫性を保つことが可能です。
CASB(Cloud Access Security Broker):クラウドサービス間のデータのやりとりを監視・制御するセキュリティソリューション。CASBは、シャドーITの検出や、エンドユーザーの行動に基づいたリスクの可視化といった機能も提供します。
リスクの明確化とセキュリティポリシーの遵守
クラウドサービスを複数利用している場合、どのサービスを使用しているか、各サービスにおける潜在的なリスクを正確に把握することが重要です。オンプレミス環境では、企業は情報セキュリティ認証制度に基づき、自社のセキュリティポリシーを適用してきましたが、クラウド導入により気付かないうちにこれらのポリシーに違反する可能性があります。
セキュリティポリシーがクラウド環境でも適用されているか確認するために、コンサルティングサービスの活用が有効です。専門家がセキュリティ評価を行い、違反や潜在的なリスクを特定することで、事前に対策を講じることが可能となります。
データコンサルタント視点での変更ポイント
リスクの一元管理:各クラウドベンダーに依存せず、統合的なリスク管理を行うためのツールの導入を推奨。これにより、セキュリティホールの発生を防止し、管理負担を軽減。
可視化と統制強化:マルチクラウド環境下でのデータフローの可視化と、エンドユーザーの行動の監視により、潜在リスクを早期に検出・対処。
外部専門家の活用:セキュリティポリシーに違反していないか定期的に確認するために、コンサルティングサービスの利用を奨励。これにより、リスク管理の精度を高め、クラウド導入におけるセキュリティの確保を強化。
クラウドユーザー向けの「クラウド特化型」セキュリティ対策とは?
クラウドサービス、特にIaaS(Infrastructure as a Service)やPaaS(Platform as a Service)は、企業に多様な働き方を提供する一方で、システムの複雑化を引き起こします。これに伴い、セキュリティリスクも増大します。前編で解説したように、クラウドの導入に伴うリスクを効果的に管理するためには、従来のセキュリティ対策に加え、クラウド特有のリスクに対応した対策が不可欠です。
クラウドサービスのリスクに対処するには、以下の2つの視点が重要です:
基本的なセキュリティ対策(クラウドとオンプレミス共通)
クラウド専用のセキュリティ対策
1. 基本的なセキュリティ対策
クラウドであれオンプレミスであれ、システム全体に共通して適用されるセキュリティ対策は「ネットワーク層の保護」が中心となります。たとえば、VPN(仮想プライベートネットワーク)や専用線接続を利用することで、外部ネットワークからクラウド上の業務アプリケーションに安全にアクセスできます。これは、テレワーク環境でも必要不可欠です。
また、エンドユーザーのデバイスに対するエンドポイントセキュリティも重要な要素です。これには、以下のような機能が含まれます:
許可された無線LANアクセスポイント(AP)のみへの接続を許可
社外ネットワークから社内ネットワークへのアクセスは必ずVPNを経由させる
こうした基礎的なセキュリティ対策は、クラウド環境でも必須であり、特に従業員へのセキュリティポリシーの順守を徹底させることが根本的なリスク軽減策となります。
2. クラウド専用のセキュリティ対策
基本的な対策に加えて、クラウドに特化したセキュリティソリューションを導入する必要があります。クラウドサービスでは、特有の動的な環境や複数のテナントが共有するリソースなどが存在するため、それに対応する対策が不可欠です。具体的には、以下のような施策が考えられます。
クラウドワークロードの保護:クラウド環境で稼働するアプリケーションの動的な配備やパッチ適用状況を可視化し、リスクを早期に発見できるツールを活用します。
クラウドアクセスの制御:SaaSやクラウドストレージの利用状況を可視化し、どのユーザーがどのファイルにアクセスしたかを追跡できるようにするCASB(Cloud Access Security Broker)などのツールを導入し、クラウド上のデータフローを統制します。
データ暗号化と権限管理:クラウド内でのデータの暗号化や、アクセス権限の厳格な管理も重要です。特に、多様なユーザーが異なるアクセス権限を持つクラウド環境では、きめ細かい権限管理がセキュリティの強化につながります。
データコンサルタント視点での変更ポイント
リスク評価と対応のバランス:クラウド導入時に、基本的なネットワーク保護だけでなく、動的なクラウド環境特有のリスクをどう評価し、どのように対策を講じるかのバランスを取ることが重要です。
可視化と運用効率の向上:クラウド特有の複雑な環境を可視化することで、運用効率を上げ、リスク管理を強化するためのツールやプロセスの導入を提案。
従業員教育の重要性:従業員がセキュリティポリシーを理解し、クラウドの特性に応じた安全な利用方法を実践できるように教育を強化します。