セールスフォースのセキュリティ対策

セールスフォースのセキュリティ対策
2015/12/16
クラウド・セキュリティ・アライアンス 勉強会
株式会社セールスフォース・ドットコム
セールスエンジニアリング本部
リード・ソリューション・エンジニア
高橋 悟史
Forward-Looking Statement
​ Safe harbor statement under the Private Securities Litigation Reform Act of 1995:
​ This presentation may contain forward-looking statements that involve risks, uncertainties, and assumptions. If any such uncertainties
materialize or if any of the assumptions proves incorrect, the results of salesforce.com, inc. could differ materially from the results
expressed or implied by the forward-looking statements we make. All statements other than statements of historical fact could be deemed
forward-looking, including any projections of product or service availability, subscriber growth, earnings, revenues, or other financial items
and any statements regarding strategies or plans of management for future operations, statements of belief, any statements concerning
new, planned, or upgraded services or technology developments and customer contracts or use of our services.
​ The risks and uncertainties referred to above include – but are not limited to – risks associated with developing and delivering new
functionality for our service, new products and services, our new business model, our past operating losses, possible fluctuations in our
operating results and rate of growth, interruptions or delays in our Web hosting, breach of our security measures, the outcome of any
litigation, risks associated with completed and any possible mergers and acquisitions, the immature market in which we operate, our
relatively limited operating history, our ability to expand, retain, and motivate our employees and manage our growth, new releases of our
service and successful customer deployment, our limited history reselling non-salesforce.com products, and utilization and selling to larger
enterprise customers. Further information on potential factors that could affect the financial results of salesforce.com, inc. is included in our
annual report on Form 10-K for the most recent fiscal year and in our quarterly report on Form 10-Q for the most recent fiscal quarter.
These documents and others containing important disclosures are available on the SEC Filings section of the Investor Information section
of our Web site.
​ Any unreleased services or features referenced in this or other presentations, press releases or public statements are not currently
available and may not be delivered on time or at all. Customers who purchase our services should make the purchase decisions based
upon features that are currently available. Salesforce.com, inc. assumes no obligation and does not intend to update these forward-looking
statements.
セールスフォース・ドットコムのご紹介
⽶米国セールスフォース・ドットコム
所在地 : サンフランシスコ、他22カ国でビジネス展開
本社
創業・サービス開始 ⽶米国 : 1999年年創業 2000年年サービス開始
⽇日本 : 2000年年創業 2001年年サービス開始
営業・サポート・マーケティング分野の
クラウドアプリケーション及びプラットフォームの提供
事業内容
FY15年年間売上 53億7000万ドル (前年年度度⽐比 32%増)
(2015年年1⽉月31⽇日)
FY16年年間売上予測
(2015年年11⽉月19⽇日発表)
従業員数
66.4億ドル 〜~ 66.5億ドル ( 前年年度度⽐比 24%増 )
18,726⼈人
(2015年年10⽉月31⽇日)
1710
1630
1510
1440
1380
1320
1230
1150
1080
957
893
835
788
732
695
632
584
546
504
457
429
394
377
354
331
316
305
290
276
263
248
217
192
177
162
144
130
118
35 41 46 55 64 72 83 91105
採⽤用社数
FY05
150,000社以上
FY06
FY07
FY08
FY09
2015年年7⽉月31⽇日
FY10
FY11
FY12
( FY16 第2四半期 ) までの売上推移
3
FY13
FY14
FY15
The Customer Success Platform
​ 6つのサービス(製品)と、アプリケーションを⽀支える共通サービス
セールス
サービス
マーケティング コミュニティ アナリティクス
アプリ
すべてをカバーするCRM
オープンなエコシステム
2,700以上のパートナーアプリ
データ、
オブジェクト
モバイルUI
コラボレーション
アナリティク
ス
ワークフロー
スピーディなアプリ開発、カスタマイズ
信頼性の⾼高いマルチテナントクラウド
API
拡張性にすぐれたメタデータプラットフォーム
アイデンティ
ティ
Salesforce Trust Platform
​ 世界で最も信頼されるクラウドプラットフォーム上での16年の継続したイノベーション
Sales
Marketing
Service
150,000以上のお客様
Community
Analytics
47 回の本番バージョンアップ
Apps
2,000,000以上の
アプリケーションが稼働
Application Services
Identity & Single
Sign On
Password
Policies
Two Factor
Authentication
User Roles &
Permissions
Field & Row
Level Security
Network Services
HTTPS
Encryption
Penetration
Testing
Advanced
Threat Detection
Secure
Firewalls
IP Login
Restrictions
Third Party
Certifications
Customer
Audits
Infrastructure Services
Secure Data
Centers
Backup and
Disaster Recovery
Real-time
replication
信頼 – あらゆるレベルでセキュリティを確保
アプリケーションレベルの
強⼒力力なセキュリティ
信頼された
認証の
ネットワーク オプション
項⽬目
オブジェク
設定や
レベルの オブジェクト
トレベルの
セキュリ セキュリティ の変更更履履歴の
ティ
追跡
(CRUD)
インフラストラクチャレベルの
強⼒力力なセキュリティ
ファイヤ
ウォール
SSL
負荷分散
アクセラレータ
Webサーバー、 データ
アプリケー
ベース
ション
サーバー
サーバー
信頼性 - システムセキュリティ実装ポリシー
​ 年間数千億円にのぼる大規模なR&D投資、99%以上の高い稼働率
約50億件/日のトランザクション、1トランザクション 平均217ミリ秒の処理速度
(C)機密性
(I)保全性
データが漏れないこと
データが消失しないこと
l 
ISO27001認証
SysTrust認証(SSAE16 SOC-3)
l 
l 
l 
定期的な脆弱性テスト
l 
l 
センター内ミラーリング
データセンター間コピー
PCI-DSS
l 
日次バックアップ
FedRAMP, GSA認定
l 
バックアップオプション
l 
(A)可用性
(A)監査性
データにいつでも
アクセスできること
l 
l 
N+1冗長化
99%以上の稼働率
1トランザクションあたり 217ミリ秒の平
均処理速度
l 
正当性を評価できるよう
設計・運用されていること
l 
l 
trust.salesforce.com
SSAE16 / ISAE 3402 SOC-1, 2
総務省「ASP ・ SaaS安全 ・ 信頼性に係
る情報開示認定」
l 
「金融機関等コンピュータシステムの安
全対策基準・解説書」第8版追補に全面的
に準拠 など
l 
グローバルデータセンター
​ 全世界に9箇所。日本のデータセンターは2011年稼働開始
欧州(2)
イギリス
: 2014年稼働
フランス
: 2016年稼働予定
ドイツ
: 2015年稼働
日本(1)
日本
: 2011年稼働
: 2016年以降に
バックアップデータセンター
開設予定
北米(6)
大規模マルチテナントシステム
シングルテナント/小規模マルチテナント
大規模マルチテナントシステム
集中化されたシステムを少数精鋭、世界トップクラスのエンジニアに
より直接管理理
顧客ごとに分離離されたデータベースを数⼗十⼈人から数百⼈人の管理理者で
管理理
•  ⾼高度度なスキルを持った要員の確保が困難 •  エンジニアに対する厳しい選定基準およびバックグラウンドチェック(す
•  多数の管理理者/システムに対する難しい監視体制 •  監視リソースを集中化 べて正社員で管理理)
(派遣社員/契約社員による補充)
データベース
スシャリスト
ネットワーク スペシャリスト
各システムの
管理者
貴社の データベース
9
セキュリティ スペシャリスト
プラットフォーム スペシャリスト
メタデータによるマルチテナントデータベースのセキュリティ
セールスフォースが提供するクラウドシステムでは、データ、データの定義情報、アプリケーションコードの三つが揃っ
て初めて「データ」を「情報」として確認できます。対象システムにログインできるお客様だけが情報にアクセスできます。
マルチテナントデータベース ⇒ このレベルでは「データ」を管理している状態
Salesforce.com
データベース管理者
Org ID
Object ID
Record ID
Field1
Field2
Field3
Field4
00D100000005qRW
01I100000008ymS
00110000005Xrjl
1235685
8320222
62500
12153351
00D100000018AsK
01I100000002tzz
00310000002yQgz
12345
120000256
20092526
00310000002yQh1
00D100000024Wte
01I100000004u04
00Q10000001w9gn
03456235
마케팅 사용자
12354961
50
00D100000022Tae
01I10000000TfZ9
00Q100000041LZO
東京
122586
0120330968
20050
00D100000012Ate
01I10000000TfZA
00Q100000041Lby
55697
01I10000000TfZA
00D100000019Qte
Jim
00D100000015Qte
01I100000008tzv
00Q10000001w9ar
36987584
122586
01I100000008tzw
聯聯邦識識別碼
00D100000033Bte
01I100000008tzw
00610000005jtOA
1258963
122586
ชื่อเล่นของกลุ่มผู
12254956
00D100000008fpj
01I100000008ubL
00610000005jtUO
e1250ee
12235896
0925596332
12354468
‥500項目
全顧客の入力データを
単一のテーブルに格納
(数十億レコード)
データ定義情報
(メタデータ)
Salesforceアプリケーション
アクセス不可
各ユーザの
•  利用者情報/オブジェクト情報/抽出条件によりレコードを抽出
抽出
パスワードは
•  複数の参照レコードを結合
SHA-256
結合
hash with salt 情報 •  データ定義情報(メタデータ)よりデータから情報を生成
生成
で暗号化
情報
ログイン
Salesforce利用者
例) 株式会社XYZのお客様情報に保存している金融さんの口座番号
システム利用組織
情報名
個人名
口座番号
株式会社XYZ
お客様情報
金融 太郎
12345
データモデルとアクセス制御
レコード
組織(ログイン制限、IP制限)
オブジェクト(CRUD)
オブジェクト
レコード
項目
項目
セキュリティ管理機能
パスワード
ポリシー
§  企業ごとに設定可能なパ
スワード・セキュリティ・ポ
リシー
IPアドレス
ログイン可能な
IPアドレスの制限
アイデンティティ確
認機能
信頼されていないアドレス
セールスフォース・ドットコム
内にパスワードを持たない
§  二要素認証のサポート
VPN
VPNとの併用で、社
外からのアクセス時も
セキュアな接続を確
保
セッション管理
コンピュータの有効化
信頼済みアドレス
有効期限、過去のパスワー
ドの利用制限、最小パス
ワード長、複雑さ(英数混在
など文字列制限)、最大試
行回数、ロックアウト期間
§  SSO(シングルサインオ
ン)機能
様々な手段でセキュリティを制御/管理可能
組織ごと、ユーザごとに
信頼済みIPアドレスのリ
ストを保持
正規のユーザか認識す
るためにブラウザのクッ
キーと共に用いられます
これまでに接続が行わ
れていないブラウザ及び
IPアドレスからのログイ
ン要求の場合には、コン
ピュータの有効化が必
要
ユーザがPCから離れた際の
不正な利用を防ぐ
一定時間操作がない場合に
はセッションを切る
再びアクセスする際にはログ
インが必要
履歴管理
Salesforce.comでは過去
6カ月間のログイン履歴を
保存
ログイン成功/失敗、失敗
した理由、アクセス元IP、
ブラウザ等の情報
CSVファイルで取得が可能
二要素認証のサポート
n  標準で二要素認証をサポート
n  ワンタイムパスワードによる認証が可能です
n  通常ログインはパスワードのみで、セキュリティ上保護するコンテンツにアクセスした時のみに二要素
認証を強制する設定も可能
n  Salesforce Authenticatorというワンタイムパスワードアプリを無償で配布しています。Google
Authenticatorなどのサードパーティートークン生成アプリも使用可能です
シングルサインオン(SSO)のサポート
n  SAML 2.0, OpenID Connect 2.0をサポート
n  IdP、SP(RP)のどちらにもセールスフォースのサービスを構成することが可能
n  ID管理(ID Provisioning)エンジンとしてセールスフォースを構成することが可能
n  Google Apps, Microsoft Office 365, Active Directory Federation Service, Facebook, Twitter
などとの豊富な連携事例あり
データ暗号化のサポート
n  標準の暗号化機能
ü  AES128bit
ü  鍵はセールスフォースサーバー上に存在
ü  鍵の管理(更新など)はユーザーは出来ない
ü  カスタム項目のみ暗号化可能(セールスフォース標準の項目は暗号化出来ない)
ü  暗号化したデータは検索不可能
n  オプションの暗号化機能(Salesforce Shield)
ü  AES256bit
ü  鍵はストレージ上には存在しない。必要に応じてメモリーキャッシュに生成され、不要になると消える
• 
鍵の生成、消滅はアプリケーションサーバーが制御しているため、セールスフォースのデータセンター側の管理者であっても暗号鍵の入手は基本
的に不可能
ü  鍵の生成、消去、更新はユーザーが実施
ü  標準項目も暗号化出来る。添付ファイルなども暗号化出来る
ü  HSMによる暗号鍵の管理、保管
ü  暗号化したデータを検索可能
ネットワークセキュリティ
n  HTTP, HTTPS, SMTP以外の通信は許可されていない
n  TLS 1.2+AES256bitの暗号化をサポート(HTTP, SMTP)
n  PCI DSS 3.1に対応するために、来年脆弱性のあるTLS 1.0のサポートを全面的にシャットダウンする
予定
n  IDS/IPSによる、攻撃、不正行為、マルウェアの監視を実施
n  VPNによる接続をサポート
n  発信IPアドレスによる接続制限をサポート
n  IDS/IPSでは捕まえられない不審なアクティビティの監視(同じユーザーIDで短時間に違う国からログ
インしてきているなど)
データセンター
n  全世界のデータセンターが共通仕様の設備を有する
n  物理セキュリティ
ü  24時間 365日 有人監視
ü  全ての扉で認証が必要(バイオメトリクス認証)
ü  ルーム、全ラック、侵入経路全般をデジタルカメラで監視、録画
ü  空調機本体とサーバールームを分離(空調のメインテナンスはサーバールームへの入室不要)
n  電源
ü  N+1構成のUPS
ü  ガスタービン発電機(東日本大震災で稼働実績あり)
ü  48時間分の燃料備蓄
n  冷却
ü  N+1構成の高精度HVAC設備
n  火災対策
ü  窒素ガスによる消化システム
n  高強度耐震設計
データセンター・オペレーション
n  データセンターには、サーバーにログイン可能な運用者は所在しません
ü  運用オペレーションは、世界3箇所に集約化されたオペレーションセンターからリモートで実施
ü  運用端末は特殊な端末で、全ての操作が記録され、印刷、コピペ、ファイル転送が出来ない
n  データベースまでアクセス出来る要員は、米国本社勤務の非常に少数の従業員のみ
ü  セールスフォースの一般社員は一切データセンター内の機器へのログインは出来ません
ü  本番システムを触る要員は、非常に厳しいバックグラウンドチェック(犯罪歴、職歴、学歴等)を経て採用
ü  契約社員、外部業者を使用していません
ü  データベースに対する技術的な仕組みにより、意味のある形で運用要員がデータを取り出すことは不可能
n  運用オペレーション監視、監査
ü  事前に承認を得たコマンド以外の実行は不可能
ü  全ての作業が記録され、不正操作はリアルタイムに検知、通報
ü  作業室は全てデジタルカメラで監視、記録
ü  お客様のパスワードはSHA-256 Hashで一方向暗号化されているので、復号化してログインすることは不可能
レギュレーション対応、認定
​ インダストリースタンダードに対応、定期的な外部監査の実施
ISO 27001 Certified
SSAE16 SOC1
SSAE16 SOC3
PCI DSS 3.1 Compliant
Federal Authority to Operate –
Moderate Baseline
セルフアセスメントレポート
ご提供可能
外部専門事業者による定期的な脆弱性診断、ペネト
レーションテスト
アプリケーションレイヤ : 年3回
ネットワークレイヤ : 年4回
透明性(Transparency)
n  お客様にシステムの状況、対策の状況を包み隠さず情報提供することが、信頼を獲得するための
ベストプラクティスだと考えている
n  サイト trust.salesforce.com
ü  システムの稼働状況 (up/down)、レスポンスタイムをリアルタイムに提供
ü  定期メインテナンスの予定や、セキュリティインシデントの状況の報告も行われる