Salesforceにおける責任共有モデル
1. Salesforceにおける責任共有モデルの基本的な考え方
Salesforceにおける責任共有モデルとは
多くのクラウドサービスは、サービスを提供する事業者と、そのサービスを利用するお客様が、セキュリティに関する責任を分担しています。これを「責任共有モデル」と呼びます。クラウドサービスには、SaaS(Software as a service)、PaaS(Platform as a Service)、そしてIaaS(Infrastructure as a Service)といった異なる提供形態のサービスがあります。提供形態の違いによって、事業者側とお客様側の責任の範囲は異なり、一般にIaaS→PaaS→SaaSの順に、お客様へ求める責任事項は少なくなっていきます。
Salesforceは、PaaSとSaaSのサービスを提供する事業者として、この責任共有モデルをもとにお客様と責任を分担し、より良いセキュリティ環境を実現するように努めています。
Salesforceの責任とお客様の責任
Salesforceとお客様のそれぞれの責任分担の範囲は、大まかに下記の3つのカテゴリーに分けられます。
①Salesforceが責任を負う範囲
Salesforceは、最高水準のクラウドインフラストラクチャレベルのセキュリティを提供するとともに、お客様側で管理が必要なアプリケーションレベルのセキュリティを管理する機能に関しても高水準のサービスを提供しています。
インフラストラクチャレベルのセキュリティでは監査や認証を取得し、設定や運用に関わるセキュリティについてはSalesforceが責任を持っています。例えば、下記図表の右側部分に示されているアプリケーションの定義や、アプリケーションの開発・パッケージ、マネージドサービス、プロビジョニングなどに関する、インフラ部分の監査および認証の取得を行なっています。
さらに、アプリケーションレベルのアクセス制御や管理を果たすために必要な機能については、Salesforceの責任範囲として法令で要求されている基準を満たし、常に最新版にアップデートしています。また、お客様自身が、例えば、アクセス可能な社員をIPアドレスで制御したり、一定の時間帯にアクセスをさせないようにしたりといった細かなアクセス制御をできるような機能を、提供しています。特に昨今は、ランサムウェアの攻撃やフィッシング、ソーシャルエンジニアリングでIDとパスワードが漏洩し、それらを活用してアクセスされてしまうケースが、報道等で確認されますが、Salesforceはこういったケースを確実に防ぐために、多要素認証をはじめとする認証強化機能を提供しています。
Salesforce Servicesにおける責任範囲(クリックするとPDFファイルが開きます)
②お客様が責任を負う範囲
一方、お客様の責任範囲については、まず、ユーザーのアクセス制御およびポリシーの管理が含まれます。前述の通り、Salesforceは、お客様組織において、安全にサービスを利用するためのアクセス制御を実現する機能を提供しています。それを実際に使用して、どのユーザーがどのレベルでアクセスできるのかといったポリシーの策定および管理や、実際にどのユーザーがいつアクセスをしたのかといったログを管理することは、お客様の責任の範囲となります。
そして重要なのは、説明責任です。お客様は、Salesforceの使用を決断したこと、また、Salesforceのセキュリティ機能の中で、どの機能を使用し、どの機能を使用しないかといった選択に関しても、その決定に責任を持ち、自社内やステークホルダーへの説明責任を負うことになります。また、お客様自身において守らなければいけない法令対応(コンプライアンスの遵守)についても、お客様の責任範囲となっています。
そして重要なのは、説明責任です。お客様は、Salesforceの使用を決断したこと、また、Salesforceのセキュリティ機能の中で、どの機能を使用し、どの機能を使用しないかといった選択に関しても、その決定に責任を持ち、自社内やステークホルダーへの説明責任を負うことになります。また、お客様自身において守らなければいけない法令対応(コンプライアンスの遵守)についても、お客様の責任範囲となっています。
③Salesforceとお客様の両者が連携して解決すべき課題
前述の通り、責任共有モデルには、Salesforce、お客様それぞれの責任分担範囲に加えて、Salesforceとお客様の「両者が連携して解決すべき範囲」が存在します。それは、インシデントレスポンスです。例えば、お客様が誤って設定を行っていた場合に、何らかの攻撃を受けたとします。これに対して、Salesforceは、対応するためのベストプラクティスや、防御のためのアイデアの提供を行います。また、お客さまの組織環境において不正なアクセス等が発見された場合には、Salesforceはログの提供など調査支援を行います。ログの内容を参照し、その発生事象の分析や影響度の確認等を行う部分はお客さまの責任範囲となります。一方で、Salesforceの不具合により問題が起こった場合は、お客様と協力しながら、その不具合を修正していくといったケースもあります。このように、問題を一緒に解決していくためのコミュニケーションが重要になります。
2. Salesforceが担保するセキュリティとその責任
SalesforceではNIST CSF(米国国立標準研究所が策定するサイバーセキュリティのフレームワーク)に準拠したセキュリティフレームワーク及び各種ベストプラクティスに基づいたリスク管理を全社・全製品共通で実行・統制しています。
Salesforceが担保するセキュリティとその責任についての基本的な考え方は以下の通りです。
① 信頼を基本にしたカルチャーの醸成
信頼とは、お客様が Salesforce のセキュリティ、パフォーマンス、および透明性を信頼できることです。Salesforceには、セキュリティのベストプラクティスやセキュリティ機能の導入について従業員の啓発、エンゲージメント、教育を全社的に推進する専門チームがあります。この専門チームは、信頼がSalesforceの最も重要なコアバリューであるという考えに基づき、あらゆる業務にセキュリティを組み込むよう社員に対して常にトレーニングを行い、特段意識せずとも、セキュリティを重視した行動をとるようなカルチャーを醸成しています。
②セキュリティを基本に据える
Salesforceのプロダクトには企画段階から、セキュリティに対する対応が組み込まれています。Salesforceで重要視しているのは、基本的なことを正しく行うことです。具体的には開発時のセキュリティ要件の組み込み、脆弱性へのパッチ適用、脅威の検出と緩和、セキュリティの守り手となるための社員教育などを実施しています。
③Secureイノベーション
Salesforceではセキュリティはビジネスの阻害要因ではなく、イネーブラーであると考えています。企業は、ますます迅速な対応を求められており、Salesforce のセキュリティ戦略は、安全な方法で企業のイノベーションをサポートすることを目的として構築されています。Salesforceでは主に2つのアプローチをとっています。一つ目のアプローチはデザイン段階でセキュリティ完了基準を埋め込んだSalesforceの共通開発手法、Salesforce Secure Development Lifecycle (SSDL) を通じて安全にプロダクトを開発することです。もう一つのアプローチは、誰も、何も信頼せず、すべてのアクセスを検証するという「Zero Trust(ゼロトラスト)」 の方針に根ざし、アクセス制御に関するすべての判断を動的に行うことです。この判断は、セキュリティポリシーとしての判断だけではなく、職務分掌と最小特権の原則(ユーザー、デバイス、アプリケーション、システムに対して、業務に必要な最低限の権限レベルしか与えないことを意味します)に基づいて行われます。
④常に上を目指す
サイバー攻撃が日々巧妙化するなか、Salesforceでは今日の防御では明日の攻撃を防ぐことができないことを認識しています。Salesforceのセキュリティチームは、明日の脅威の一歩先を行くために絶えず革新を続けています。現在、私たちは「サイバーレジリエンス」に注力しています。NIST (米国国立標準研究所)は、サイバーレジリエンスを「サイバーリソースを使用する、または使用できるシステムに対する悪条件、ストレス、攻撃、または侵害を予測し、それに耐え、そこから回復し、適応する能力」と定義しています。つまり、サイバーレジリエンスでは、単に対応・回復する能力ではなく、いかに早く回復し、何を優先して、影響を最小限に留め、業務・事業継続を確保するかということが重要になります。
Salesforceのセキュリティ対策の具体的な取り組み
Salesforceでは上記のような基本的な考えのもと、お客様とSalesforce自身のセキュリティ対策を講じています。具体的な取り組みについて、下記に紹介します。
認証・認定・外部監査の積極的な取得
Salesforceは第三者認証を取得し、お客様と契約時にお約束した内容を実行し、その内容を一般に公開しています。例えば、当社のサービスではSalesforce Services、Heroku Services、Salesforce Services on Hyperforce、Slackが、ISMAP(政府情報システムのためのセキュリティ評価制度)を取得し、ISMAPクラウドサービスリストに登録されています。さらに、Salesforceでは定期的に受けている外部からの脆弱性検証のテスト結果を公開し、コアサービスについては、SOC監査(米国公認会計士協会が定めたクラウドサービスの内部統制に関する監査)を年に2回受け、レポートをお客様に公開するなどしています。
ネットワークセキュリティ
Salesforceでは提供するサービス全体に対し、想定外、つまり、想定を超える「不確かさ」に備えるために深層防護のアプローチを採用しています。
そのために、各ネットワークセグメントにファイアウォールやIDS(侵入検知システム)を配置し、ネットワークの分離、アクセスの制限、通信の厳しい監視により通信の安全を図ると共に、全てのセグメントで通信の暗号化を行い、通信傍受からの保護を行なっています。また、最先端の技術を取り入れた多層保護のDDoS対策を実施しています。
可用性:24/7体制での監視体制
クラウドサービスの利用者が増えるなか、Salesforceは可用性を保つために多くの投資を行なっており、最新の技術を使って高い可用性を確保しています。サイト可用性運用チームがシステムの運用監視(死活監視、チューニング、システム増強など)を実施するとともに、コンピュータセキュリティインシデントチーム(CSIRT)がセキュリティ監視などを行っています。サービス提供サーバは、世界の各拠点に配置されており、24時間体制(フォローザサン形式)の監視で、可用性を保っています。
可用性を高めるための監視体制(クリックするとPDFファイルが開きます)
事業継続性と災害復旧
災害時にも事業継続性を保つために、Salesforce のサービスを運用するデータセンターでは48時間以上の非常時電源供給と燃料の備蓄を行なっています。実現性のある災害復旧の計画とプログラムを策定する一環として、Salesforceは少なくとも年に1回、災害復旧演習を計画に組み込んでいます。その例として、Salesforce Servicesでは本番環境で二つのデータセンターを定期的に切り替え、サイトスイッチが正常に作動するかどうかを確認しています。
お客様へのツールの提供
Salesforceではお客様組織の状況を確認・評価を手助けするために様々なツールを提供しております。ここでは代表的なツールについてご紹介します。
・セキュリティ状態チェック(※ Salesforceのサブスクリプションに含まれます)
・セキュリティ状態チェック(※Salesforceのサブスクリプションに含まれます)
セキュリティ設定に潜在する脆弱性を特定し、修正することができます。具体的には、Salesforce Baseline Standard などの情報セキュリティ対策のベストプラクティスを基にしたルールを作成し、ユーザー側の各種設定をチェック・評価することができます。Salesforce Baseline Standard の代わりに、セッションの設定、パスワードポリシー、ネットワークアクセス設定等の評価項目において、最大5つのカスタムベースライン基準をもとに、セキュリティベースラインを組織がどの程度満たしているかを確認することもできます。
・Salesforce Optimizer(※ Salesforceのサブスクリプションに含まれます)
Salesforce Optimizer は、機能の改善、カスタマイズのクリーンアップ、複雑さの軽減、機能の採用の促進を実現するための推奨事項を提供する機能です。例えば、Salesforceを使っているユーザープロファイルやデータを洗い出し、オブジェクトの共有状況を確認し、過剰にアクセス権限を設定していないかを確認することで、設定ミスによる情報漏洩を防止するのにも役立ちます。また、実装を改善するためのアドバイスと推奨を個別レポートで受け取ることができます。
監査について
Salesforceの監査機能では、システムの使用に関する情報を提供します。これにより、潜在的なセキュリティ問題、または実際のセキュリティ問題の診断をすることができます。ただし、Salesforce 監査機能は、それ自体が組織を保護するわけではありません。組織の誰かに、可能性のある不正使用を検出するために定期的な監査を実行してもらう必要がありますのでご留意ください。
・Salesforce Security Center(※ 有償オプション)
複数のSalesforce組織を横断的に一元管理することができるセキュリティツールです。セキュリティセンターを使用することで、セキュリティ指標データをオンデマンドで確認し、各組織の最新のヘルスチェックスコア、アクセス設定、ユーザおよびログイン総計値等をアプリケーションから確認できます。より実践的にセキュリティ設定の状況を把握することでお客様が機密データに関わる変更および設定に積極的に対応するのに役立ちます。
・Salesforce Shield(※ 有償オプション)
Salesforce Shield は、ビジネスクリティカルなアプリケーションに、より高いレベルの信頼性、コンプライアンス、およびガバナンスを構築するための 4 つのセキュリティツールです。Shield Platform Encryption、Event Monitoring、Data Detect、および Field Audit Trail が含まれます。
・Sandbox(※ 一部、有償オプション)
Sandbox は、別の環境に作成された Salesforce 組織のコピーです。Sandbox を使用して、本番組織のデータやアプリケーションを損なうことなく、開発、テスト、トレーニングを行うことができます。Sandbox を使用することで、年3回のメジャーアップデートがリリースされる前に動作の検証をすることができ、効率的な開発作業に役立ちます。なお、本番組織と同等の検証環境を提供するFull Sandboxは有償で別途契約が必要になります。
参考情報
Salesforceの責任共有モデルへの考え方や、セキュリティに関する情報についての詳細情報については、下記の各ページをご覧ください。
Salesforceセキュリティの基本
Salesforce のセキュリティ機能は、ユーザが安全かつ効率的に業務を遂行できるよう支援します。Salesforce では、データの露出を行動するユーザのみに制限しています。データの機密性に応じて、適切と思われるセキュリティ制御を導入してください。社外からの不正アクセスやユーザによる不適切な使用からデータを保護するために、Salesforce が連携して対応します。
Salesforceセキュリティの基本
詳細はこちら
Salesforceセキュリティガイド
SalesforceセキュリティガイドはSalesforce Servicesを安全に利用するためのグッドプラクティスを集めたドキュメントです。Salesforce Servicesには、データとアプリケーションを保護するセキュリティが組み込まれて構築されています。また、独自のセキュリティスキームを実装して、組織の構造とニーズを反映させることもできます。データの保護はお客様と Salesforce との相互連携が必要になります。Salesforce のセキュリティ機能を使用すると、ユーザはSalesforce Services上での業務を安全かつ効率的に実行できます。
Salesforceセキュリティガイド
詳細はこちら
Salesforceのインフラストラクチャの稼働状況、システムパフォーマンス
お客様はいつでも、trust.salesforce.comからSalesforceのインフラストラクチャの稼働状況、システムパフォーマンスを確認することが可能です。trust.salesforce.comでは、パフォーマンス低下の原因とその対応状況、セキュリティ情報などの情報が定期的に更新されています。
Salesforceのインフラストラクチャの稼働状況、システムパフォーマンス
詳細はこちら(英語)
コンプライアンスサイト(※要SalesforceのログインID)
Salesforceのお客様は責任共有モデルに関するホワイトペーパー(Security Perspective on the Shared Responsibility Model)日本語翻訳版をコンプライアンスサイトよりダウンロードいただけます。ダウンロードには、SalesforceのログインIDが必要です。
コンプライアンスサイト
詳細はこちら
Trailhead(オンライン学習)
セキュリティの基本やデータ/ネットワーク/アプリケーションのセキュリティに加え、サイバーセキュリティのベストプライティスといったSalesforceのセキュリティについて、Salesforceの無料オンライン学習ツールのTrailheadで学ぶことができます。
Trailhead(オンライン学習)
詳細はこちら
セキュリティに関するSalesforceコミュニティ
Salesforce セキュリティグループではSalesforceユーザーによる、Salesforce のセキュリティに関するディスカッションが行われています。Salesforce 上の Apex コードのセキュリティを確認する方法などについて質問することができ、Salesforce 上のデータを保護するためのヒントが得られます。
セキュリティに関するSalesforceコミュニティ
詳細はこちら