サイバー脅威に対するSalesforceの監視、検出、対応
公開日: 2023.05.08
目次
この記事で学べること
不正アクセス、ランサムウェア、DoS/DDoS攻撃等、多様なサイバー脅威に対してSalesforceはどのような監視、検出、対応を行っているか理解できる。
1. はじめに
本記事では不正アクセス、ランサムウェア、DoS/DDoS攻撃等、多様なサイバー脅威からSalesforceがどのようにしてお客様にご利用いただいているSalesforceの本番システムのインフラストラクチャーを保護しているかを説明します。
2. インシデントレスポンス計画の整備
Salesforceではインシデントレスポンス計画が整備されています。Salesforceでは、標準化されたインシデント管理プロセス、各インシデントに応じたインシデント対応マトリックスおよび手順書が存在し、これに従い24時間365日体制で、セキュリティインシデントの軽重を問わず、お客様にサービスを提供する本番システムの安定性を維持するために、速やかな対応がとれる体制が整備されています。
インシデントレスポンス計画は以下のリンクからご確認いただけます。
また、このインシデント対応計画は、SalesforceのCSIRTチームによって四半期ごとにテストおよび訓練されています。
3. CSIRTの設置
Salesforceでは、セキュリティ・インシデント対応チーム(Computer Security Incident Response Team。以下CSIRT)を設置しており、正式なインシデント管理プロセスに従って調査、管理、コミュニケーションおよび解決の活動を行っております。
4. CSIRTによるログ監視とセキュリティインシデントの検知と対応
Salesforceの本番システムのインフラストラクチャーは、ネットワーク機器、サーバ、ファイアウォール、侵入検知システム、マルウェア対策、ファイル改ざん検知、データベース等のログを記録しています。これらのログはログ管理サーバで集約・相関分析され、CSIRTチームが24時間365日ログを監視しており、セキュリティアラートの通知を受け取った後、不正侵入の試みを検出した場合は、該当通信の遮断、マルウェアの駆除などの対応が即座にできる体制としています。このシステムログは1年間保管しており、また、システムログは改ざんや不正アクセスから保護するための様々なコントロールを実施しています。
また、DoS/DDoS攻撃については、ネットワークセキュリティチームが24時間365日体制でネットワークトラフィックを監視しており、DoS/DDoS攻撃を検出した後、社内対応プロセスに従い、迅速にDDoS攻撃を緩和する対応が行われます。
5. 脅威インテリジェンスを活用したプロアクティブな脅威の検知と対応
上記では、セキュリティアラートをCSIRTがリアクティブに対応するインシデント監視、対応プロセスを説明しましたが、Salesforceではリアクティブにインシデントの監視、対応を行うだけでなく、プロアクティブなサイバー脅威への検出、対応も実施しています。
SalesforceのCSIRTは広範なパブリックおよびプライベートの脅威インテリジェンスフィードとコミュニティを常時監視し、最新のサイバー脅威を分析しています。これらの脅威インテリジェンス(IoCとTTP)は、新しい検知シグネチャとしてセキュリティ監視システムに自動的に配布されます。脅威インテリジェンスは未知の脅威の検出と攻撃の検出と対応にかかる時間を短縮するためにも利用しています。
また、これらの脅威インテリジェンスを使用して、SalesforceのDetection & Response チームはSalesforceの本番システムのインフラストラクチャー内に疑わしいアクティビティがないかどうかの検出を行う機械学習を使用したアノマリーベースによるスレットハンティングも実施しています。
また、Salesforceの脅威インテリジェンスチームはSalesforceの本番システムのインフラストラクチャーをターゲットに攻撃している攻撃グループを常時監視し、その影響度、攻撃可能性の観点から攻撃グループの優先付けを行い、定期的に攻撃グループの評価を実施しています。そして、それぞれの攻撃グループが使用する攻撃手法に対して、当社の事業運営とお客様のビジネスに損害を与えないように、随時、Salesforceの本番システムのインフラストラクチャーの防止、検知、対応措置の見直しを実施しています。
6. セキュリティインシデントが発生した場合のお客様への通知
セキュリティインシデントが発生した場合、すべてのお客様に影響がある事象はTrustサイトに掲載されます。個別のお客様のセキュリティインシデントについては管理者とセキュリティコンタクトとして登録されたユーザーにメールが送信されます。
セキュリティコンタクトの登録方法は以下のリンクをご参照下さい。
公開日: 2023.05.08
この情報は役に立ちましたか?
ご意見お待ちしております。
フィードバックありがとうございます。
より役に立つために
役に立たなかった一番の理由を教えてください。