クラウドシステムで情報共有がより簡単に!でもセキュリティは大丈夫?

スマートフォンが広く普及し始め、それに伴い多くの人がインターネットに触れるようになり、インターネットの使い方も多様化してきています。

その内の一つが「クラウドシステム」です。
クラウドシステムとは、ソフトをインストールせずに、インターネット上にあるシステムを使用し、直接データを作成、アップロード、また、ダウンロードできることが大きな特徴です。
社内SNSや基幹システム、営業支援システム、勤怠管理システムなど、他にもさまざまなシステムやアプリケーションがクラウドとして利用されています。
今までパソコンに一つ一つインストールしてきたシステムと同レベル、またそれ以上のシステムをインターネットにアクセスするだけで使用できるのです。
また、既存のパッケージのシステムですと、アップグレード版が発売されると、新たなパッケージを購入してインストールしなければなりません。
しかし、クラウドシステムの場合ですとシステムはインターネット上に存在するので、基本的にアップグレードなどは自動的に行われ、常に最新の状態のシステムを利用できるケースが多いです。
また、近年大きな問題として挙げられている災害対策の一つとして、万が一災害が起こった時のために、クラウドシステムはシステムやデータの保存先として非常に有用です。

これらの利便性の高さから多くの企業でクラウドシステムが導入されるようになりました。
しかしながら、利便性の高さという大きな魅力があるのと同時に、今までとは別の面でのセキュリティ対策を考えなければならなくなりました。
個人PCやNASで情報を管理していた際は、ウィルス感染対策や、データにアクセスするユーザーだけにID・パスワードを付与する方法で補えていたと思います。
しかしながら、クラウドでデータを扱う場合は、使用する側がいくらセキュリティに気を付けていても、不正アクセスやサイバーテロで、クラウドシステム自体が攻撃されてしまうと、データ改ざん、破壊、情報流出などに繋がる可能性があります。
現在様々なクラウドシステムがリリースされていますが、利便性の高さや価格だけ選ぶのではなく、どれだけセキュリティに力を入れているかのチェックも重要です。
そこで、今回は現在世界で最も使われている、顧客管理システムのクラウドサービス、「Salesforce」のセキュリティについてご紹介します。

システムの土台から見る、セキュリティのポイント

信頼性の高さ

Salesforceは、他のクラウドシステムと同様、インターネットを介して作成されたデータをサーバーへ保管しているのですが、世界各国にサーバーやバックアップセンターを設置しているため、稼働率99%以上と非常に安定した状態のシステムを使うことができます。
また、システムを安全使用できるようシステムの基礎部分に対しても、外部侵入者を防ぐためのファイアウォールや暗号化通信(SSL/TLS)などの強力なセキュリティを実装しています。

パスワードの更新

パスワード流出などの人為的要因の情報漏えいが問題とされている中で、どのようなアプリケーションやシステムにおいても、定期的にパスワードを変更していくことがセキュリティ対策の一つとして常に重要です。
しかしながら、パスワードを変更しなければ!と頭のどこかで思っていても、日々忙しく業務をされていると、ついつい忘れてしまうことってありますよね。
そして、そのまま何年も同じパスワードを使用し続けると、どんどんセキュリティのリスクが上がってしまいます。
Salesforceでは、管理者によって設定された日数内にパスワード変更が行われなかった場合、強制的にパスワード変更画面へと移動し、変更完了後、通常画面へログインできるようになるセキュリティ対策が設けられています。
また、パスワードの文字数や、英数字、大文字小文字、記号を含む・含まないなど、登録するパスワードの文字の細かな設定も可能です。
一般的にセキュリティ対策として理想的なパスワードは8~14字で、英数字、大文字または小文字、記号を混ぜたものが良いとされていますが、入力する手間を増やしたくないから覚えやすくて簡単なパスワードにしよう・・・と思われる方がいらっしゃるかもしれません。しかしSalesforceでは、このような「パスワードを設定するための設定」を使用することで、組織内全員に対して、強固なパスワードを登録するように促すことができるのです。

連続ログイン失敗によるロックアウト

不正なログインを防ぐため、アカウントやパスワードの入力ミスなどでログインできない状況が管理者によって設定された回数を越えると、
管理者が指定した時間の間、ユーザーはSalesforceへログインができなくなります。
時間が過ぎるのを待つか、管理者に連絡をしてロック解除してもらうしか解除の方法はありません。

システム内機能から見る、セキュリティのポイント

これまではシステムの土台となる部分のセキュリティについて説明しましたが、次は実際のシステム内で注目したいセキュリティ「機能」についてご紹介します。

インターネットとパソコンまたはスマホさえあれば、ログイン情報を入力して、どこにいても情報を取得できるのがクラウドシステムの大きな魅力ですが、もしもIDやパスワードなどのログイン情報が漏えいしてしまったら…?
Salesforceでは以下の設定で不正なログインへの対策が可能です。

IPアドレスによるアクセス許可

IPアドレスを指定したアクセス許可ができるかどうかもセキュリティを考える上で非常に重要です。
Salesforceでは、社外でのクラウドシステムへのアクセスを禁止したい場合は、社内IP以外での使用を禁止することで、
社外では使用できなくなります。
また、一部の許可されたIPのみ閲覧できる設定であったり、ログイン可能時間の指定もでき(○時~○時までログイン可、それ以外の時間帯はログイン不可など)様々な条件を組み合わせて、限定されたユーザーのみがログインできるシステムとして設定することができます。

2要素認証(二段階認証)

信頼できるIPとして登録されていないIPからログインがあった場合、Salesforceはそれを察知し、IDの検証を求めます。
検証方法は、
・アカウントと連動させている、Salesforceの2要素認証用アプリケーション「Salesforce Authenticator」で認証してログイン
・アカウントと連動させている、U2Fセキュリティキー(物理デバイス)を使用したログイン
・証済み携帯電話にSMSで送信される確認コード(ワンタイムパスワード)を指定時間内に入力してログイン
・メールアドレスにメールで送信される確認コード(ワンタイムパスワード)を指定時間内に入力してログイン
上記などの方法により、ログインすることができるようになります。
また、ID検証が成功し、「次回からは確認しない」にチェックを入れておくと、次回から検証の必要がなくなります。

退職するユーザーを無効化できる

社外でもパソコンやスマートフォンでSalesforceを使用できる権限を持ったユーザーが退職する場合、
そのユーザーがログインできないよう、ユーザーの設定を無効化することができます。
無効化=ユーザーの全ての除法を削除、というわけではなく、あくまでSalesforceにログインできる権限がなくなるだけです。
ですので、ユーザーを無効化しても、そのユーザーが所有していたデータは消えたり、無効化されたりすることはありません。
また、ログイン権限がなくなっただけで、ユーザーの情報自体はSalesforceからは削除されませんので、例えば長期に渡り休職をしているユーザーのアカウントを無効化し、復帰後に再度有効化することも可能です。
情報漏えいを防ぐためには、退職するユーザーをすぐに無効化し、Salesforceから切り離すことが重要です。

様々なアクセス権限の設定が可能!

役職や階級によって情報の公開範囲が指定できるのも、セキュリティ面では非常に重要です。
Salesforceでは、登録情報へのアクセス権限は上司、部下などの階級や、チーム、職種別など、様々な設定で、データの作成・編集・参照が可能です。
例えば、以下の例をご確認ください。

企業の採用では、採用責任者だけでなく、職種ごとの担当や、面接担当など、様々な担当者が関わる案件ですよね。
ですので、応募者の情報漏えいを防ぐために社会保障番号などの重要な個人情報は、一部の担当者のみに開示することが重要です。
上の図のように、担当ごとにアクセスできるページや項目を細かく設定することが可能です。
閲覧されたくない項目があるページごとアクセスさせないのではなく、ページ内の特定の項目のみ非表示という設定もできるので、効率のいい情報共有が可能です。

また、このような階級の階層での権限設定以外にも、個々のユーザーに対して細かな設定をすることも可能です。

階級設定だけでは補えないような細かな設定も、個々で設定できるため、例えば従業員の個人情報、秘匿情報など、機密性の高い情報のみアクセスできるユーザーを限定して選ぶことで、よりセキュリティレベルを上げることが可能です。
さらに、顧客のクレジットカード番号や口座番号、社員の給与情報など、表示できるユーザーを限定したいなど、細かなセキュリティ機能を臨機応変に使うことができるかどうかも、利便性とセキュリティ面を考える上で重要です。

まとめ

基幹システム、営業支援システム、会計システム、etc.
様々なクラウドシステムがリリースされている中、機能面だけでなく、セキュリティ面に対してどれだけ力が入れられているかも、システムを末永く安心して使えるかどうかの判断基準になります。
今までのブログでSalesforceの機能面について色々とご紹介していますが、そのような高機能に加えて、世界最高水準のセキュリティや、システム内の細かなセキュリティ機能で重要なデータをしっかりと守っていきましょう!

Salesforceのご相談は是非ユーシステムへ!

ITに関するご相談や
お問い合わせはこちら

お電話でのお問い合わせ

受付時間8:40~17:40(平日)

メールでのお問い合わせ