の徹底解説と活用事例.png)
- 1. 「標準ログだけでは不十分」と感じる管理者・セキュリティ担当者へ
- 2. イベントログファイル(ELF)とは?他のログとの違いと役割
- 3. ELFで取得できる主要イベントタイプ(API利用、レポート実行など)
- 4. 大量のイベントログをどのように効率よく収集・分析するか(課題)
- 5. 大規模環境のログ分析を支援するSFsolutionの構築支援サービス
- 6. ELFを活用した具体的なセキュリティ監視と脅威検知の事例
- 7. パフォーマンスボトルネック特定のためのイベントログ分析手法
- 8. 開発者向け:APIやプラットフォームイベントの利用状況監視への応用
- 9. ELFのダウンロードと外部システムへの連携方法(概要)
- 10. 次のステップ:Salesforce ログの保持期間とアーカイブ戦略:コストとコンプライアンスの最適化
1. 「標準ログだけでは不十分」と感じる管理者・セキュリティ担当者へ
Salesforceはビジネスの心臓部となるデータを扱いますが、多くの管理者やセキュリティ担当者は、標準機能で提供されるセットアップ監査ログや項目履歴だけでは、システム全体の詳細なアクティビティやセキュリティ上のリスクを把握するには不十分だと感じています。
標準ログは「誰が、いつ、何を変更したか」を追跡するのに優れていますが、「誰が、いつ、どのような手段(API、UIなど)で、どのデータにアクセスしたか」「レポートをいつ実行したか」「ログインが試行されたか」といった利用状況やアクセス行動の全体像を深く掘り下げて分析することは困難です。
このギャップを埋め、真のセキュリティ監視、パフォーマンス分析、そしてコンプライアンス要件への対応を可能にするのが、イベントログファイル(Event Log File, ELF)です。
2. イベントログファイル(ELF)とは?他のログとの違いと役割
イベントログファイル(ELF)の定義
イベントログファイル(ELF)は、過去24時間以内にSalesforce組織で発生した詳細なアクティビティを記録したCSVファイルです。ユーザーの操作、システムプロセス、API呼び出しなど、Salesforce内部の「イベント」をほぼリアルタイムでキャプチャします。
他のログとの違いと役割
| ログの種類 | 記録される主な情報 | 記録粒度と用途 |
| イベントログファイル(ELF) | APIリクエスト、レポート実行、ログイン、Lightning使用状況、Apex実行など、システム全体の詳細な利用・アクセス行動 | セキュリティ監視、パフォーマンス分析、利用状況の可視化 |
| セットアップ監査ログ | ユーザの作成、権限の変更、セキュリティ設定の変更など、設定の変更履歴 | 管理設定の変更追跡、コンプライアンス |
| 項目履歴 | 特定のオブジェクト(例:取引先)の項目の値がいつ、誰によって変更されたか | データ変更の追跡、データガバナンス |
ELFの役割は、「誰が、何を、どのように、いつ実行したか」という利用・アクセス行動の全貌を記録し、他のログでは得られない詳細なインサイトを提供することです。
3. ELFで取得できる主要イベントタイプ(API利用、レポート実行など)
ELFには、Salesforce組織における重要なイベントを記録する50種類以上のイベントタイプがあります。セキュリティ、パフォーマンス、利用状況の分析に特に有用な主要なイベントタイプをいくつか紹介します。
| イベントタイプ | 記録内容の例 | 主な活用目的 |
| API Total Usage | どのユーザが、どのAPI(SOAP、RESTなど)を、いつ、どれだけ利用したか | 外部連携システムの活動監視、API制限超過リスクの特定 |
| Report Export | どのユーザが、いつ、どのレポートをCSVやExcelとしてエクスポートしたか | 機密データの流出リスク監視、内部不正検知 |
| Login | 成功・失敗したログイン試行、使用された認証方法、地理的な場所 | 不審なログインの検知、地域制限違反の監視 |
| URI | ユーザがUIでアクセスしたURL、ページビュー、Lightningコンポーネントの操作 | ユーザの利用頻度分析、ユーザエクスペリエンス(UX)のボトルネック特定 |
| Apex Execution | Apexコードの実行時間、メモリ使用量 | カスタムコードのパフォーマンス分析と最適化 |
| Visualforce Request | Visualforceページの読み込み時間、リクエストの詳細 | Visualforceベースの機能のパフォーマンス監視 |
4. 大量のイベントログをどのように効率よく収集・分析するか(課題)
イベントログファイルは、大規模な組織では毎日数GBにも及ぶ膨大な量になることがあります。この大量のデータを効率よく活用するには、いくつかの課題があります。
- データの収集と結合:
- ELFは日次で生成されるため、手動でのダウンロードと、過去データとの結合(マージ)作業が煩雑です。
- 最大30日分しかSalesforce側で保持されないため、長期的な分析には外部ストレージへの継続的な転送が必要です。
- 分析の複雑性:
- データがCSV形式であり、そのままでは可視化や傾向分析ができません。
- SQLや専門的な分析ツールを用いて、イベントタイプごとに異なるスキーマを理解し、クエリを作成する必要があります。
- リアルタイム性の欠如:
- ELFは生成に時間がかかる(通常24時間以内)ため、即座の脅威検知やインシデント対応には、よりリアルタイムなプラットフォームイベントなどの利用も検討が必要です。
5. 大規模環境のログ分析を支援するSFsolutionの構築支援サービス
大量のイベントログを効率的かつ継続的に活用するためには、専門のツールと体制が必要です。
SFsolutionでは、大規模なSalesforce環境におけるセキュリティとパフォーマンスの課題を解決するため、以下の構築支援サービスを提供しています。
- ログ収集・ETL自動化: Event Monitoring Analytics App(Tableau CRM/Einstein Analytics)または外部のSIEM/ログ管理システム(Splunk, ELK Stackなど)へのELF自動取り込みパイプライン構築。
- カスタムダッシュボード開発: セキュリティリスク(機密レポートのエクスポート、異常なAPIコールなど)とパフォーマンスボトルネックに特化した分析ダッシュボードの開発。
- 脅威ハンティング支援: ログデータに基づき、潜在的な内部不正や侵害の兆候を検出するためのカスタムルール設定と調査をサポートします。
6. ELFを活用した具体的なセキュリティ監視と脅威検知の事例
イベントログは、従来のセキュリティ機能では見逃されがちな利用行動に基づく脅威を検知する上で極めて強力です。
| 監視対象の脅威 | 活用するELFイベントタイプ | 検知の具体的なロジック |
| 機密データの一括エクスポート | Report Export | 特定のユーザが、通常とは異なる時間帯に、大量の機密レポート(例:商談、取引先)をエクスポートしたイベントを検出。 |
| 総当たり攻撃・不正アクセス | Login | 短時間で、同一ユーザまたは複数のユーザからのログイン失敗が異常に多発しているイベントを検出。 |
| 外部連携システムの異常動作 | API Total Usage | 特定のインテグレーションユーザからのAPIコール数が、通常の基準値を大幅に超過している状況を検出。 |
| 疑わしい場所からのアクセス | Login | ユーザの通常の勤務地やアクセス履歴とは異なる、遠隔地や不正なIPアドレスからのログインを検出。 |
7. パフォーマンスボトルネック特定のためのイベントログ分析手法
ELFはセキュリティだけでなく、ユーザ体験(UX)向上とシステムのスケーラビリティ維持のためにも重要です。
- 最も遅いページの特定(URIイベント):
URIイベントログから、特定のページやLightningコンポーネントの読み込み時間(Request_Time)が長いログを抽出します。- 遅延の原因となっているユーザ、プロファイル、または時間帯を特定し、ボトルネック解消のための最適化を行います。
- APIコールの最適化(API Total Usageイベント):
API Total Usageイベントを分析し、過剰な頻度でAPIコールを行っている外部システムやアプリケーションを特定します。- これにより、ガバナ制限(APIコール数制限)超過のリスクを未然に防ぐとともに、バッチ処理やバルクAPIへの切り替えを促します。
- Apexの最適化(Apex Executionイベント):
Apex Executionイベントから、実行時間が長いトランザクションを特定し、コードレベルでのチューニング(SOQLの最適化など)に役立てます。
8. 開発者向け:APIやプラットフォームイベントの利用状況監視への応用
開発者はELFを活用して、構築したアプリケーションの健全性を監視できます。
- 外部APIのヘルスチェック: 外部システムとのインテグレーションに利用しているAPIコールの成功・失敗率を
API Total Usageイベントから追跡することで、連携システムのダウンタイムやエラーの発生傾向をいち早く察知できます。 - プラットフォームイベントの利用状況:
Platform Eventイベントタイプを利用することで、公開されたイベントメッセージの数や、それに伴うトリガーの実行状況を把握し、イベント駆動型アーキテクチャの負荷状況とスケーラビリティを評価できます。
9. ELFのダウンロードと外部システムへの連携方法(概要)
ELFのダウンロード方法
イベントログファイル(ELF)の取得は、主に以下の2つの方法で行われます。
- Salesforce CLI:
- 開発者や管理者がコマンドラインインターフェース(CLI)を使って、特定の日付やイベントタイプのログをプログラムでダウンロードする方法です。
- API (REST API/SOAP API):
- 外部システム(SIEMやデータウェアハウス)から、自動的にログを取得するために利用されます。
EventLogFileオブジェクトに対してクエリを実行し、ログデータへのURLを取得後、そのURLから実際のログファイルをダウンロードします。
- 外部システム(SIEMやデータウェアハウス)から、自動的にログを取得するために利用されます。
外部システムへの連携
長期的な保存、大規模な分析、セキュリティ監視を行うには、ELFを外部システムへ転送することが一般的です。
- SIEM (Security Information and Event Management) システム: Splunk, Microsoft Sentinelなどへ転送し、他のシステムログと統合してリアルタイムに近いセキュリティ監視を行います。
- データウェアハウス: Amazon S3, Google Cloud Storage, Snowflakeなどへ転送し、長期的な傾向分析や規制遵守のための監査証跡として保存します。
10. 次のステップ:Salesforce ログの保持期間とアーカイブ戦略:コストとコンプライアンスの最適化
Salesforceのイベントログファイル(ELF)は非常に強力ですが、保持期間が最大30日間という制限があります。
セキュリティコンプライアンス(例:金融、医療)や長期的な監査要件を満たすためには、ログデータの長期的な保持とアーカイブ戦略が不可欠です。しかし、ログを外部に保持するにはコストがかかり、その最適化が重要な課題となります。
次回記事では、この重要なテーマについて深掘りします。
次回の記事へ:Salesforce ログの保持期間とアーカイブ戦略:コストとコンプライアンスの最適化
