Salesforceは高いセキュリティを誇るものの、設定や運用を誤ると情報漏えいのリスクが生じます。多要素認証や権限設計などの基本的な設定にくわえて、企業側で継続的に管理をしなければいけません。
本記事では、Salesforceのセキュリティ対策について解説します。安全な運用のために企業側が取るべき対策についてもまとめました。
目次
Salesforceは堅牢なクラウド基盤をもつサービスですが、利用する企業側の設定や運用の不備などにより、実際にセキュリティに関する事故が発生しています。安全に利用するために、自社が同じようなリスクを抱えていないか確認してみましょう。
Salesforceは多機能なうえに設定も複雑なため、利用する企業が操作に慣れていないとセキュリティリスクが高まってしまいます。具体的には、アクセス権限や共有設定などの設定ミスです。
これらのミスが原因で外部に顧客情報が流出する事故が実際に起きています。内閣官房内閣サイバーセキュリティセンターは2021年1月29日に、設定不備により外部から情報が参照される可能性についての注意喚起をおこなっています。
Salesforceのアカウントを狙ったフィッシングメールやボイスフィシング(ビッシング)の事例が増えています。ボイスフィッシングはIT担当者になりすまして、従業員に電話をかけてSalesforceの操作を命じるものです。
これは従業員が信頼できる人物や公式サポートを装った攻撃であり、基本的な脆弱性によって引き起こされたものではありません。
サイバー攻撃は年々巧妙化しているため、企業が主体となってセキュリティ対策をおこなう必要があります。
攻撃者はシステム設定だけではなく、運用の隙も狙うことから、技術的な対策だけではなく、組織全体での対策が必要です。とくに従業員の教育をはじめ、アクセス制限の徹底管理などは企業が主体となり取り組む必要があります。
Salesforceは信頼を最大の価値としており、クラウド自体に強固なセキュリティを備えています。具体的なセキュリティ機能を把握することによって、補うべき企業側の責任範囲も明確にしておきましょう。
Salesforceではアプリケーションとインフラストラクチャの多層型のセキュリティモデルを構築しています。そのうちアプリケーションレベルでのセキュリティとして、MFA(他要素認証)などが導入されています。
認証アプリを設定することで、不正アクセスやパスワードの漏えいによる侵入リスクを軽減することが可能です。アプリでのログイン状況は履歴ツールを用いて監視できます。
Salesforceはセキュリティ対策として、通信経路の暗号化(TLS)とデータ保存時の暗号化(AES)を標準で実装しています。
SalesforceではTLS1.3を採用し、古いRSAを廃止。安全性の高いECDHEとAES、ChaCha20に統一しています。こうした強固なセキュリティ対策により、外部からの盗聴や改ざんを防いでいるのです。
Salesforceではポータルサイト『Salesforce Trust』を提供しています。システム稼働率や脆弱性情報、保守状況などをリアルタイムでチェックすることが可能です。
自社サーバの運用なら管理者による監視が可能ですが、Salesforceはクラウドサービスのため、このようなポータルサイトを公開し、透明性を確保しています。また、こうした情報の開示は責任範囲を明確にできるため、企業は自社のセキュリティ対策の検討にも役立てることができます。
▼Salesforceのさまざまな機能については、以下の記事でも詳しく解説しています。ぜひあわせてご覧ください。
https://crm.dentsusoken.com/blog/sfa_sfdc_vol28/
Salesforceがいくら堅牢であるとはいっても、設定と運用を誤ればリスクが残ります。導入前に取り組むことが推奨されるセキュリティ対策について解説します。
プロファイルやロール設定を整理して、利用者ごとに最小限の権限を付与しましょう。万が一ハッカーがアクセスしてきても被害を最小限に抑えることが可能です。まずは従業員の職務や業務内容を洗い出してください。これによりアクセスを制限できるため、セキュリティ面が向上します。
たとえば、営業職には見積もり作成などで必要となる取引先の連絡先の読み取り・編集の権限を付与、管理職には読み取り・編集にくわえて削除や変更もできる権限を付与するのです。アクセス範囲を決めておくことで、誤操作や内部漏えいのリスクを抑えることもできます。
システムへログインできるIPアドレスの範囲も決めます。特定のIPアドレスからのアクセスのみを通過させるよう設定しておくことで、従業員以外・権限外からの不正ログインを防止するのです。
リモートワークではVPNの利用を徹底することで、不正IPからのアクセスを検知しやすくなります。サイバー攻撃を防ぐとともに、監視・運用において効果的です。
アクセス制限やログイン範囲の制限も大切ですが、そもそも脆弱なネットワーク設定や共用Wi-Fiからのアクセスを避けることが大切です。
Salesforceではゼロトラストセキュリティモデルの実装を推し進め、利用者にも推奨しています。ゼロトラストとは「何も信用しない」ことを前提としたネットワークセキュリティの考え方です。自社でもゼロトラストに取り組み、セキュリティの高い通信環境を構築しましょう。
Salesforceでは有料オプションで『Salesforce Shield2.0』を提供しており、3つのセキュリティツールで機密データを暗号化して保護します。
ほかにも無料の『Security Health Chesk』では、設定ミスや脆弱箇所の早期発見が可能です。システム管理者向けのツールのため、日々の運用のなかでチェックできます。これらのツールを活用することで、Salesforceを安全に運用することが可能です。
Salesforceの利用にあたって、セキュリティの責任範囲はSalesforceと企業とで範囲が明確に分かれています。利用する企業はその責任範囲を把握して、セキュリティ対策を進めなければいけません。責任範囲の概要は以下のとおりです。
Salesforceの責任範囲
お客様の責任範囲
・アプリケーションの定義
・アプリケーションの開発、パッケージ
・マネージドサービス
・プロビジョニング
・インフラ
・監査
・ネットワークセキュリティ
・ストレージ暗号化
・ユーザーアクセスポリシー
・データの分離と説明責任
※ 出典:Salesforce「Salesforceにおける責任共有モデル」
https://www.salesforce.com/jp/company/shared-responsibility-model/
このように、Salesforceはクラウド基盤を守り、企業側はデータ管理・権限設計などを実施することで高いセキュリティを構築することが可能です。
Salesforceを安全に使うには、ユーザーの人為的ミスを防ぐ必要があります。そのためには扱う従業員への教育が大切です。権限の意味やデータの取り扱い方法、フィッシング対策を定期的に共有し、組織全体で意識を高めましょう。
Salesforceでは学習プラットフォームとして『Trailhead』を無料で提供しています。すき間時間に学びやすいオンライン形式のため、従業員教育に最適です。
Salesforceにはセキュリティ脆弱性を報告する場合の提出ルールが定められています。提出前は形式的なチェックではなく、高度な技術的な知識と環境設計が必要です。具体的にどのような点が困難であるのかを解説します。
Salesforceでは、企業のセキュリティ担当者が利用するうえで発見した脆弱性の報告を推奨しています。報告する範囲はSalesforceの責任範囲のみで、カスタム開発した範囲は企業側での対応が必要です。
発見した脆弱性は『Vulnerability Reporting Policy(脆弱性報告ポリシー)』にもとづき、セキュリティチームが再現できる形で報告しなければなりません。
セキュリティ脆弱性を報告するときは、報告前に当該事象が「偽陽性(ぎようせい)」でないことを確認することが求められています。これは、企業がセキュリティ対策で導入したツールによる自動スキャンでは、誤検知の可能性があるためです。
偽陽性とは実際には問題がないにもかかわらず、機械的に、あるいは人による誤った確認によって問題があると判定されてしまうことです。脆弱性の検証には、Webアプリの構造やAPI、HTTP通信などの専門知識が求められます。偽陽性で無いことを確認するには、誤検知ではないことを明確に判断できる知識と実務経験をもつ人材が必要です。
脆弱性の発見は、単純なスキャンでは不十分であり、攻撃シナリオの構築や受ける影響についての分析、かつ安全な環境で実行するといった整備が求められます。専門知識をもつ人材がいない場合、企業単独でこれらの検証をおこなうのは難しいでしょう。
企業のリソースで対応できないときは、専門知識をもつベンダーに協力を依頼するのがおすすめです。Salesforceを導入するにあたって業務環境の整備や担当者のセキュリティ教育まで伴走支援を受けることができます。
Salesforceは堅牢なセキュリティ機能を提供していますが、利用する企業がその潜在的なリスクを排除するには、適切な設定と継続的な運用、および管理が必要です。最小権限の付与やセキュリティポリシーの策定、運用ルールの整備などがあげられます。より安全に利用するために、セキュリティツールを活用しましょう。
サイバー攻撃は年々巧妙化しており、企業が新しい脅威に向けて対策を講じるのは大きな負担となることも少なくありません。安全な利用のために、伴走支援してくれるパートナーに依頼するのも効果的です。
当サイトでは、顧客接点DXソリューションに関するダウンロード資料を多数ご用意しております。ぜひダウンロードいただき、資料をご活用ください。
※本記事の内容に関しましては2026年02月17日の情報を基に作成しています。 詳しい内容につきましては各製品・サービス・ソリューションサイトにお問合せください。
2026年03月23日
コンタクトセンター・コールセンターのAI活用|導入事例やメリットを解説(Vol-143)
2026年03月16日
Microsoft Copilotの活用事例紹介|企業の生成AI導入の成功ポイント(Vol-142)
2026年03月09日
フィールドサービス管理システム(FSM)の機能やメリットとは?導入時のポイントも解説(Vol-141)
2026年03月02日
次世代コンタクトセンターへと変革!AIコンタクトセンターの導入プロセスと業務改善の可能性を解説(Vol-140)
2026年02月16日
AgentforceにおけるSalesforce Data360(Data Cloud)の役割や活用ステップを解説(Vol-138)
2026年02月09日
金融機関での活用が広まるSalesforce|「Agentforce Financial Services(旧称Financial Services Cloud)」やAIエージェント「Agentforce 360」も含めて解説 (Vol-137)
全社的なDX推進や顧客接点の最適化、エンゲージメントの強化などお困りごとやお悩みがございましたら、お気軽にお問い合わせください。
