脅威検知の利用開始

この記事で学べること脅威検知機能の概要脅威検知アプリケーションの設定方法トランザクションセキュリティによる管理者への通知設定イベントモニタリングに含まれる2種類のログの違いイベントモニタリングライセンスには、以下2種類のログが含まれます。リアルタイムイベントモニタリング：セキュリティインシデントの発生ログとレコードへのアクセスログイベントモニタリング：イベント発生 / エラー / パフォーマンス分析用のイベントログこの2種類のログの違いの詳細については、以下の記事をご参照ください。イベントモニタリングとは脅威検知は、リアルタイムイベントモニタリングに含まれるログとなります。脅威検知機能の概要脅威検知機能はイベントモニタリングに含まれる機能の一つであり、統計および機械学習の手法を駆使してSalesforce組織に対する脅威を検知します。この機能により、組織内で発生しているアクティビティに対して、不審なもの・普段とは傾向が異なるものがないかどうかが自動で分析され、万が一異常な傾向があった場合には「脅威検知イベント」としてその内容をログに記録します。また、同じイベントモニタリングに含まれるトランザクションセキュリティ機能と組み合わせることで、脅威検知イベントが作成された際に管理者に対してメールやアプリ内通知で知らせることもできます。このように、AIの力を借りることでシステム管理者が蓄積されたログを逐一分析することなく、組織に対する脅威を確認する手助けを行ってくれます。設定は簡単ですので、ログを分析できる要員がいない組織でも有効な機能です。脅威検知機能にて検知できる機能は以下の4種類です。クレデンシャルスタッフィングクレデンシャルスタッフィングは、盗取したログイン情報を使用する一種のサイバー攻撃です。「パスワードスプレー」「クレデンシャル漏洩」ともいいます。攻撃者は、脆弱なウェブサービスに対するサイバー攻撃や、過去に流出した情報などから大量のユーザ名とパスワードを取得します。そして、取得したログイン情報を使用して、Salesforce などの Web アプリケーションに大規模な自動ログイン要求を仕掛け、ログイン出来るアカウントがないかどうか調査します。もし万が一ユーザ名とパスワードを使いまわしているユーザがいた場合、ユーザアカウントに不正にアクセスされてしまいます。セッションハイジャックセッションハイジャックは、ログイン中のユーザのセッションを乗っ取り、そのユーザに成りすましてアクセスを行う攻撃です。通常ウェブページにおいてログイン処理が正常に行われると、ユーザのクライアントはセッショントークンを受け取り、次回以降ログイン後の状態でアクセスが出来ます。攻撃者はそのセッショントークンを窃取して、クライアントのセッションを乗っ取ろうとします。万が一セッションが乗っ取られた場合、攻撃者はトークンを窃取されたユーザに成りすましてウェブページへアクセス出来るため、ログイン後にしかアクセスできないような機密情報にアクセス出来てしまう可能性があります。​(注意) イベントモニタリングライセンスの有無にかかわらず、Salesforceのすべてのお客様はクレデンシャルスタッフィングおよびセッションハイジャックが発生した場合に、影響を受けたユーザに対してセッションの切断やID 検証、強制パスワード変更といった軽減措置が実施されます。ただし、これらの軽減措置はシステムによって自動で実行されるものであり、対象組織の管理者はその措置が発動されたかどうかを確認することは通常出来ません。イベントモニタリングの脅威検知機能により、これらの不正なアクティビティがイベントログとして記録されるため、お客様の組織に対して不正なアクセスがあったことを表面化させる(認知する)ことができ、システム管理者がその内容を確認することが出来るようになります。レポートの異常過去90日分のユーザのレポート生成とその周辺アクティビティの傾向を元に、ユーザーが普段とは異なる傾向でレポートを実行またはエクスポートしたかどうかを調査します。もしユーザのレポートアクティビティが普段とは異なる傾向であった場合、脅威検知イベントとしてその内容がログとして記録されます。システム管理者は生成されたログにより組織内の異常な行動について感知することができ、ログ内容を確認することで検知された行動が本当に悪意のあるものであったかどうかを確認していくことができます。API 異常レポートの異常と同じく、過去90日分のユーザのAPI生成とその周辺アクティビティの傾向を元に、ユーザーが普段とは異なる傾向でAPIを利用していないかどうかを調査します。脅威検知アプリケーションの設定方法脅威検知機能には、アプリケーションランチャーからアクセスができる専用のアプリケーションが用意されています。この脅威検知アプリケーションにアクセスし、組織内で発生した脅威検知イベントを確認するためには、以下の手順を実施して管理ユーザに表示できるようにしておく必要があります。イベントマネージャを使用して、4種類の脅威検知イベント (CredentialStuffingEvent, SessionHijackingEvent, ReportAnomalyEvent, ApiAnomalyEvent) のストリーミングとストレージを有効にします。詳細な手順はこちらの記事をご確認ください。Salesforce ライセンスに関連付けられた権限セットを作成します。権限セットについてはこちらの記事をご確認ください。権限セットの [システム権限] ページを編集し、[脅威検知イベントを表示] 権限を有効にします​​脅威検知アプリケーションを管理するユーザにこの権限セットを割り当てます。脅威検知アプリケーションを使用する各ユーザプロファイルの [タブの設定] を編集し、5 つのタブの表示を指定します。5 つのタブは、[セッションハイジャックイベントストア]、[クレデンシャルスタッフィングイベントストア]、[レポート異常イベントストア]、[API 異常イベントストア]、[脅威検知フィードバック] です。たとえば、システム管理者は通常 UI を使ってあらゆる機能にアクセスするため、システム管理者プロファイルでは 5 つのすべてのタブの表示を [デフォルトで表示] に設定します。脅威検知管理者プロファイルを作成した場合も、同じ表示を設定します。標準ユーザがフィードバックを表示できないようにする場合は、標準ユーザプロファイルの [脅威検知フィードバック] の表示を [タブを隠す] に設定します。​​[設定] で、[クイック検索] ボックスに「アプリケーションマネージャ」と入力し、Lightning Experience アプリケーションマネージャに移動します。脅威検知アプリケーションの右側にあるドロップダウンボックスで [編集] を選択し、このアプリケーションを編集します。​​もし [タブの選択] セクションに手順.5で設定した 5 つのタブが含まれていない場合は、適宜 [選択されたタブ] へ移動させます。​​[プロファイルへの割り当て] セクションで、脅威検知アプリケーションを表示可能にするプロファイルを選択し、設定を保存します。トランザクションセキュリティによる管理者への通知設定イベントモニタリングに含まれる「トランザクションセキュリティ」機能を利用し、脅威検知イベントを対象としたトランザクションセキュリティポリシーを作成することによって、新たに脅威検知イベントが生成された際に管理者に対してメールやアプリ内通知によってアラートをあげることができます。これにより、管理者は脅威検知アプリケーションの内容を確認し、新たな脅威が発生していないか定期的に確認する必要がなくなります。​以下の例では、セッションハイジャックイベントが生成された際に、管理者に対してメール通知およびアプリケーション内通知を行うポリシーを条件ビルダーを用いて作成します。[設定] で、[クイック検索] ボックスに「トランザクション」と入力し、トランザクションセキュリティポリシーに移動します。(初回のみ) トランザクションセキュリティ画面の [有効化] ボタンをクリックします。​​新しくトランザクションセキュリティポリシーを作成するため、[新規] ボタンをクリックします。GUI操作でポリシーを作成していく場合は [条件ビルダー] を、予めトランザクションセキュリティ用に作成したApexクラスを指定する場合は [Apex] を選択します。（今回は条件ビルダーでの作成方法で解説します）ポリシー作成画面より、以下の条件を設定し、[次へ] をクリックします。[行動]：セッションハイジャックイベントストア[条件ロジック]：すべての条件に一致 (AND)※今回、設定する条件は1つのみなのでロジックどれでもOKです[条件]： “スコア” ＞＝ “0”​​アクション設定画面にて、以下の条件を設定し、[完了] をクリックします。[アクション]：なし[通知]：メール内通知・アプリケーション内通知のチェックをON[受信者]： 脅威検知イベントの通知を受け取る管理者を指定[名前]：Session Hijacking Trigger Alert※作成したポリシーの内容が分かる名前を任意につけてください[状況]： 有効​​ポリシーが有効な状態で、脅威検知機能により新たにセッションハイジャックイベントが生成された際には、以下のようなメール通知・アプリケーション内通知が指定された管理者に対して送信されます。​​​各々のイベントが発生した場合、前述の通りクレデンシャルスタッフィングおよびセッションハイジャックについては既にシステムによって自動で対処は完了していますが、再度同様の攻撃を受け続けないためにも、該当ユーザに対して使いまわしているパスワードがないかどうかのヒアリングや、利用端末に対するウイルスチェックの実施などを行うことで、根治対処を行うことも重要となります。同様に、レポートの異常やAPI 異常についても該当ユーザへのオペレーション内容の確認やイベントモニタリングで生成されたログの確認を行うことで本当に脅威となるアクティビティであったかどうか確認を実施します。これらの調査については、以下のヘルプページが用意されておりますので合わせてご参照ください。セッションハイジャックの調査クレデンシャルスタッフィングの調査レポートの異常の調査API 要求の異常の調査機械学習アルゴリズムへのフィードバック脅威検出イベントが生成された後は、その検知内容が適切であったかどうか管理者によって機械学習アルゴリズムに対してフィードバックを送信することができます。不正なアクセスを正しく検知できていた（正検知）という場合と、通常の業務内容などによって発生した検知であり、不正なアクセスではなかった（誤検知）という場合の両方のケース対して送信が可能になっており、こまめにフィードバックを行うことで脅威検出機能の検知精度を高めることができます。詳細はこちらのヘルプをご確認ください。フィードバックを送信したい、誤検知となった脅威検出イベントへアクセスし、右上の [Provide Feedback] をクリックします。指定した脅威検出イベントの内容について Malicious(悪意あり)、Suspicious(疑わしい)、Not a Threat(脅威ではない)、Unknown(不明)の4つから選択し、保存ボタンを押してください。学習ツールHelp - 脅威検知Help - 脅威検知イベントの表示とフィードバックの提供Help - 拡張トランザクションセキュリティTrailhead - 拡張トランザクションセキュリティまとめ脅威検知機能により、Salesforce組織に発生した脅威を顕在化させることができ、組織の管理者はこれらに気付くことで追加の対応や対策を検討するきっかけを得ることが出来るようになります。ただし、本機能の活用に当たってはログの有効化やトランザクションセキュリティポリシーの活用など、いくつか事前に準備を行っておくことが重要となりますので、本記事をきっかけに対応を進めていただけると幸いです。

トランザクションセキュリティとは

この記事で学べること標準機能と比較して、拡張トランザクションセキュリティで何ができるのか学べます。​拡張トランザクションセキュリティとはリアルタイムイベントを活用して特定条件にマッチする操作をブロックする、管理者へ通知をする、あるいは高保証セッションではないユーザに多要素認証を要求することを可能にする機能です。条件が記載される設定をトランザクションセキュリティポリシー（以下、ポリシー）と呼びます。​誰に何をさせて良いかといった権限周りの設定は標準機能のプロファイルや権限セットで実施することが基本ですが、拡張トランザクションセキュリティを利用することでより細やかにユーザに禁止させたい操作、管理者へ通知をさせたい操作等について条件設定ができる様になります。​トランザクションセキュリティポリシーの実装に当たっては、ローコードで実装できる条件ビルダーとプロコードでのApex実装と2種類の方法が用意されています。どちらをご利用いただく場合でもトレイルヘッドの拡張トランザクションセキュリティを確認いただくことで作成方法を学ぶことができます。​​​ここからは拡張トランザクションセキュリティで設定できる各ポリシーについて、そもそもプロファイルでどの様な制御ができるのか、そしてどの様な場合に本機能の実装を検討するべきなのかを記載していきます。条件ビルダーで設定できる条件については各ポリシーのリンク先をご確認ください。Apexを利用する際にはApex を使用する拡張トランザクションセキュリティポリシーの作成をご参照ください。ApiEventポリシーユーザは外部のアプリケーションと連携する等の目的でAPIを利用することができます。標準機能ではプロファイルで［システム管理者権限］配下の［APIの有効化］をオフにすることですべてのAPIの使用をブロックすることができます。本ポリシーは［APIの有効化］権限を持つユーザに対して更に細やかに参照系APIの使用条件を定めて利用させたい場合、あるいは条件にマッチする利用があった時に通知を受けたい場合に実装を検討します。BulkApiResultEventStoreポリシーBulk APIの実行結果は［設定］画面で［一括データ読み込みジョブ］を開く事で確認することができます。標準機能ではプロファイルで［システム管理者権限］配下の［データインテグレーションの管理］、［APIの有効化］、［設定・定義を参照する］のいずれかをオフにすることで［一括データ読み込みジョブ］へのアクセスをブロックすることができます。本ポリシーは上記3つの権限を持つユーザに対してさらに細やかにBulk APIのダウンロード実行結果へのアクセス条件を定めたい場合、あるいは条件にマッチする利用があった時に通知を受けたい場合に実装を検討します。Bulk APIの実行を制御をするポリシーではない点にご注意ください。ListViewEventポリシーユーザはリストビューからデータを一覧で表示することができます。標準機能では参照権限を持つオブジェクトに対するリストビューの閲覧を制限する機能はありません。本ポリシーは特定の条件にマッチするリストビューを表示をさせたくない、あるいは条件にマッチする利用があった時に通知を受けたい場合に実装を検討します。LoginEventポリシーユーザはアプリケーションを利用するためにログインをする必要があります。標準機能ではユーザの無効化及び凍結の機能を用いてログインをブロックすることができます。またプロファイルで［ログインIPアドレスの制限］や［ログイン時間帯の制限］の制限をかけることもできます。更にはログインフロー用いてログインの制限をかけることも可能です。本ポリシーはログインフローで使用するフローに馴染みがなく、レポートやリストビューの条件設定のように簡単に設定管理できる条件ビルダーを使用したい場合や、逆に複雑なポリシーや処理をApexでコーディングしたい場合に実装を検討します。ReportEventポリシーユーザはレポート機能を利用してデータを表示、またはデータをエクスポートすることができます。標準機能ではプロファイルで［一般ユーザ権限］配下の［レポートの実行］をオフにすることでレポートの使用を制限することができます。また［レポートのエクスポート］をオフにすることでエクスポートのブロックも可能です。本ポリシーはレポートの機能自体をブロックするのではなく、特定の条件にマッチするレポートの使用やエクスポートをブロックしたい場合や通知を受けたい場合に実装を検討します。PermissionSetEventStoreポリシーユーザに権限を割り当てる機能に権限セットがあります。標準機能ではプロファイルで［システム管理者権限］配下の［権限セットの割り当て］をオフにすることで権限セットの割り当てをブロックすることができます。また［プロファイルと権限セットの管理］をオフにすることで権限セットの作成をブロックすることもできます。本ポリシーはヘルプサイトに記載のある特定の権限を制御（有効化や無効化またはユーザへの割り当てや割り当て解除）したい場合、特定の条件にマッチする権限セットの操作をブロックしたい場合、あるいは条件にマッチする利用があった時に通知を受けたい場合に実装を検討します。脅威検知に関するポリシー類標準機能で脅威検知に関するイベントの通知を受ける機能はありません。脅威検知のイベントが発生した通知を受けたい場合に本機能の実装を検討します。併せて脅威検知の利用開始の記事もご確認ください。ApiAnomalyEventStore ポリシーCredentialStuffingEventStore ポリシーReportAnomalyEventStore ポリシーSessionHijackingEventStore ポリシー学習ツールヘルプ：拡張トランザクションセキュリティヘルプ：Apex を使用する拡張トランザクションセキュリティポリシーの作成トレイルヘッド：拡張トランザクションセキュリティまとめトランザクションセキュリティでは、標準機能の権限コントロールでは実現できない細かい条件設定によってブロックだけではなく、通知を要求するなどのアクションをローコートの条件ビルダーや複雑な条件設定をプロコードのApexで実装できます。

イベントモニタリングとは

この記事で学べることイベントモニタリングの目的と全体像イベントモニタリングでできることログの取得 - リアルタイムイベントモニタリングとEventLogFileによるイベントモニタリングについてログの活用 - イベントモニタリング各活用機能の概要イベントモニタリングの目的と全体像イベントモニタリングとは、データの安全性を確保するためにSalesforceに搭載されている有償のセキュリティアドオンツールの1つです。Salesforceでは組織のユーザアクティビティを「イベント」と称しますが、このツールを使用すると、システム管理者は、いつ、誰が、どのレコードにアクセスしたかといった個別のイベントに関する情報を細部まで確認することができるようになります。また、イベントモニタリングに含まれる様々なログの活用機能により、イベントのトレンドを追跡し異常な行動をすばやく特定したり、あらかじめ定義した条件に抵触するアクセスをブロックしたりすることができ、組織のデータを保護することができます。ログ記録監視の重要性と必要性Salesforceで標準機能として提供されるログ機能ではユーザのログイン履歴は記録されるものの、ページアクセスやレポートの実行、データエクスポートなどのアクセスログは記録されません。万が一、情報漏えいなどセキュリティインシデントを疑う事象が起きた際に、ログを用いて十分な調査を行い、企業として説明責任を果たすためにはイベントモニタリングが必須です。また、厳格なログ管理や証跡管理は多くの業界ガイドラインでも提言されているため、イベントモニタリングを導入しアクセスログを監視、管理することでこれらの要求事項を実現し、企業のコンプライアンスを強化することができます。ログの記録イベントモニタリングで取得できるログには、次の二種類があります。リアルタイムイベントモニタリングイベントモニタリング（EventLogFile）リアルタイムイベントモニタリングはセキュリティインシデントの発生ログとレコードへのアクセスログの記録と分析を目的としています。アクセスログでは、監視対象は主にアクセスしたレコードを特定するためのレコードID、さらにレポートやビューでは、出力された項目が特定できます。ログはリアルタイムで保存され、ログのタイプにより6ヶ月から10年保存されます。また一部のログタイプはストリーミング配信可能です。リアルタイムイベントモニタリングは、ログのタイプごとに有効化の設定を行う必要があります。​一方、イベントモニタリングは、イベント発生 / エラー / パフォーマンス分析用のイベントログを保存することを目的としています。ログの保存はリアルタイムではなく、1時間ごと及び24時間ごとの2種類のログを30日間保存します。監視対象は主にイベントの発生を識別する情報で、URIや実行されたレポートや実行されたSQLなどで、イベントの発生頻度、パフォーマンスなどを分析するのに役立ちます。ライセンスをご購入いただくと自動的にログの記録を開始します。ログの記録開始、ログの取得方法（保存方法）は次の関連記事をご参照ください。ログの記録開始ログの取得方法アクセスログログの参照ガイドログの活用イベントモニタリングにはログの取得のほかに、ログを活用する機能として、次の3つの機能が含まれています。AIによる脅威検知 - Threat Detectionログの可視化・分析 - Event Monitoring Analyticsリアルタイム制御 - Transaction SecurityAIによる脅威検知機械学習アルゴリズムによって「パスワードリスト攻撃」「セッションハイジャック」「異常レポート出力」「API異常」に対応するリアルタイム監視イベントを生成し、組織への不正アクセスの兆候やユーザの行動の異常を検知する機能です。システム管理者は脅威検知用のイベント管理アプリケーションで検知された脅威を確認することができます。また、後でご紹介するトランザクションセキュリティを使用して、検知された驚異を管理者に通知することができます。また、検知された脅威イベントの詳細を確認し、「悪意あり」「脅威ではない」といった重大度に関するフィードバックをSalesforceに送信してAIに学習させることで、検知精度向上に役立てることができます。脅威検知の利用開始ログの可視化・分析イベントモニタリングのライセンスには、Event Monitoring Analyticsという名称で、ログおよび組織の情報の可視化、分析に特化した Tableau CRM（旧：Einstein Analytics）のライセンスが10ライセンス付属しています。Event Monitoring Analyticsに予め用意された16種類のダッシュボードで簡単にログの分析ができ、Salesforce組織の利用状況やセキュリティに関する脅威・傾向を素早く発見することができます。Event Monitoring Analyticsの利用開始Event Monitoring Analyticsの主要なダッシュボードリアルタイム制御分析によって得られた考察などをもとに、任意の標準オブジェクトまたはカスタムオブジェクトに対して標準機能で提供されているセキュリティ機能よりもさらに細かいアクセス条件（ポリシー）を設定し、ユーザのセキュリティコントロールができる機能です。ポリシーに抵触するアクセスを検知すると操作の実行を制御したり、管理者へ通知したりすることが可能です。この機能を活用することにより、システム管理者やセキュリティ担当者はアクセスログの確認や分析によりセキュリティインシデントの痕跡を事後に確認するだけでなく、疑わしい行為を検知し未然に防ぐことが可能になります。拡張トランザクションセキュリティの設定（準備中）動画を見るhttps://play.vidyard.com/3SjYC4K4K73yXfyTvB51sA学習ツールTrailhead - リアルタイムイベントモニタリングTrailhead - イベントモニタリング動画 - イベントモニタリング設定動画_基礎編（ログの有効化と取得）動画 - イベントモニタリング設定動画_応用編①（Event Monitoring Analytics）動画 - イベントモニタリング設定動画_応用編②（トランザクションセキュリティ）まとめイベントモニタリングを導入しログを収集・管理することにより、システム管理者はSalesforceの日々の利用状況を時系列で把握することができ、万が一、データ漏えいなどが起こった際には、速やかに原因や影響範囲の特定が可能になります。また、ログの記録だけでなく、専門家が不在でもAIによるログの分析により脅威を検知したり、ログを簡単に可視化・分析して利用状況やセキュリティに関する脅威を発見したり、さらには分析によって得られた考察からよりきめ細かいセキュリティコントロールを実装したりすることが可能になります。​イベントモニタリングの活用にご興味をお持ちのお客様はぜひ以下のウェビナーもご視聴ください。「今注目！リモートワークのセキュリティ対策 〜Salesforce Shieldでリスクを未然に防ぐ〜」（オンデマンド視聴）