Salesforce環境のフォレンジックガイドが登場 調査で注意すべき3つの指針：セキュリティニュースアラート

Salesforceはセキュリティインシデント対応を支援するフォレンジック調査ガイドを公開した。活動ログやユーザー権限、バックアップデーターを軸に被害範囲の特定や原因解明を迅速化する手法を示している。

[後藤大地，有限会社オングス]

　Salesforceは2025年8月27日（現地時間）、セキュリティインシデント対応を支援するためのフォレンジック調査ガイドを公開した。活動ログやユーザー権限、バックアップデータの3つを中心とした調査手法を整理し、被害範囲の把握や原因究明を迅速に実行するための指針を示している。

被害範囲特定に不可欠な3つの情報源　詳細な活用方法を解説

　Salesforceは「Salesforce」環境における潜在的なセキュリティインシデントの調査方法について「特定のユーザーがそのときに何をしていたのか」「どのデータが影響を受けたのか」といった典型的な質問が顧客から多く寄せられると説明する。

　組織や事案ごとに状況は異なるが、これを踏まえて同社は共通して活用できる情報源として活動ログ、ユーザー権限、バックアップデータの3点を提示している。

　活動ログについては、標準で利用できるログイン履歴や「Setup Audit Trail」に加え、「Shield Event Monitoring」を導入している場合、APIコールやレポートのエクスポート、ファイルのダウンロードといった詳細な記録を取得できる。「B2C Commerce Cloud」を利用している組織では取引に関連する追加ログが利用可能とされている。

　ユーザー権限の把握は初期影響評価において不可欠とされている。Salesforce環境ではプロファイルや権限セット、共有ルール、ロール階層など複数の要素が組み合わさって権限が決定されるため、確認は複雑になることが多い。そのため、「Who Sees What Explorer」を使って一元的に可視化することが推奨されている。権限が制限されていれば影響を最小限に抑えられるが、広範な権限が付与されている場合には詳細な調査が必要になる。

　ログ分析については「Real Time Event Monitoring」（RTEM）、「Event Log Objects」（ELO）、「Event Log Files」（ELF）の3種類が強調されている。RTEMは最大6カ月間の保持が可能で、ML（機械学習）を利用した異常検知イベントを含む。

　ELOは低遅延で取得でき、SalesforceのAPIから直接照会できる。ELFはCSV形式で提供され、セキュリティ監視やパフォーマンス分析に活用できるが、即時性は持たない。異常検知イベントは誤検知の可能性もあるため、追加調査を実施することが求められる。

　ログを継続的に監視し、平常時の挙動を把握しておくことで異常を識別しやすくなるとされる。「Salesforce Analytics Studio」を使ってダッシュボードを構築すれば、特定ユーザーの行動履歴を追跡し、時系列での分析が容易になる。APIリクエストの急増などは、内部不正や外部攻撃の兆候として精査すべき事例にあたる。

　データ流出が関与する事案において、ログの詳細から持ち出されているレコードやフィールドを突き止められる。特にRTEMの「APIEventStream」は、どのデータが照会されているかまで記録している点で有用だ。こうした情報は、影響範囲の特定や関係者への通知、規制当局への報告などに役立つ。バックアップはデータの整合性確認や復旧の基盤となる。

　加えて、「Transaction Security Policies」（TSP）を設定すれば、RTEMイベントに基づく自動対応が可能となる。機密項目を含むレポートのダウンロードを遮断し、MFAの要求やSlack通知の発火といったリアルタイムの対処を実行できる。外部公開ポータルで不正アクセスを検知した場合には、IPアドレスを特定し、ゲストユーザー権限を確認することで被害拡大を防げる。

　Salesforceのガイドラインのようにあらかじめ備えておくことで障害対応の迅速化とコスト削減が可能になり、問題の拡大を防止できる。重要な顧客データを扱う組織にとって、平時からの準備と正確な調査手法の確立が有効ということが示されている。