サクセスナビ

認証情報の管理におけるベストプラクティス(セッション情報の管理)

この記事で学べること認証情報の管理の重要性セッションを管理するための設定認証情報の管理の重要性最も基本的な対策はユーザ自身による管理の徹底です。ユーザが認証情報（パスワードやセッション情報など）を適切に管理していない場合、第三者による意図しないアクセスを招く可能性があります。業務を終える際には必ずSalesforceからログアウトすることを徹底するなど、ユーザ自身による日常的な対策もセキュリティの観点で重要です。セッション情報のセキュリティ認証情報に起因するセキュリティリスクを軽減するために、Salesforceには様々な機能が用意されています。このドキュメントでは、認証情報の一つである「セッション情報」のセキュリティを強化するための機能について取り上げます。​セッション設定セッション設定を見直すことで、セッション情報が流出した場合のリスクを軽減することができます。*1)接続アプリケーションのセッションポリシーの管理（ヘルプ）*2)接続アプリケーションの IP 制限の緩和および IP の継続的な適用（ヘルプ）各設定方法およびその他の関連する設定については、「セッションセキュリティ設定の変更」（ヘルプ）をご参照ください。尚、表に記載されている設定が適用される範囲は以下の通りです。​「すべての要求でログイン IP アドレスの制限を適用」は他のいくつかの設定と連動しながら動作します。当設定を有効化する場合は、以下の順序で検討してください。*1)拡張プロファイルユーザインターフェースでのログイン IP アドレスの制限（開発者ドキュメント）*2)セッションセキュリティ設定の変更（ヘルプ）*3)接続アプリケーションの IP 制限の緩和および IP の継続的な適用（ヘルプ）認証情報が流出した場合の対処万が一、セッション情報などの認証情報を第三者に流出させてしまった場合、影響範囲を限定的にするために早期対処が鍵となります。*1)ユーザのパスワードのリセット（ヘルプ）*2)Salesforce 多要素認証に関する FAQ（ナレッジ）*3)ユーザセッション（ヘルプ）*4)現在の OAuth 接続アプリケーションセッションの管理（ヘルプ）参考情報Salesforce セキュリティガイド（開発者ガイド）接続アプリケーションのセッションポリシーの管理（ヘルプ）セキュリティ状態チェック（ヘルプ）

MFAによるランサムウェア対策

IPA（独立行政法人情報処理推進機構）は、その年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、情報セキュリティ分野の有識者が審議・投票を行い決定したものを「情報セキュリティ 10大脅威」として公開しています。2021年度、「ランサムウェアによる被害」が昨年５位から１位にランクを上げて注目を浴びています。（出典：IPA(情報処理推進機構) 情報セキュリティ 10大脅威 2021 組織別順位・2021年8月23日）​ランサムウェアとは、マルウェアの一種です。特徴は、ランサムウェアに感染したコンピュータは、利用者のシステムへのアクセスを制限されてしまう。（暗号化、ロックなど）この制限を解除するための身代金を要求すること。身代金を払うことでその制限を解除するという犯罪に利用される。​日本国内でもランサムウェアによる被害が多数報告されています。2021年7月、ランサムウェアによる攻撃を受け、財務/販売管理の基幹システムやファイルサーバ、グループネットワークで運用していた販売管理システムや財務会計システムが暗号化された事例がありました。この事例で特徴的なのは、BCP（事業継続計画）として用意していたバックアップサーバも暗号化されて、業務復旧までに想定以上の時間を要し、四半期決算報告を延期せざるをえない結果となった点です。​同様に、10大脅威の3位にランキングしている「テレワーク等のニューノーマルな働き方を狙った攻撃」、8位の「インターネット上のサービスへの不正ログイン」に関しても、ランサムウェアによる攻撃につながる脅威として対応が求められます。​ランサムウェア対策の一つとして、MFA（多要素認証）を活用してユーザ認証を実施することにより、情報漏洩リスクを低減することが可能です。​コロナウイルス禍の影響で、ニューノーマルと言われる、クラウドシフトした業務システムの利用やリモートワークのような働き方改革が一般的になりました。ただ、企業のセキュリティ対策が、この変化に対応が取れていないのが現状です。従来のセキュリティ対策は、社員がオフィスへ出社し、イントラネットワークからアクセスすることを想定したものでした。ファイアウォールによって社内ネットワークをインターネットから切り離し、社外からのアクセスをチェックしていた境界防御です。ニューノーマルにおいては、境界をまたぐ形で社員からのアクセスや業務システムへの通信が発生し、外と内に分ける考え方では制御しきれない状況となりました。​ランサムウェアによる攻撃の例として、悪意の第三者が社内ネットワークにリモートからVPN接続するために必要なIDとパスワードを詐取した場合、従来型のセキュリティ対策ではプロアクティブに犯行を発見/防止することが困難です。社内ネットワークへ侵入した悪意の第三者は、正規ユーザとして社内の重要な資産にアクセスが可能で、その制御や発見するすべもありません。インターネットサービスの利用に関しては、企業内部からのアクセスを許可するIPアドレス制限をかけていたとしても、社内ネットワーク経由の接続は全て許可され、本人確認のチェックが効きません。詐取されたIDとパスワードを利用し、インターネットサービス上の業務システムから重要情報を取得し、社外へ持ち出されてしまいます。​ランサムウェア対策としてMFAを活用する背景には、ゼロトラストという「誰も信用しない」という考え方に基づき、ユーザを認証して社内外のアクセスをコントロールする必要性があるからです。全てのユーザはMFAという「関所」にアクセスし、認証された結果に応じて適切なアクセス権を付与されます。また、必要なタイミングでアクセス権を確認し、ユーザのコントロールと可視化をMFAは実現できます。​セールスフォース社の場合、全社員がVPN経由で社内ネットワークにアクセスする際、IDとパスワード以外にMFAによる認証が求められます。社内ネットワーク接続後も、重要な社内情報を閲覧する際にもMFAによる認証を求められ、アクセス権を有する社員かどうかをチェックする体制を取っております。​2022年2月1日から、セールスフォース社はサービスログイン時にMFAによる認証を必須とします。この背景には、上述のゼロトラストの思想より、ランサムウェアによる攻撃を防止することにあります。​インターネット上のサービスへの不正アクセスへの対策としてMFAが有効なのは、ゼロトラストの観点から、IDやパスワードでチェックするだけではなく、ユーザ個人が有するデバイスを活用して多面的に認証をかける点にあります。アクセス元のIPアドレスの制御に加えて、アクセスを試みたユーザが本人なのか、接続するたびにチェックをかけることによって、情報漏洩のリスクを軽減することが可能となります。​​

CRM Analytics ダッシュボードサンプル集

本ページでは、CRM Analyticsのダッシュボードの例をいくつかご紹介いたします。マーケティング分析、営業の成績比較、活動・商談・問い合わせ分析、地図分析、不動産・中古物件販売分析、顧客ターゲティング

要件定義の進め方

要件定義の整理方法誰が、どの状況で、何の示唆を得るためのダッシュボードかを定義するまずはじめに、これから作成しようとしているダッシュボードの目的を決めましょう。具体的には、以下の3点について考えます。

CRM Analytics ドリル

CRM Analyticsのダッシュボードを作成するには、機能を理解し、実践あるのみ！ダッシュボードの各種機能をマスターできるドリルをご用意しました。CRM Analyticsの機能を知って、ぜひダッシュボードを構築してみてください。

エキスパートから学ぶ

エキスパートコーチングとはエキスパートコーチング「ダッシュボード作成入門」についてエキスパートコーチングの申込方法エキスパートコーチングとはエキスパートコーチング・セッションは、お客様がSalesforceの製品からより多くの価値を得られるようにデザインされた専門的なコーチング・プログラムです。

【手順に沿って構築】The Model ダッシュボード

本記事で構築手順を公開している「The Model ダッシュボード」とは、各KPI（リード数、商談数、受注数）をリアルタイムに確認し、様々な軸で分析することで、PDCAサイクルを高速に回すことができるダッシュボードです。

CRM Analytics ホームの操作方法

CRM Analytics のホーム画面の操作方法ホーム画面の構成ここではCRM Analyticsの基本設定終了後に表示される「Analytics Studio」をクリックするとまず最初に表示されるホーム画面についてご紹介致します。

設定クイックスタート

CRM Analyticsのデータ環境とアーキテクチャCRM Analyticsでのダッシュボード構築の流れはじめに主要用語ヘルプ「Analytics の用語集」アプリケーション データセット、レンズ、ダッシュボードのグルー プを含む動的な「フォルダ」のことで、同僚との共有が可能(アプリケーションごとに共有範囲の 設定が可能)

CRM Analytics プラットフォームの基本設定

CRM Analytics の利用開始において必要な設定方法はじめにCRM Analytics にアクセスするためには権限セットが必要で、権限セットを付与するためには権限セットライセンスが必要です。権限セットは2種類用意されております。

Welcome To CRM Analytics

この章では、CRM Analyticsの活用を開始するにあたり、最初に知っておいていただきたい内容を記載しています。CRM Analyticsとは？CRM Analyticsとは、AIを搭載したSalesforceの分析プラットフォームです。 Salesforceと直接連携し、現状や過去の経緯をもとにした分析だけでなく、将来の結果を予測し、ビジネスにおいて次の行動を考える手助けをします。

株式会社アイダ設計事例：住宅販売の営業マンがSalesforce導入リーダーになったら。定着化までの奮闘記

住宅販売の営業マンがSalesforce導入リーダーになったら。定着化までの奮闘記失注商談をインサイドセールスが引き受け、復活商談として掘り起こして店舗へとつなぐ失注リサイクルについてSalesforceの標準機能を用いて構築した事例についてお話しいただきます。また、Account Engagement (旧 Pardot)のEngagement Studioを活用した ”シナリオに沿ったメール送信の自動化とお客様ごとに表示するコンテンツを動的に切り替えるダイナミックコンテンツ” による近隣店舗へのお客様誘導を実現したエピソードもお届けします。https://play.vidyard.com/7qZjv9Xa6EaMydS7X8RNBdSFUG TrailblazerウェブセミナーとはNTTテクノクロス株式会社 鈴木様が司会を務めるウェブセミナーです。​毎回、テーマに応じたTrailblazerの方をゲストスピーカーとしてお迎えし、Salesforceの活用経験談や、困難を乗り越えた秘訣などをお話いただきます。