デロイト トーマツ コンサルティング合同会社

顧客データ管理を中心とする SFA にはじまり、カスタマーサー ビスやマーケティング、EC など、ビジネスを支えるさまざま な機能を提供している Salesforce は、海外はもちろん、国内 でも多くの企業に採用されている。

特に最近は「データ集約 基盤や BI ツールなども組 み合わせ、より幅広く、 より深く活用したいと考 えるお客さまが増えてい ます」と、デロイト トー マツ コンサルティング （DTC）のディレクター、 デロイト トーマツ コンサルティング ディレクター 山下 桂史 氏 山下桂史氏は説明する。 マルチクラウド環境を組み合わせたより複雑な案件も増えて いるという。

もう一つの傾向は、流通、製造、医薬品といった民間企業だけ でなく、官公庁や地方自治体が Salesforce を導入するシーンが増えていることだ。

民間サービスでスピードが重要なのはもちろん、住民向けの 公共サービスにおいてもコロナ禍や災害対策、経済支援など、 あらゆる場面でサービス提供の迅速さが求められている。

「政府でも自治体でも、施策をタイムリーに実施することが求 められています。そのためには限られた期限の中、短期間でシ ステムを構築してリリース後も変化する情勢に合わせてどん どんエンハンスしていくシステムが必要です」（山下氏）

徐々に浸透してきた「責任共有モデル」 バランスの取れた対策を

DTC はそんなニーズに対し、プロジェクト全体をリードして 支援する「トラディショナル職」、プログラミングなどの実装 部分を支援する「デリバリー職」、複数のプロジェクトを俯瞰 （ふかん）して全体の品質向上を支援する「スペシャリスト 職」という 3 種類の専門家が協力しながら、約 350 人体制でSalesforce 導入の検討から計画立案、設計・開発、運用まで のプロセス全体を支援している。

プロジェクトをどう実現するかもさることながら、近年、特に 注意が払われる領域がセキュリティ対策だ。

「Salesforce 自 体 は セ キ ュ ア に で き て い ま す が、クラウドの世界では 責任共有モデルが基本で す。インフラやプラット フォームのセキュリティ は Salesforce 側 が 担 保しますが、その上での機 能やアプリケーションの 選択については利用者側 が責任を負うというように、両者で責任が共有されます」と DTC の Salesforce 認定テクニカルアーキテクトである外園 和嗣氏（シニアスペシャリストリード）は説明する。

かつては、「セキュリティも含め、全て Salesforce 側がうま くやってくれるだろう」という過度の期待が寄せられたことも あった。だが、ゲストユーザーのアクセス権限の設定不備に起 因する問題などを機に、セキュリティに対する温度感は全体に 上昇し、対策しない場合のリスクについても経営層を含めて 認識が広がっている。このため最近では責任共有モデルが徐々 に浸透し、その上で自分たちが守るべきところはどこかを検討 する動きがスムーズになっているという。

次の問題は、何を、どこまで、どのように守るかだ。セキュリ ティ対策の中には、設定することによって想定通りに動作しな い場合や拡張性を犠牲にしてしまうものもある。いくらセキュ リティ強化のためだからといって、何でも採用してしまうと当 初の目的を果たせなくなる恐れもある。

そこで、Salesforce が提供する機能と顧客が策定している社 内セキュリティ基準やプロジェクトごとに定める非機能要件 がどう合致しており、どう適合させるか、バランスを取りなが ら満たしていくことが DTC の腕の見せどころだ。

「例えばデータを暗号化してしまうと、データの検索ができな くなる可能性があります。そこで、暗号化するほどではない データについては、アクセス権限を適切に設定して関係のない 他人からはデータが見られない状態を担保しましょう、といっ た対策をお客さまと一緒にバランスを考えながら提案してい ます」（外園氏）

不特定多数からのファイル受信 スキャンが不可欠なワケ

「ガチガチに固めようと思えばいくらでもできますが、守るべ きものは何かを確認し、どんな手段があるかを提示した上でセ キュリティと拡張性、パフォーマンスなどとのバランスを取っ て落としどころを見つけています」（外園氏）

セキュリティを担保しつつプロジェクトを実現するには、いく つか考慮すべき事柄がある。一つのセキュリティ対策だけで済 むものではなく、前述のデータの暗号化やユーザー権限の設 定、外部攻撃や内部不正に備えたログやモニタリングなどを組 み合わせて検討しなければならない。

もう一つ見落とされがちな点で、B2C のサービス基盤として 活用する場合に重要なポイントが、アップロードされるファイ ルやコンテンツのスキャンだ。

コンシューマー向けのサービス、特に銀行や保険といった金融 サービスや行政サービスでは、本人確認プロセスの一環とし て、身分証明書のデータなどを Salesforce にアップロードす る場面がある。だが不特定多数がアクセスする以上、意図的に、 あるいは意図しなくても、悪意あるプログラムなどが紛れ込む 可能性は否定できない。そこで問題が起きると、そのサービス やビジネスそのものが止まってしまう可能性もあり、リスクは 非常に高い。

付き合いのある特定の企業とのみやりとりする B2B での活用 でさえ成りすましのリスクの可能性があることを考えると、さ らに広範な一般ユーザーが利用するサービスではファイルに対するセキュリティスキャン機能は必須と言える。

導入はわずか数時間 セキュアな環境を手軽に実現する CPSF

そのコンテンツのセキュリティを担保するスキャン機能を 実現するのが、ウィズセキュアの「WithSecure™ Cloud Protection for Salesforce」（CPSF）だ。Salesforce 専用 に開発されたセキュリティソリューションで、国内でも複数の 民間企業のほか、大阪府の新型コロナウイルス陽性者管理サー ビスなどさまざまな事業に採用されている。

DTC が CPSF を推奨する理由はいくつかある。一つ目は導入 のしやすさだ。

「かつて別のプロジェクトで、独自にコンテンツをスキャンす るシステムを Salesforce とは別に構築したことがありまし た。この場合、別のサービスと連携するため複雑性が高まり、 考慮しなければいけないポイントが増えてしまいました。ま た、見通せないコストが生じる可能性もありました」（外園氏）

構築するための開発者リソースの用意や設計・開発・テストな どの工数が必要なため、仕組みを実現するために数週間程度の 期間がかかったという。

これに対し CPSF は Salesforce にシームレスに統合されて おり、Salesforce のアプリストアの AppExchange からイ ンストールするだけで利用できる。

「本当に簡単で、確認まで含めて数時間程度で作業が終わります」（外園氏）

ひいては、タイトなスケジュールが組まれているサービス開発 でも迅速に展開可能だ。

Salesforce に統合されているため、運用作業を一元化できる だけでなく、個人情報の置き場所を限定できることも利点だ。 「お客さまからすると、個人情報を複数の場所に散在させると 管理の考慮点が増大します。『できれば一つのクラウドに集約 させたい』というご要望は多くあります」（山下氏）

スキャンによるパフォーマンスの劣化がほとんど生じないこ ともメリットだ。

「申請などは、期限直前にアクセスが急増します。申請が集中 しても処理できるパフォーマンス設計が必要ですが、CPSF に 関してはそうした部分は気にしなくて済みましたし、実際に問 題なく動きました」（山下氏）

もちろん、本来の機能であるセキュリティに関しても安心でき る性能を備えている。特に重宝しているのが、マルウェアの有 無だけでなく悪意ある URL を検知する機能だ。

「最近はサイバー攻撃者の手段も巧妙になっています。最初は 無害なサイトにしておいてスキャンをかいくぐり、一定期間を 置いてから悪意あるサイトに変える手口がありますが、CPSF はそれを検知してくれます。ファイルそのものだけでなく中身 の URL がアクセスする先まで見てくれるというのは非常に安 心です」（山下氏）

Salesforce と CPSF の組み合わせは大阪府の子育て世帯向け の食費支援事業で採用され、100 万件を超える申請を受け付 けた。他の自治体のサービスも含めると 300 万～ 400 万人 のユーザーがこの組み合わせを活用しているが今のところト ラブルなく運用できており、スキャンによって検出された脅威 もない。

検出がないからといって、無駄な投資では決してないという。

「セキュリティインシデントはいつ何時、何が起こるか分かり ません。行政が提供するのは、負荷が高く波があり、しかも急 を要する仕事です。にもかかわらずウイルス感染などが発生 してしまえば、それまでの準備が水の泡となってしまいます。 そういったリスクへの備えとして、やはり CPSF の導入は正 解だったと考えています」（山下氏）

事故後の対応ではコストが激増 リスクには先回りして対策を

セキュリティ対策は、やればやるほど金額や工数が膨らむの も事実だ。しかし、インシデントが発生してから対応すると、当初の想定の 10 ～ 20 倍といったコストがかかる。

「先回りしてリスクを摘んでおくために、最初の段階でセキュ リティを高めた状態でリリースすることが非常に重要ですし、 安心もできます。速いサイクルでスピーディーにシステムをデ リバリーすることも大事ですが、セキュリティとのバランスを 取って DX を推進することが重要でしょう」（山下氏）

そんなアプローチを実現する上で、セキュリティ企業として実 績のあるウィズセキュアが提供する CPSF は Salesforce の エコシステムの中でもユニークな存在であり、非常に重要な役 割を果たす。

「PC にウイルス対策ソフトを導入するのが当たり前になって いるのと同じように、ファイルのアップロードを伴うサービス であればコンテンツスキャンが必要です」（山下氏）

Salesforce ソリューションを扱う担当者は、セキュリティ対 策を見直し、それを手軽かつ強固に実装できる CPSF の導入 を検討してみてはいかがだろうか。