京セラコミュニケーションシステムの「Salesforceセキュリティ診断サービス」は、クラウド型のCRM(顧客関係管理)アプリケーションであるSalesforce.comの設定内容を、セキュリティの観点に立って診断するサービスである。Salesforce.comから情報が漏えいするリスクを低減する。

 診断にあたり、セールスフォース・ドットコムが提供しているガイドライン「セキュリティガイド」(このうち「ユーザーの認証」の項目)と、「ゲストユーザーセキュリティポリシーのベストプラクティス」を利用する。これらの内容に基づいて設定上の不備を診断する。

 確認項目の例として「ユーザーの認証」では、ログイン時に多要素認証を使うようになっているかを確認したり、ログイン可能なIPアドレス範囲の制限を設定しているかを確認したりする。「ゲストユーザーのセキュリティポリシー」では、ゲストユーザーに対する組織の共有設定を確認したり、デフォルトの外部アクセス権の設定を確認したりする。

 Salesforce.comは機能が豊富であるため、設定項目が多い。2021年1月には、内閣サイバーセキュリティセンター(NISC)が「Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について」と呼ぶ注意喚起を出している。

Salesforceセキュリティ診断サービスの概要
用途と機能Salesforce.com」の設定内容を、セキュリティの観点に立って診断するサービス
狙い情報漏えいの防止
診断に使う資料セールスフォース・ドットコムが提供しているガイドライン『セキュリティガイド』(このうち「ユーザーの認証」の項目)と、『ゲストユーザーセキュリティポリシーのベストプラクティス』を利用する。これらの内容に基づいて設定上の不備を診断する
確認項目の例■ユーザーの認証
・UIへのログインの多要素認証の設定を確認
・ログイン可能なIPアドレス範囲の制限の設定を確認
・APIログインの多要素認証の設定を確認
・セッションタイムアウト時の強制ログアウト設定を確認
・設定ページのクリックジャック保護の有効化を確認
■ゲストユーザーのセキュリティポリシー
・組織の共有設定のデフォルト値を確認(非公開データを持つ全てのオブジェクト)
・ゲストユーザーに対する組織の共有設定を確認
・デフォルトの外部アクセス権の設定を確認
価格(税別)1回あたり80万円から
発表日2021年2月24日
提供開始日2021年2月24日