詳細情報:
監査履歴コントロールの設定
Salesforce の [設定] で管理および設定変更を追跡し、誰がいつ何を変更したかに関する監査可能な履歴を提供して、セキュリティ監視とフォレンジック調査をサポートします。
コントロール名
Setup Audit Trail
制御の概要
Salesforce の [設定] で管理および設定変更を追跡し、誰がいつ何を変更したかに関する監査可能な履歴を提供して、セキュリティ監視とフォレンジック調査をサポートします。
説明
[設定変更履歴] では、プロファイルと権限の変更、新しいアプリケーションまたはインテグレーションの設定、セキュリティ設定の更新、メタデータの変更など、主要な管理者活動が記録されます。Salesforce ではネイティブで保持される履歴が限られているため、長期的な監査とコンプライアンスの要件を満たすには、これらのログを定期的に外部にエクスポートして保存する必要があります。
推奨設定
監査履歴は 6 か月ごとにエクスポートします (6 か月後は Salesforce に保持されません)。[設定]> [設定変更履歴を表示]> [ダウンロード]。
セキュリティへの影響
設定監査履歴ログを定期的にエクスポートして保持することで、過去の管理者アクションを可視化し、不正な変更やリスクの高い変更を検出して、セキュリティインシデント後の根本原因分析をサポートできます。
ビジネスへの影響
監査履歴の長期保存により、内部監査、規制審査、変更管理レビューがサポートされ、コンプライアンス評価のリスクが軽減され、Salesforce 設定のガバナンスが向上します。
設定されていない場合のセキュリティリスク
管理監査履歴ログの保持が不十分。
脅威のシナリオ
不正な設定変更や管理者の不正使用が検出されないようにする失敗のリスクが高まる。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
影響は、管理者の数と組織設定の複雑さに応じて大きくなります。監査と保存の要件が厳しい業界 (金融サービス、医療、公共セクターなど) では、ログが保存されていない場合、規制と運用のリスクが高まります。
より高いリスク
多くのユーザーが権限を昇格させられている、設定変更が頻繁に行われている、複数のインテグレーションがセキュリティ設定に依存している、または数年間の設定履歴を規制当局や顧客に提示する必要がある。
低リスク
少数の厳格に管理された管理者が比較的シンプルな組織を管理し、設定変更が頻繁に行われず、個別の変更管理システムで適切に文書化され、規制監査要件が最小限に抑えられています。
ビジネスと統合に関する考慮事項
エクスポートしたログは、エンタープライズログ管理、SIEM、またはアーカイブシステムに保存する必要があります。可能な場合は、他のセキュリティログやアプリケーションログと相関させる必要があります。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
強くお勧めします。
影響を受けるユーザー
Salesforce システム管理者、セキュリティおよびコンプライアンスチーム、内部および外部監査人、設定履歴を使用する変更管理またはガバナンス委員会。
