Salesforceセキュリティは神話か？データ保護の真実

「Salesforceのセキュリティは本当に安全？」多くの企業が抱えるこの疑問に対し、本記事ではSalesforceが誇る多層的なセキュリティ対策と、そのデータ保護の仕組みを詳細に解説します。

物理的なデータセンターのセキュリティから、ネットワーク・アプリケーションレベルの防御、そしてデータの暗号化まで、Salesforceがいかに強固な体制で顧客データを守っているかをご紹介。

さらに、SalesforceプロファイルやSalesforceロールといったきめ細かいアクセス権限管理、そしてSalesforce監査証跡やSalesforceフィールド履歴による透明性の確保とコンプライアンス対応まで、Salesforceの安全性を多角的に掘り下げます。

この記事ではITエンジニアを200名以上抱え、システム開発を25年以上経験する弊社、FS部　佐々木舞美が詳しく解説します。

その他、Salesforce初心者必見！Trailheadで爆速スキル習得を開発担当者が、別記事でもまとめておりますので合わせて参考にしてください。

FDCでできるSalesforce活用とは
資料をダウンロードする

Salesfoeceサポートに関するご相談
無料相談をする

FDCでできるSalesforce活用
資料をダウンロードする

Salesforceサポートに関するご相談
無料相談をする

Salesforceセキュリティ対策：信頼の多層防御がデータ保護を約束
1. Salesforceセキュリティ対策：信頼の多層防御がデータ保護を約束
物理的セキュリティ：最先端のデータセンターが基盤
ネットワークセキュリティ：不正アクセスとDDoS攻撃からの防御
アプリケーションセキュリティ：脆弱性排除と継続的な監査で安全性を確保
データセキュリティ：保存データも通信データも徹底暗号化
アクセス制御の要：プロファイルとロールによるきめ細やかな権限管理
1. Salesforceプロファイル：ユーザーの「できること」を定義するアクセス権限
2. Salesforceロール：ユーザーの「見られるデータ」を定義するデータ可視性
監査証跡とフィールド履歴：コンプライアンスを支える透明性の確保
1. 監査証跡（Setup Audit Trail）：管理者による設定変更履歴を記録
2. フィールド履歴（Field History Tracking）：データ変更の詳細を追跡
コンプライアンスと認証：国際基準に準拠した最高レベルの安全性
まとめ：Salesforceはあなたのビジネスをセキュアに加速する
Salesforce導入に関するお悩みはございませんか？

Salesforceセキュリティ対策：信頼の多層防御がデータ保護を約束

多くの企業が導入を検討する際に「Salesforceのセキュリティは本当に安全？」と疑問に思うかもしれません。

Salesforceは、顧客データの保護とセキュリティを最優先事項とし、非常に高いレベルのセキュリティ対策を多層的に講じています。

世界中の企業が安心してデータを預けられるよう、厳格なセキュリティ基準と運用体制を確立しているのです。Salesforceがどのようにあなたのデータ保護を実現しているのか、その全貌を見ていきましょう。

物理的セキュリティ：最先端のデータセンターが基盤

Salesforceのデータセンターは、物理的な脅威からデータを守るための厳重なセキュリティ対策が施されています。

入退室管理、生体認証、24時間365日の監視、監視カメラ、警備員配置など、多重の物理的セキュリティ対策が徹底されており、火災や自然災害に備えた設計と対策も講じられています。

これにより、あなたのデータは物理的なリスクから強固に守られています。

合わせて読みたい

SFA（営業支援システム）の機能とは？CRMとの違いや活用事例を解説

SFAを導入して自社の営業効率を高めませんか？この記事ではSFAの概要や基本的な機能、ツールによっては備わる機能を解説します。

ネットワークセキュリティ：不正アクセスとDDoS攻撃からの防御

Salesforceのネットワークセキュリティは、最新技術で強化されています。

最新のファイアウォール、侵入検知システム（IDS）、侵入防止システム（IPS）を導入し、不正アクセス、マルウェア、DDoS攻撃などからシステムを確実に保護しています。

さらに、ユーザーのブラウザとSalesforceサーバー間のすべての通信はSSL/TLS暗号化によって保護され、データの盗聴や改ざんを防ぎます。これは、Salesforceのデータ保護において非常に重要な要素です。

アプリケーションセキュリティ：脆弱性排除と継続的な監査で安全性を確保

Salesforceのアプリケーションセキュリティは、開発段階から脆弱性を排除するよう努めています。

ソフトウェア開発ライフサイクル（SDLC）にセキュリティを組み込み、設計・開発段階からセキュリティ脆弱性（OWASP Top 10など）を排除しています。

定期的なセキュリティ監査、第三者機関によるペネトレーションテスト（侵入テスト）、脆弱性スキャンを実施し、潜在的な弱点を継続的に特定・修正することで、常に高いセキュリティレベルを維持しています。

データセキュリティ：保存データも通信データも徹底暗号化

Salesforceのデータセキュリティの中核をなすのが、データの暗号化です。

保存されているデータ（At Rest）と通信中のデータ（In Transit）の両方で、業界標準の暗号化技術が適用されます。

これにより、万が一データが流出しても内容が読み取られるリスクを低減し、Salesforceのデータ保護を確実なものにしています。

アクセス制御の要：プロファイルとロールによるきめ細やかな権限管理

Salesforceのセキュリティの中核であり、非常に重要な機能がプロファイルとロールによるアクセス権限の制御です。

これらは、ユーザーがアクセスできるデータや実行できる操作を細かく制御するための強力な仕組みであり、Salesforceのデータ保護の基盤となります。

Salesforceプロファイル：ユーザーの「できること」を定義するアクセス権限

Salesforceプロファイルとは、ユーザーがSalesforceシステム内で「何ができるか」というアクセス権限の集合体です。

特定の役割を持つユーザーグループに対して、どのような操作を許可するかを細かく定義するための基本的なセキュリティ設定要素です。

プロファイルで設定できる主な権限:

オブジェクト権限: 各オブジェクト（例: 取引先、商談）に対して、ユーザーがそのレコードを「参照」「作成」「編集」「削除」できるかを個別に設定します。
項目レベルのセキュリティ（FLS: Field Level Security）: 各オブジェクトの個々の「項目（フィールド）」に対して、閲覧可能か、編集可能か、あるいは完全に非表示にするか、を細かく設定できます。
アプリケーション権限: どのアプリケーションやタブを利用できるかを制御します。
システム権限: レポートのエクスポート、ユーザーの作成・管理など、システム全体に関わる特別な権限です。
その他の設定: ログイン時間帯の制限、アクセスを許可するIPアドレスの制限、パスワードポリシーなど、Salesforceの安全性を高める多様な設定が可能です。

各ユーザーは必ず1つのプロファイルに割り当てられ、そのプロファイルで定義された範囲の操作を実行できます。

Salesforceロール：ユーザーの「見られるデータ」を定義するデータ可視性

Salesforceロールとは、主に組織の階層構造に基づいて「データの可視性」を管理する仕組みです。

プロファイルが「何ができるか」を決めるのに対し、ロールは「どのデータが見えるか」を定義する役割を持ちます。

階層構造の定義: 会社の組織図（例: CEO → 事業部長 → 部長 → 課長 → 担当者）のように、階層的に設定されます。
データの共有ルール: ロール階層が設定されている場合、上位のロールに属するユーザーは、下位のロールに属するユーザーが所有するレコードに自動的にアクセス（通常は閲覧、設定によっては編集も）できるようになります。これを「ロール階層によるデータの共有」と呼びます。

まずSalesforceプロファイルでユーザーができる操作の「基本的な範囲」を決め、次にSalesforceロールで組織階層に基づいた「データの共有範囲」を調整することで、きめ細やかなアクセス制御を実現し、Salesforceのデータ保護を強化しています。

合わせて読みたい

SFAとは？SFAのメリット・デメリットや導入時のポイントを解説

本記事ではSFAのメリット・デメリットからCRM・MAとの違いまでを解説します。SFAの具体的な機能や定着させるためのコツも紹介するので、本記事を参考にして営業活動の効率化および利益の最大化を目指しましょう。

監査証跡とフィールド履歴：コンプライアンスを支える透明性の確保

Salesforceのセキュリティとコンプライアンスを支えるもう一つの重要な機能が、監査証跡（Audit Trail）とフィールド履歴（Field History Tracking）です。これらはSalesforceの安全性と信頼性を高める上で不可欠な機能です。

監査証跡（Setup Audit Trail）：管理者による設定変更履歴を記録

目的: Salesforceの「設定」画面で行われた管理者による設定変更の履歴を記録します。

記録内容: ユーザーの作成、プロファイルの変更、カスタムオブジェクトの作成・変更、フローの有効化など、システム管理に関するあらゆる変更が「誰が」「いつ」「何を」「どのように」行ったか記録されます。

役割: システム管理の透明性を確保し、不正な変更がないかを監査できます。システムに問題が発生した際に、どの設定変更が原因であるかを特定するのに役立ち、Salesforceのデータ保護体制を裏付けます。

フィールド履歴（Field History Tracking）：データ変更の詳細を追跡

目的: Salesforceの各レコードの特定の項目（フィールド）に対して行われたデータ変更の履歴を記録します。

記録内容: 「誰が」「いつ」「どの項目を」「以前の値から新しい値に」変更したかが記録されます。

役割: 商談の金額変更、顧客のステータス推移、ケースの担当者変更など、データのライフサイクルを詳細に追跡できます。

データの整合性問題の解決や、特定のビジネスイベントの追跡に不可欠で、Salesforceの監査証跡として強力な機能です。

コンプライアンスと認証：国際基準に準拠した最高レベルの安全性

Salesforceは、ISO 27001、SOC 1/2/3、PCI DSS、HIPAA、FedRAMPなど、数多くの国際的なセキュリティ標準や業界固有の規制に準拠し、第三者機関による厳格な監査と認証を定期的に取得しています。

GDPR（EU一般データ保護規則）やCCPA（カリフォルニア州消費者プライバシー法）といった各国のデータプライバシー規制にも対応しており、Salesforceの安全性に対する高いコンプライアンス意識を持っています。

これらの機能は、企業のコンプライアンス（法令遵守）や内部統制において極めて重要な役割を果たします。

透明性の確保: 誰がどのような操作を行い、データがどのように変化したかを明確に記録することで、システムの透明性が高まります。
説明責任の向上: 不正な操作やデータの改ざんがあった場合に、原因を特定し、責任の所在を明らかにできます。
規制要件への対応: 金融、医療など特定の業界では、データの変更履歴の保持が規制で義務付けられている場合があります。

Salesforceの監査証跡やフィールド履歴は、これらのコンプライアンス要件を満たすために不可欠です。

詳細なSalesforceのセキュリティ情報については、Salesforce Trustサイトで確認できます。

合わせて読みたい

SalesforceとSFAを徹底解説！特徴や導入効果、CRM・MAとの違い

まとめ：Salesforceはあなたのビジネスをセキュアに加速する

Salesforceは、物理的、ネットワーク、アプリケーション、データレベルでの多層的なセキュリティ対策に加え、プロファイル、ロール、監査証跡といった強力なアクセス制御と追跡機能を提供しています。

これにより、企業は安心してSalesforceにデータを預け、ビジネスを安全に推進することができます。