Salesforce がフォレンジック・ガイドを発行:サイバー攻撃に対するレジリエンスを確立

Salesforce Publishes Forensic Guide After Series of Cyberattacks

2025/09/01 gbhackers — Salesforce が公開したのは、ユーザー組織の Salesforce 環境内で、セキュリティ・インシデントを検出/分析/修復するための、包括的なフォレンジック調査ガイドである。この新しいガイドが対応するのは、アクティビティ・ログ/ユーザー権限/バックアップ・データという、3つの重要な領域におけるベスト・プラクティスを抽出したものである。具体的に言うと、対象となる時間帯での特定ユーザーの行動や、影響を受けたデータといった、重要な質問に答えるための構造化されたフレームワークを提供している。

Salesforce が強調するのは、すべてのインシデントは固有のものであるという点だ。そして、顧客に対して推奨するのは、それぞれの状況に合わせて調査をカスタマイズすることだ。

ただし、このガイドは、一般的なアドバイスを提供して、効果的な調査の開始点を示唆するという役割も担う。まず、アクティビティ・ログにより、どのアクションを、誰が、何時、何処で、どのように実行したのかを記録する。

Login History や Setup Audit Trail などのデフォルト・ログにより、異常なログイン・パターンや管理上の変更が明らかにされる。

Salesforce Shield を導入している組織であれば、Event Monitoring により可視性を向上させることで、API 呼び出し/レポートのエクスポート/ファイルのダウンロードに関する詳細な情報が得られる。B2C Commerce Cloud ユーザーの場合には、専用のショッピング・ログから、さらに詳細な情報が得られる。

続いて、ユーザー権限を理解すれば、潜在的な損害の評価が促進される。Salesforce Security Center の Who Sees What Explorer ツールは、プロファイル/権限セット/共有ルール/ロール階層を統合ビューに集約するものだ。

それにより管理者は、アカウントに紐づけられた、機密データのエクスポート権限や、コンフィグ変更の権限を迅速に確認できる。それらは、侵害初期の影響の評価において不可欠なステップとなる。

Security Center WsW Explorer used to get a quick and comprehensive overview of which Objects and Fields a user has permission to access alter, and export, with sensitive fields denoted with a red icon.
Security Center WsW Explorer used to get a quick and comprehensive overview of which Objects and Fields a user has permission to access alter, and export, with sensitive fields denoted with a red icon.

さらに、バックアップ・データの比較により、データ変更の範囲が明らかになる。たとえば、インシデントの発生前/発生中/発生後に取得されたスナップショットを分析することで、不正な変更や削除を特定できる。

また、Salesforce においては、比較分析をサポートするサードパーティ製バックアップ・ソリューションの参照も可能であり、正常な状態への復旧が確実に行われる。

このガイドでは、高度なログ分析戦略も提供されている。Real-Time Event Monitoring (RTEM) は、最大で6ヶ月間をカバーする重要なイベントをストリーミングし、機械学習を活用した脅威検出アラートを提供する。

 Analytics Studio Threats & Access dashboards using data in ELO
 Analytics Studio Threats & Access dashboards using data in ELO

Low-latency Event Log Objects (ELO) と Event Log Files (ELF) のバルクが提供する補完的なソースにより、詳細レベルやクエリ機能が異なるデータが検証される。

Salesforce が推奨するのは、集中監視システムへの定期的なログ送信であり、それにより、通常のアクティビティ・ベースラインの把握が可能になるため、異常を判別しやすくなる。

このフォレンジック・ガイドでは、拡張トランザクション・セキュリティ・ポリシーに重点が置かれ、それにより迅速な対応を促進していくという。それらのポリシーは、不正なレポートのエクスポートといった危険なアクティビティを自動的にブロックし、ケースの作成や Slack 通知などのアラートや、ワークフロー・アクションのトリガーも担うという。

たとえば、デジタル・エクスペリエンス・サイトで、ゲスト・ユーザーに関連する異常アラートが発生すると、それ以上のアクセスは阻止され、攻撃に使用された IP アドレスが管理者に提供される。

Transaction Security Policies that trigger automated actions when specific real-time events occur
Transaction Security Policies that trigger automated actions when specific real-time events occur

最後になるが、このガイドが強調するのは、最小限の権限の原則と、脅威検出イベントの、定期的なモニタリングの重要性である。それにより、セキュリティを維持しながら、誤検知を最小限に抑えられると、同社は説明している。

リアルタイム・イベント・ストリーミング/ログ・ストレージ、自動応答ポリシーを積極的にコンフィグに取り込む組織は、侵害の封じ込め/ダウンタイムの削減/コンプライアンス遵守において優位性を確保できる。

このフォレンジック調査ガイドは、ベスト・プラクティスを統合し、Salesforce のビルトイン・ツールを活用するものであり、ミッション・クリティカルな CRM データの保護を目指す企業にとって重要なリソースとなる。

Salesforce が公開したフォレンジック調査ガイドについて、紹介する記事です。同社が示すのは、特定の技術的な欠陥よりも、権限管理の複雑さやログの可視性不足などが、セキュリティ上のリスクを広げる要因なるという観点です。特に、アクティビティ・ログや、ユーザー権限の管理、バックアップ比較といった仕組みに不備があると、インシデントの検知や影響範囲の特定が難しくなると、この記事は指摘しています。このところ、Salesloft に関連する問題が生じているだけに、フォレンジックを重視するスタンスが、Salesforce にとって重要になっているのかもしれません。よろしければ、Salesloft で検索も、ご参照ください。