脅威検知
脅威検知では、統計および機械学習の手法を駆使して、Salesforce 組織に対する脅威を検知します。Salesforce ではすべての Salesforce 顧客についてこれらの脅威を識別しますが、必要に応じて、イベント監視で脅威検知のあるイベントに情報を表示し、さらに調査することができます。脅威検知イベントは、標準オブジェクトストレージ制限に含まれません。
必要なエディション
| Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方で使用できます。 |
使用可能なエディション: Enterprise Edition、Performance Edition、および Unlimited Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
脅威検知では次が識別されます。
- ユーザーセッションが乗っ取られたかどうか。
- 大規模な自動ログイン要求で盗取されたユーザーログイン情報を使用して Salesforce にアクセスする場合
- ユーザーによるレポートの表示またはエクスポートの異常。
- ユーザーが API コールを行う方法の異常。
- ゲストユーザー活動の異常
- ログイン試行の異常
検知された脅威イベントへの応答
脅威検知を使用して、データの安全を確保する適切な応答を計画および実装します。異常な活動を検出すると、結果の脅威検知イベントはトランザクションセキュリティポリシーおよびフローと互換性があります。
| 応答方法 | 説明 |
|---|---|
| トランザクションセキュリティポリシーを使用した脅威の監視 | Salesforce が脅威を検知したときにメールまたはアプリケーション内通知を生成する脅威検知イベントにトランザクションセキュリティポリシーを作成します。検出された脅威を調査したら、ユーザーの行動を制御するポリシーを作成することを検討します。 たとえば、リードに関するレポートのレコードを普段より多くエクスポートしたユーザーに関する複数の ReportAnomalyEvents を受信したとします。ReportAnomalyEventStore にトランザクションセキュリティポリシーを作成しているため、この異常が発生するたびに通知を受信します。リードオブジェクトの保護を強化するために、ユーザーが 11 行以上エクスポートできないようにする ReportEvent ポリシーをレポートに作成することが考えられます。 |
| プラットフォームイベントトリガーフローによる応答の自動化 | ApiAnomalyEvent、CredentialStuffingEvent、ReportAnomalyEvent、SessionHijackingEvent で検知された異常に応答するフローを作成できます。たとえば、フォローアップ調査のケースを生成するフローを作成したり、セキュリティスペシャリストにメールを送信したり、さらなる調査が行われるまで影響を受けるユーザーを無効化したりします。 |
| セキュリティセンターで検知された脅威の集計 | セキュリティセンターの脅威検知アプリケーションを使用して、Salesforce ロールアウト全体で検知された脅威に関する情報を 1 か所で集計することで、時間を節約できます。詳細は、「脅威検知イベントの確認」 を参照してください。 |
- セッションハイジャック
セッションハイジャックは顧客を標的とした攻撃で、攻撃者がクライアントの Web アプリケーションへのアクセス権を使用して情報を盗取しようとします。私たちにとってこの Web アプリケーションは Salesforce です。クライアントは Salesforce で正常に認証されると、セッショントークンを受け取ります。攻撃者はそのセッショントークンを窃取して、クライアントのセッションを乗っ取ろうとします。 - クレデンシャルスタッフィング
クレデンシャルスタッフィングは、盗取したログイン情報を使用する一種のサイバー攻撃です。「パスワードスプレー」「クレデンシャル漏洩」ともいいます。攻撃者は、データ侵害や他の種類のサイバー攻撃によって大量のユーザー名とパスワードを取得します。そして、取得したログイン情報を使用して、Salesforce などの Web アプリケーションに大規模な自動ログイン要求を仕掛け、ユーザーアカウントに不正にアクセスします。 - レポートの異常
異常とは、そのユーザーの過去の活動とは明らかに異なるユーザー活動のことです。Salesforce では、レポート生成とその周辺活動に関する Salesforce コアアプリケーションログのメタデータを使用して、履歴活動のベースラインモデルを構築します。そして、新しいレポート生成活動をこのベースラインと比較して、新しい活動が異常といえるほど異なっているかどうかを判断します。ユーザーが操作する実際のデータを Salesforce が調べることはありません。Salesforce はユーザーがデータをどのように操作しているのかを確認します。 - API 異常
異常とは、そのユーザーの過去の活動とは明らかに異なるユーザー活動のことです。Salesforce では、API 生成とその周辺活動に関する Salesforce コアアプリケーションログのメタデータを使用して、過去の活動のベースラインモデルを構築します。そして、新しい API 生成活動をこのベースラインと比較して、新しい活動が異常といえるほど異なっているかどうかを判断します。ユーザーが操作する実際のデータを Salesforce が調べることはありません。Salesforce はユーザーがデータをどのように操作しているのかを確認します。 - ゲストユーザー異常
異常とは、他のユーザーとは明らかなに異なるユーザー活動のことです。Salesforce コアアプリケーションログのメタデータを使用して、ゲストユーザーのデータアクセス活動を表すプロファイルを作成します。この脅威検知イベントでは、ゲストユーザーが組織データにアクセスしようとする不審な試みを特定します。 - 脅威検知イベントの表示とフィードバックの提供
脅威検知アプリケーションを起動すると、Salesforce 組織で発生し、検知されたすべての脅威が表示されます。脅威には、ユーザーによるレポート実行の異常、セッションハイジャックの試行、クレデンシャルスタッフィングなどが含まれます。同じアプリケーションを使用して、特定の脅威の重要度に関するフィードバックを簡単に提供できます。 - ログイン異常
異常ログインとは、正当なユーザーのアカウントへの不正アクセスを試みる潜在的な攻撃者が検出されたことを意味します。この脅威検知イベントにより、異常な時間帯、不明なデバイス (エンドポイント)、予期しない場所など、ユーザーの一般的なログイン動作から大幅に逸脱したログイン試行が特定されます。ログインに成功すると、多くの場合、データの持ち出しやマルウェアやフィッシングキャンペーンのリリースなど、より広範な悪意のある活動の最初のステップになるため、これらの異常を早期に発見することが非常に重要です。
関連項目:
- Platform Events Developer Guide (プラットフォームイベント開発者ガイド): Real-Time Event Monitoring Objects (リアルタイムイベント監視オブジェクト)
- プラットフォームイベント開発者ガイド: フローを使用したプラットフォームイベントメッセージの登録
- トランザクションセキュリティ
- How Salesforce Helps Protect You From Insider Threats (Salesforce でインサイダーの脅威から守る方法)
- How Salesforce Helps Protect You From Credential Stuffers (Salesforce でクレデンシャルスタッフィング攻撃から守る方法)
