Defender for Cloud Apps が Salesforce 環境の保護に役立つしくみ

Salesforce は、主要な CRM クラウド プロバイダーとして、顧客、価格プレイブック、および組織内の主要な取引に関する大量の機密情報を組み込んでいます。 ビジネスに不可欠なアプリケーションである Salesforce は、組織内のユーザーや、組織内外の他のユーザー (パートナーや請負業者など) によってさまざまな目的でアクセスされ、使用されます。 多くの場合、Salesforce にアクセスするユーザーの大部分はセキュリティに対する意識が低く、意図せずに共有することで機密情報が危険にさらされる可能性があります。 他のインスタンスでは、悪意のあるアクターが最も機密性の高い顧客関連の資産にアクセスする可能性があります。

Salesforce を Defender for Cloud Apps に接続すると、ユーザーのアクティビティに関するより深い分析情報が得られ、機械学習ベースの異常検出を使用した脅威検出、情報保護検出 (外部情報共有の検出など)、自動修復制御の有効化、組織内で有効にされたサードパーティ製アプリからの脅威の検出を行えるようになります。

このアプリ コネクタを使用することで、Microsoft Secure Score に反映されたセキュリティ コントロールを使用して SaaS セキュリティ体制管理 (SSPM) 機能にアクセスすることができます。 詳細情報。

主な脅威

• 侵害されたアカウントと内部関係者による脅威
• データ漏えい
• 昇格した権限
• セキュリティに対する認識不足
• 悪意のあるサードパーティ製アプリと Google アドオン
• ランサムウェア
• 管理されていない個人のデバイスの持ち込み (BYOD)

環境を保護する場合の Defender for Cloud Apps の利点

• クラウドの脅威、侵害されたアカウント、悪意のある内部関係者を検出する
• クラウドに格納されている規制対象の機密データを検出、分類、ラベル付け、保護する
• 環境にアクセスできる OAuth アプリを検出して管理する
• クラウドに格納されているデータに対して DLP ポリシーとコンプライアンス ポリシーを適用する
• 共有データの公開を制限し、コラボレーション ポリシーを適用する
• フォレンジック調査にアクティビティの監査証跡を使用する

SaaS セキュリティ態勢管理

Salesforce を接続して、Microsoft セキュア スコアで Salesforce のセキュリティに関する推奨事項を自動的に取得します。

セキュア スコアで [推奨されるアクション] を選択し、Product = Salesforce でフィルター処理します。 たとえば、Salesforce の推奨事項には次のようなものがあります。

• Multi-Factor Authentication (MFA) の登録時に本人確認を要求する
• すべての要求にログイン IP 範囲を適用する
• 無効なログイン試行の最大数
• パスワードの複雑さの要件

詳細については、以下を参照してください:

• SaaS アプリのセキュリティ態勢管理
• Microsoft セキュリティ スコア

組み込みのポリシーとポリシー テンプレートで Salesforce を制御する

次の組み込みのポリシー テンプレートを使用すると、潜在的な脅威を検出して通知することができます。

Type	名前
組み込みの異常検出ポリシー	匿名 IP アドレスからのアクティビティ 頻度の低い国からのアクティビティ 不審な IP アドレスからのアクティビティ あり得ない移動 終了させられたユーザーによって実行されたアクティビティ (IdP として Microsoft Entra ID が必要) 複数回失敗したログイン試行 異常な管理アクティビティ 異常なファイル削除アクティビティ 異常なファイル共有アクティビティ 異常な偽装されたアクティビティ 複数回にわたる異常なファイル ダウンロード アクティビティ
アクティビティ ポリシー テンプレート	Logon from a risky IP address (危険な IP アドレスからのログオン) Mass download by a single user (1 人のユーザーによる大量ダウンロード)
ファイル ポリシー テンプレート	未承認のドメインと共有されているファイルの検出 個人の電子メール アドレスで共有されたファイルの検出

ポリシーの作成の詳細については、「ポリシーの作成」を参照してください。

ガバナンス制御を自動化する

潜在的な脅威を監視することに加えて、以下の Salesforce ガバナンス アクションを適用および自動化して、検出された脅威を修復することができます。

Type	アクション
ユーザー ガバナンス	- 保留中のアラートをユーザーに通知する - DLP 違反のダイジェストをファイル所有者に送信する - ユーザーを一時停止する - アラートをユーザーに通知する (Microsoft Entra ID 経由) - ユーザーにもう一度ログインするよう要求する (Microsoft Entra ID 経由) - ユーザーを一時停止する (Microsoft Entra ID 経由)
OAuth アプリのガバナンス	- ユーザーの OAuth アプリを取り消す

アプリからの脅威の修復の詳細については、「接続されているアプリを管理する」を参照してください。

Salesforce をリアルタイムで保護する

外部ユーザーをセキュリティで保護して共同作業し、管理されていない、またはリスクの高いデバイスへの機密データのダウンロードをブロックおよび保護するための、ベスト プラクティスを参照してください。

Salesforce を Microsoft Defender for Cloud Apps に接続する

このセクションでは、アプリ コネクター API を使用して、Microsoft Defender for Cloud Apps を既存の Salesforce アカウントに接続する方法を示します。 この接続により、Salesforce の使用状況を視覚化して制御できるようになります。 Defender for Cloud Apps での Salesforce の保護方法の詳細については、Salesforce の保護に関する記事を参照してください。

このアプリ コネクタを使用することで、Microsoft Secure Score に反映されたセキュリティ コントロールを使用して SaaS セキュリティ体制管理 (SSPM) 機能にアクセスすることができます。 詳細情報。

Salesforce を Defender for Cloud Apps に接続する方法

Note

SSPM 以外のサポートされるすべての機能で、この統合の前提条件として、Salesforce Shield が Salesforce インスタンスで利用可能である必要があります

1. Defender for Cloud Apps に専用のサービス管理者アカウントを作成することをお勧めします。

2. Salesforce で REST API が有効になっていることを確認します。

   Salesforce アカウントには、REST API のサポートを含むエディション

   (Performance、Enterprise、Unlimited、Developer のいずれか) を使用する必要があります。

   Professional エディションには、既定では REST API が含まれていませんが、オンデマンドで追加することができます。

   現在のエディションで REST API を使用可能かどうか、有効化されているかどうかを確認するには、以下の手順を実行します。

   • Salesforce アカウントにサインインし、 設定ホーム ページに移動します。

   • [管理] ->[ユーザー] で、[プロファイル] ページに移動します。

     

   • [新しいプロファイル] を選択して、新しいプロファイルを作成します。

   • Defender for Cloud Apps をデプロイするために作成したばかりのプロファイルを選んで、[編集] を選びます。 このプロファイルは、Defender for Cloud Apps サービス アカウントでアプリ コネクタをセットアップするために使用されます。

     

   • 次のチェックボックスをオンにします。

     • [API Enabled]\(API 有効化\)
     • [View All Data]\(すべてのデータを表示する\)
     • [Manage Salesforce CRM Content]\(Salesforce CRM コンテンツを管理する\)
     • ユーザーの管理
     • すべてのファイルをクエリ
     • [Modify Metadata Through Metadata API Functions](メタデータ API 関数を使用してメタデータを変更する)

     チェックボックスがオフになっている場合は、Salesforce に連絡して自分のアカウントに追加する必要があります。

3. 組織で [Salesforce CRM Content] を有効化している場合は、現在の管理者アカウントでも有効になっていることを確認します。

   1. Salesforce の [セットアップ ホーム] ページに移動します。

   2. [管理] ->[ユーザー] で、[ユーザー] ページに移動します。

      

   3. 専用の Defender for Cloud Apps ユーザーの現在の管理ユーザーを選びます。

   4. [Salesforce CRM Content ユーザー] チェックボックスがオンになっていることを確認します。

      

   5. 設定の [ホーム] ->[セキュリティ] ->[セッションの設定] に移動します。 [セッションの設定] で、[Lock sessions to the IP address from which they originated]\(開始した IP アドレスにセッションをロックする\) チェック ボックスがオンになっていないことを確認します。

      

   6. [保存] を選択します。

   7. [アプリ] - [>機能設定] - [>Salesforce ファイル] - [>コンテンツ配信およびパブリック リンク] の順に移動します。

   8. 編集を選択し、チェックされたコンテンツ配信機能をユーザーに対して有効にできるを選択します

   9. [保存] を選択します。

Note

Defender for Cloud Apps でファイル共有データを照会するには、コンテンツ配信機能を有効にする必要があります。 詳細については、ContentDistributionに関するページを参照してください。

Defender for Cloud Apps を Salesforce に接続する方法

1. Defender for Cloud Apps コンソールで、[調査]、[接続アプリ] の順に選びます。

2. [アプリ コネクタ] ページで、[+アプリを接続]、[Salesforce] の順に選択します。

   

3. 次のウィンドウで、接続に名前を付け、[次へ] を選択します。

4. [リンクに移動] ページで、[Salesforce の接続] を選択します。

5. これで Salesforce のサインイン ページが開きます。 資格情報を入力して、Defender for Cloud Apps が自分のチームの Salesforce アプリにアクセスできるようにします。

   

6. Defender for Cloud Apps からチームの情報やアクティビティ ログにアクセスし、任意のチーム メンバーと同様に任意のアクティビティを実行することを許可するかどうかを確認するメッセージが Salesforce で表示されます。 続行するには、 許可を選択します。

7. この時点で、デプロイの成功または失敗に関する通知を受信します。 Defender for Cloud Apps が Salesforce.com で承認されました。

8. Defender for Cloud Apps コンソールに戻ると、Salesforce が正常に接続されたことを示すメッセージが表示されます。

9. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。 接続されているアプリ コネクタの状態が [接続済み] になっていることを確認します。

Salesforce に接続すると、Salesforce EventMonitoring ライセンスに応じて、接続までの 7 日間のログイン イベントとセットアップ監査証跡、30 日前または 1 日前の EventMonitoring などのイベントを受け取ります。 Defender for Cloud Apps API は Salesforce から利用できる API と直接通信します。 Salesforce はそれが受け取る API 呼び出しの数を制限できるため、Defender for Cloud Apps はそれを考慮し、制限を順守します。 Salesforce API は、利用できる合計数や残りの数など、API カウンターのフィールドと共に各応答を送信します。 Defender for Cloud Apps はこれを百分率に計算し、利用できる API 呼び出しの 10% が常に残るようにします。

Note

Defender for Cloud Apps の調整は、Salesforce で呼び出した自身の API に基づいてのみ計算されます。他のアプリケーションが Salesforce で呼び出した API は計算対象になりません。 API 呼び出しが制限されることで Defender for Cloud Apps にデータが取り込まれる速度が遅くなることがありますが、通常、一晩で追いつきます。

Note

Salesforce インスタンスが英語でない場合は、統合サービス管理者アカウントに適切な 言語 属性値を選択してください。

言語属性を変更するには、管理 ->ユーザー ->ユーザー に移動し、統合システム管理者アカウントを開きます。 次に、ロケール設定 ->言語 に移動し、希望の言語を選択します。

Salesforce イベントは Defender for Cloud Apps により次のように処理されます。

• 15 分ごとのサインイン イベント
• 15 分ごとにセットアップ監査証跡
• 1 時間ごとのイベント ログ。 Salesforce のイベントについて詳しくは、「Using event monitoring」(イベント監視の使用) をご覧ください。

アプリの接続に問題がある場合は、アプリ コネクタのトラブルシューティングを参照してください。

次のステップ

ポリシーによるクラウド アプリの制御

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。