情報漏洩

Salesforceにおける個人情報漏洩のリスクと対策

ハッキング マルウェア感染 相談窓口

Salesforceは、クラウドベースの顧客関係管理(CRM)システムとして世界中の企業に採用されています。しかし、データ漏洩の危険性があることから、個人情報保護に関する取り組みが重要です。特に、設定ミスやアクセス権限の不備が原因で、重要な情報が漏洩するリスクが高まります。この記事では、Salesforceにおける個人情報漏洩のリスクと、それに対する具体的な対策を解説します。

Salesforceにおける個人情報漏洩の原因

Salesforceのデータ漏洩の原因は複数ありますが、主な原因は設定ミスや不適切なアクセス権限の管理にあります。特に、Experience Cloud(旧Community Cloud)での誤った設定が、外部ユーザーに個人情報を漏洩させる事例が見られます。以下に、考えられる主な原因を詳しく説明します。

設定ミスによるデータ露出

Salesforceでは、設定ミスが原因で個人情報が外部に漏洩することがよくあります。特に、Experience Cloud(旧Community Cloud)での「デフォルトの外部アクセス権」の設定ミスが大きな問題となっています。この設定が誤っていると、認証されていない外部ユーザーにも機密情報が漏洩するリスクがあります。

設定ミスを防ぐための手順
  1. Salesforceの「設定」メニューにアクセスします。
  2. 「共有設定」を開き、各オブジェクトの「デフォルトの外部アクセス権」が「非公開」に設定されているか確認します。
  3. 外部アクセスを許可する必要がある場合は、特定のユーザーまたは役割にのみアクセスを許可するよう、共有ルールを設定します。

アクセス権限の誤設定

適切なアクセス権限の設定は、Salesforceのセキュリティを守るために不可欠です。アクセス権限が不適切に設定されていると、関係のないユーザーが機密情報にアクセスできるようになってしまいます。特に、ゲストユーザーの権限が誤って設定されているケースでは、外部の第三者に情報が漏洩する可能性が高まります。

アクセス権限の見直し手順
  1. 「プロファイル管理」にアクセスし、各プロファイルのアクセス権限を確認します。
  2. ゲストユーザーのプロファイルに対しては、必要最低限の権限しか付与しないようにします。
  3. 「権限セット」を利用して、特定のユーザーにのみ追加の権限を付与します。

不正アクセスによる情報流出

Salesforceアカウントが不正アクセスを受けた場合、機密情報が盗まれるリスクがあります。特に、認証情報が漏洩したり、ソーシャルエンジニアリング攻撃を受けた場合には、悪意のある攻撃者がシステムに侵入しやすくなります。

不正アクセス防止のための手順
  1. 二要素認証(MFA)を有効にします。
  2. ユーザーアカウントのログイン履歴を定期的に監視し、不審なログインがないか確認します。
  3. アクセスログやセキュリティ監査機能を利用して、システム内での異常な動作を検出します。

セキュリティ機能の未使用

Salesforceには、情報漏洩を防ぐための強力なセキュリティ機能が搭載されていますが、これらを適切に活用していない場合、セキュリティリスクが増大します。たとえば、「ゲストユーザー向けのLightning Experience」を有効にしていると、外部ユーザーが不要なアクセス権を得てしまう可能性があります。

セキュリティ機能を活用する手順
  1. 「Lightning Experience」の設定にアクセスし、「ゲストユーザー向け機能」を無効にします。
  2. 「プラットフォーム暗号化」機能を有効にし、データの保護を強化します。
  3. Salesforce Shieldを導入して、データの監査とモニタリングを強化します。

サードパーティアプリケーションによるリスク

Salesforceは、多くのサードパーティアプリケーションと連携して利用されますが、これらのアプリケーションがセキュリティホールとなる場合があります。特に、信頼性の低いアプリケーションをインストールしてしまうと、個人情報の漏洩リスクが高まります。

サードパーティアプリケーションのリスク管理手順
  1. インストールするアプリケーションの提供元を確認し、信頼できるベンダーからのみインストールします。
  2. インストール後に、アプリケーションがどのデータにアクセスできるかを確認し、不必要なアクセス権を削除します。
  3. 定期的にアプリケーションのレビューを行い、不要なアプリケーションは削除します。

Salesforceにおける個人情報漏洩への対策

Salesforceにおける個人情報漏洩を防ぐためには、適切なセキュリティ対策を講じる必要があります。具体的な対策としては、アクセス権限の見直し、セキュリティ機能の活用、そして定期的な監視が重要です。以下に、効果的な対策について詳しく解説します。

Salesforceにおける個人情報漏洩防止のための対策

アクセス権限の適切な設定

Salesforceの最も一般的なデータ漏洩原因は、アクセス権限の不適切な設定です。このため、すべてのユーザーが必要最小限の権限しか持たないように設定することが重要です。特に、外部ユーザーやゲストユーザーに対しては、適切なアクセス制御を行うことが必須です。

アクセス権限の適切な設定手順
  1. 「共有設定」で各オブジェクトの「デフォルトの外部アクセス権」を「非公開」に設定します。
  2. 特定のデータや機能にアクセスできるユーザーを明確にするため、共有ルールを定義します。
  3. 定期的にアクセス権限を監査し、不要な権限を削除します。

セキュリティ機能の活用

Salesforceには多くのセキュリティ機能が搭載されていますが、これらを適切に活用していない場合、セキュリティリスクが高まります。たとえば、データ暗号化や監視機能を利用することで、データの保護が強化されます。

セキュリティ機能の活用手順
  1. 「プラットフォーム暗号化」を有効にし、データのセキュリティを強化します。
  2. Salesforce Shieldを導入し、データの監視や監査ログの保持を行います。
  3. 「脅威検知機能」を活用し、異常な動作を即座に検出します。

定期的な監視と更新

Salesforce環境のセキュリティを維持するためには、定期的な監視とセキュリティ設定の更新が欠かせません。システムの状態を常に把握し、必要に応じて設定を変更することで、リスクを最小限に抑えることができます。

定期的な監視の手順
  1. 「セキュリティ設定」の監査ログを定期的に確認します。
  2. リリースアップデートを確認し、セキュリティ関連の変更点をチェックします。
  3. 第三者のセキュリティ評価を受け、定期的にシステムの脆弱性を確認します。

企業の情報漏えいインシデント対応が義務化されています

2022年4月から改正個人情報保護法が施行されました

個人情報保護法改正2022

2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。

もし、マルウェア・ランサムウェア感染、不正アクセス、社内不正、情報持ち出しのような情報セキュリティ上の問題が発生した場合、まずは感染経路や漏えいしたデータの有無などを確認することが重要です。

ただ、調査を行うには、デジタルデータの収集・解析などの専門技術が必要です。これは自社のみで対応するのが困難なため、個人情報の漏えいが発生した、もしくは疑われる場合は、速やかにフォレンジック専門家に相談し、調査を実施することをおすすめします。

\相談から最短30分でWeb打ち合わせを開催/

情報漏えい調査はフォレンジック調査の専門家にご相談ください

DDF情報漏えいインシデントが発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。

このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備での端末の調査・解析、調査報告書の提出ならびに報告会によって問題の解決を徹底サポートします。

デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。

官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。

よくある質問

調査費用を教えてください。

対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。

土日祝も対応してもらえますか?

可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。

匿名相談は可能でしょうか?

もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。

この記事を書いた人

デジタルデータフォレンジックエンジニア

デジタルデータフォレンジック
エンジニア

累計ご相談件数32,377件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。その技術力は各方面でも高く評価されており、在京キー局による取材実績や、警察表彰実績も多数。

電話で相談するメールで相談する
フォームでのお問い合わせはこちら
  • 入力
  • 矢印
  • 送信完了
必 須
任 意
任 意
任 意
必 須
必 須
必 須
必 須
必 須
必 須
簡易アンケートにご協力お願いいたします。(当てはまるものを選択してください) 
 ハッキングや情報漏洩を防止するセキュリティ対策に興味がある
 社内不正の防止・PCの監視システムに興味がある