システム使用時に設定ミスによるセキュリティ問題はいつでも大きな注目を集めています。情報セキュリティ対策の必要性と考え方について、Salesforceのゲストユーザアクセスレポート(GUAR)はどのように対策しているかまとめました。
1.どうしてセキュリティチェック・対策が必要なのか?
セキュリティインシデントは絶対に避けなければなりません。一般的なe-learning、社内セキュリティ講習で提示される必須項目セキュリティインシデントが発生した場合、顧客ビジネスに致命的な悪影響を与えます。
自社過失でセキュリティインシデントは発生した場合、ビジネスへの影響は?
Salesforceのベストプラクティスが遵守されず、セキュリティインシデント発生の場合多大な影響が予想されます。
・プロジェクト単体での損失
・間接的な損失(案件の継続喪失、新規案件失注、過去案件点検、既存顧客説明 等)
・会社信用失墜(取引停止、営業機会損失)
「社員・従業員」は「ある日突然失業する可能性・リスク」がある
・会社の新規案件の受注が難しくなり、既存案件も中止される可能性がある。
・会社が経営危機に陥る可能性が高く、倒産・失業もあり得る。
・再就職で苦労する可能性もある。(セキュリティ関連は企業からの注目・関心度が高いため不祥事はチェックされていることが多い)
・倒産を免れたとしても経営状態が回復するまで昇給が見込めない。(原資である「利益」消失のため)
セキュリティチェック・対策は「自分自身の安全と生活を守るために」必要
システムが進歩しても、システム最大のセキュリティホールは「人」です。
・過失(人的ミス)は頑張りで防げるものではなく無視できない割合で発生している。
・「人はミスをする」前提を忘れずに、各個人がセキュリティを意識してお互いに気を配ることが大切。
・少しでもおかしいと思うことがあれば周りに声をかけること。
声を掛け合って、完全確認「ヨシ!」
現場でのヒヤリハット、人的ミス防止施策ですがIT業界でも有効です。
参考:
職場のあんぜんサイト:指差呼称[安全衛生キーワード] (厚生労働省)
https://anzeninfo.mhlw.go.jp/yougo/yougo72_1.html
2.ゲストユーザのセキュリティ設定のベストプラクティス
Experience Cloudのサイト構築時に意識するポイント
①Experience Cloud ゲストユーザのセキュリティ設定のSalesforceベストプラクティス遵守および徹底すること。
②GUARによるゲストユーザの権限を必ずチェックすること。(Salesforce Lab.提供のAppExchangeパッケージ ※①のベストプラクティス内に記載あり)
③顧客から「ゲストユーザ・公開サイト・一般公開・パブリック」などの単語が出てきた時上長へのエスカレーションを徹底すること。
※2023年5月現在 ゲストユーザプロファイル要件がない限り設定不要
※GUAR等での定期的確認推奨
3.ゲストユーザアクセスレポート(GUAR)について
GUARは、各コミュニティ・サイトのゲストユーザがアクセスできるオブジェクトと権限の概要を一覧形式で確認可能です。
閲覧と保存の操作手順
①アプリケーションのホーム画面を開く
②プロパティのリンクをクリックし、Visualforceページのアクセスを選択
③「GUAR GuestAccessReport」を追加して保存
④アクセス権限が付与されたことを確認
⑤レポートへのリンクをコピーして、ブラウザのシークレットモード/プライベートウィンドウで閲覧
⑥内容を保存する際はHTMLごと右クリックから名前をつけて、ウェブページ完全の形式で保存
4.アクセス権限をエビデンスとして保存
事実を裏付けする情報をエビデンスといい、根拠を示す手段、あるいは証拠となる情報を指します。GUARで取得したアクセス権限はデータとしてのエビデンスとなり、セキュリティ対策として問題がない点を裏付ける目的で使用されます。
セキュリティ対策としてGUARを使用した際は取得したアクセス権限は必ずエビデンスとして保存します。タイミングとしてはプロジェクト開始以前、終了時のタイミングで保存します。プロジェクト開始前に問題がなかったこと、また、業務遂行後プロジェクト完了後に問題がなかったことをデータとして後日確認できる形で残すことが求められます。
エビデンスは使用目的のために保存するのではなく、むしろ使わないでいることが理想です。万が一、セキュリティについて問題が起きたとき、非がないことを証明するためのツールです。「不適切なアクセス権限をデータに付与していない」ことが証明できるので、地味ですが大切な業務として位置づけられています。
チェック方式
5. まとめ
Salesforceのあらゆる作業はすべてセキュリティと密接に関係しています。「担当している作業・設計内容は安全か」を常に意識して疑問があれば必ず周囲に相談することを技術者は習慣づける必要があります。Salesforceは外部から内部データに権限なしにアクセスすることは強固にブロックしていますが、技術者が設定するゲストユーザ権限についても権限チェックに問題ないか、など弊社ではセキュリティに関するアセットは当然ながら、勉強会も行い日々メンバーに意識づけを行って、安心・安全なSalesforce活用に心がけております!!
参考:ゲストユーザセキュリティポリシーのベストプラクティス
https://help.salesforce.com/s/articleView?id=000390407&type=1