Salesforce 構成設計者として、お客様の組織全体のセキュリティとスケーラビリティを確保する責務を担っています。今日の高度なサイバー脅威に直面する中で、堅牢な認証メカニズムを実装するだけでは不十分です。誰が、いつ、どこから、どのようにシステムにアクセスしているかを詳細に追跡・分析する能力、すなわちLogin Forensics (ログインフォレンジック) が不可欠となります。本記事では、Salesforce プラットフォームにおけるログインフォレンジックの重要性、その実現方法、そしてアーキテクトとして考慮すべき設計上のポイントを詳しく解説します。
背景と応用シナリオ
Login Forensics とは、ログインイベントに関連するデータを収集、分析し、セキュリティインシデントの調査、不正アクセスの検知、コンプライアンス遵守の証明を行うプロセスです。企業が Salesforce に顧客データ、財務データ、知的財産などの機密情報を保存するようになると、これらのデータへのアクセス制御は最重要課題となります。
アーキテクトとして、我々は以下のようなシナリオを想定し、ソリューションを設計する必要があります。
シナリオ1:アカウント乗っ取りの検知
あるユーザーのアカウントが、短時間に東京とニューヨークという物理的に不可能な場所からログインされた場合、これは典型的なアカウント乗っ取りの兆候です。Login Forensics により、このような異常な地理的アクセスパターンを即座に検知し、アカウントのロックやパスワードリセットなどの対応を自動化する仕組みを構築できます。
シナリオ2:内部不正の監視
退職予定の営業担当者が、深夜に通常業務では考えられない量のレポートをエクスポートしている場合、データ持ち出しのリスクが考えられます。Login Forensics は、ユーザーの行動プロファイル(通常のログイン時間、IPアドレス範囲、利用デバイスなど)を基に、逸脱した行動を警告します。
シナリオ3:コンプライアンス監査への対応
SOX法やGDPRなどの規制では、特定のデータへのアクセス記録を長期間保存し、監査要求に応じて提出することが求められます。Login Forensics のためのデータ収集・保持戦略を設計することで、これらのコンプライアンス要件を効率的に満たすことができます。
原理の説明
Salesforce で Login Forensics を実現するためのデータソースは複数存在し、それぞれ特性が異なります。アーキテクトは、要件のレベルに応じて最適なコンポーネントを組み合わせたソリューションを設計する必要があります。
1. Login History (ログイン履歴)
これは最も基本的なデータソースであり、追加ライセンスなしで利用できます。ユーザーのログイン試行に関する情報(日時、ソースIP、ステータス、アプリケーション、ブラウザなど)を提供します。標準機能としてアクセスが容易ですが、データの保持期間が6ヶ月間に限定されており、詳細な分析には情報が不足する場合があります。
2. Event Monitoring (イベントモニタリング)
より高度なフォレンジック分析の核心となるのが Event Monitoring (イベントモニタリング) です。これは Salesforce Shield の一部として提供されるアドオン機能で、ユーザーアクティビティに関する非常に詳細なログデータを EventLogFile オブジェクトとして提供します。Login Forensics に関連する主要な EventType (イベントタイプ) には以下のようなものがあります。
- Login: ユーザーがUIまたはAPI経由でログインした際の詳細情報。TLSのバージョンや暗号スイートといった、Login History には含まれないセキュリティ関連情報も記録されます。
- Logout: ユーザーのログアウトイベント。
- LoginAs: システム管理者が別のユーザーとしてログインした場合のイベント。特権アクセスの監視に不可欠です。
- API: API経由での認証・操作イベント。インテグレーションからの不審なアクセスを追跡するために重要です。
EventLogFile は、API を通じてプログラムでアクセス可能であり、SIEM (Security Information and Event Management) ツールとの連携に最適です。また、Salesforce Shield を契約している場合、データの保持期間を最大10年まで延長できるため、長期的な監査要件にも対応できます。
3. Transaction Security Policies (トランザクションセキュリティポリシー)
これは、リアルタイムでイベントを監視し、特定の条件に合致した場合にアクション(ブロック、多要素認証の要求など)をトリガーする機能です。例えば、「海外のIPアドレスからのログイン」や「短時間に大量のデータエクスポート」といったポリシーを定義し、脅威を未然に防ぐプロアクティブなセキュリティ対策を実現します。
アーキテクチャとしては、Event Monitoring で収集した詳細なログデータを外部のデータウェアハウスや SIEM ツール (例: Splunk, Sumo Logic) に集約し、そこで相関分析や機械学習を用いた異常検知を行うのが最も堅牢でスケーラブルなアプローチです。
サンプルコード
Event Monitoring のデータにアクセスする最も一般的な方法は、SOQL または REST API を使用して EventLogFile オブジェクトを照会することです。以下に、Salesforce の公式ドキュメントで示されている標準的なクエリの例を挙げます。
SOQL を使用した EventLogFile のクエリ
このクエリは、特定の日に発生した「Login」タイプのイベントログファイルを取得します。Apex や開発者コンソールから実行できます。
// EventLogFile オブジェクトから 'Login' イベントタイプのログファイルを取得する // EventType フィールドで取得したいログの種類を指定します。 // LogDate フィールドで対象の日付を指定します。日時の範囲ではなく、特定の日付を指します。 SELECT Id, EventType, LogDate, LogFile, LogFileFieldNames, LogFileFieldTypes FROM EventLogFile WHERE EventType = 'Login' AND LogDate = YESTERDAY
注: 取得される LogFile フィールドは CSV 形式のデータを含んでおり、これを解析することで個々のログインイベントの詳細(UserId, SourceIp, TlsProtocol など)を得ることができます。
REST API を使用した EventLogFile のクエリ
外部の SIEM ツールや監視システムからデータを取得する場合、REST API を使用するのが一般的です。以下の `curl` コマンドは、SOQL クエリを REST API 経由で実行する例です。
# Salesforce REST API を使用して EventLogFile を照会する curl コマンドの例 # -H "Authorization: Bearer YOUR_ACCESS_TOKEN" : 認証用のアクセストークンを指定します # -H "X-PrettyPrint:1" : レスポンスを整形して表示します # YOUR_INSTANCE.salesforce.com : あなたの Salesforce インスタンスの URL に置き換えてください # q=... : URLエンコードされたSOQLクエリを指定します curl "https://YOUR_INSTANCE.salesforce.com/services/data/v58.0/query/?q=SELECT+Id,EventType,LogDate,LogFile+FROM+EventLogFile+WHERE+EventType='Login'+AND+LogDate=YESTERDAY" \ -H "Authorization: Bearer YOUR_ACCESS_TOKEN" \ -H "X-PrettyPrint:1"
この API コールにより、JSON 形式でクエリ結果が返され、外部アプリケーションで容易に処理できます。これは、セキュリティ監視の自動化アーキテクチャを構築する上での基本的なビルディングブロックとなります。
注意事項
Login Forensics のソリューションを設計・実装する際には、以下の点に注意が必要です。
権限 (Permissions)
EventLogFile オブジェクトにアクセスするには、API を実行するユーザーに「イベントログファイルを表示」および「API 有効」権限が必要です。最小権限の原則に従い、この権限はインテグレーション専用のユーザーにのみ付与することを推奨します。
API 制限 (API Limits)
EventLogFile のクエリは、Salesforce の日次 API コール制限を消費します。大規模な組織では、ログファイルの量が膨大になる可能性があるため、API の消費量を慎重に計画する必要があります。Bulk API 2.0 を使用して大量のデータを効率的に取得するなど、API コール数を最適化するアーキテクチャを検討してください。
データ量とストレージ (Data Volume and Storage)
Event Monitoring は大量のデータを生成します。これらのログデータを外部に保存・分析する場合、ストレージコストとデータ転送のパフォーマンスを考慮した設計が必要です。例えば、データを圧縮してから転送する、必要なイベントタイプのみを定期的に取得するなどの工夫が考えられます。
ライセンス (Licensing)
前述の通り、Event Monitoring および長期間のデータ保持は Salesforce Shield のアドオンライセンスが必要です。ソリューションを提案する際には、このライセンスコストを必ず予算に含める必要があります。ライセンスの有無によって、実現可能なフォレンジックのレベルが大きく異なるため、初期の要件定義で明確にしておくことが重要です。
まとめとベストプラクティス
Salesforce 構成設計者として、我々は Login Forensics を単なる事後対応のツールとしてではなく、プロアクティブなセキュリティ体制の中核として設計する必要があります。
ベストプラクティス:
- 階層的なアプローチの採用: まずは標準のログイン履歴で基本的な監視を開始し、より高度な要件に応じて Event Monitoring を導入する、という段階的なアプローチを取ります。
- 中央集権的なログ管理の設計: Salesforce のイベントログを、他のインフラ(Active Directory, ファイアウォールなど)のログと合わせて SIEM ツールに集約します。これにより、組織全体の脅威を相関的に分析し、インシデントの全体像を迅速に把握できます。
- 自動化とオーケストレーションの推進: 異常なログインイベントを検知した場合、ServiceNow や Jira などのチケットシステムに自動でインシデントを起票したり、SOAR (Security Orchestration, Automation and Response) ツールと連携してユーザーアカウントを一時的に無効化したりするなど、インシデント対応の自動化を設計に組み込みます。
- 定期的なレビューと改善: 脅威のトレンドは常に変化します。設計した監視ルールやポリシーが現在も有効であるか、定期的に見直しを行い、新たな脅威に対応できるようにセキュリティアーキテクチャを継続的に改善していくことが不可欠です。
堅牢な Login Forensics アーキテクチャを構築することは、お客様の最も重要な資産である「データ」と「信頼」を守るための投資です。技術的な実現可能性だけでなく、コスト、運用、コンプライアンスといった多角的な視点から、最適なソリューションを設計・提案することが我々アーキテクトの使命です。
コメント
コメントを投稿