Cloud Security Alliance 「Salesforce向けクリティカルコントロールの実装」を公表

こんにちは、丸山満彦です。

Cloud Security Alliance が「Salesforce向けクリティカルコントロールの実装」を公表していますね。。。今後、クラウドの活用がますます増えていくと思いますのでSalesforceを活用している企業は確認した方が良いかもですね。。。

20のコントロールについて、Salesforce等のサイトへのリファレンスがありますね。。。

 

● Cloud Security Alliance: CSA

・2021.06.15 Critical Controls Implementation for Salesforce

 

Critical Controls Implementation for Salesforce	Salesforce向けクリティカルコンロロールの実装
The Salesforce Platform can be a valuable tool for organizations to build and test applications. However, certain security changes are needed when an organization deploys Salesforce in the cloud. This whitepaper covers 20 critical controls that will help an organization determine what those necessary changes should be. These controls map to CSA’s overarching Top 20 Critical Controls for Cloud Enterprise Resource Planning Customers.	Salesforce プラットフォームは、組織がアプリケーションを構築してテストするための貴重なツールとなります。しかし、組織がSalesforceをクラウドで展開する際には、特定のセキュリティ上の変更が必要となります。このホワイトペーパーでは、そのような必要な変更が何であるかを判断するのに役立つ20の重要なコントロールを取り上げています。これらの対策は、CSAが包括的にまとめた「クラウド型基幹業務システムの顧客に対する重要な対策トップ20」に対応しています。
Please note that this is a reference document whose purpose is to promote best practices for cloud deployments of the Salesforce Platform. It does not replace Salesforce's documentation and specific instructions. Specifically, this guide is to be used as part of the Enterprise Resource Planning Working Group's ongoing dialogue.	この文書は、Salesforce Platform のクラウド展開におけるベストプラクティスを促進することを目的とした参考資料です。この文書は、Salesforce の文書や具体的な指示に代わるものではありません。この文書は、エンタープライズリソースプランニングワーキンググループの継続的な対話の一環として使用できます。
Key Takeaways:	重要なポイント
・The rationale for 20 critical controls for the Salesforce Platform, including: secure authentication, user accounts management, segregation of duties, change management, secure integrations and API, continuous monitoring, data encryption, continuous compliance, and more	・Salesforce Platform における 20 の重要な統制（安全な認証、ユーザアカウント管理、 職務分離、変更管理、安全な統合と API、継続的な監視、データの暗号化、 継続的なコンプライアンスなど）の根拠。
・The specific requirements and steps needed to implement the 20 critical controls	・20の重要な統制を実施するために必要な具体的な要件と手順
Who It’s For: New adopters and existing customers of Salesforce who want to achieve a baseline of security.	誰が対象なのか：Salesforce の新規導入者および既存のお客様で、基本的なセキュリティレベルを達成したい方。

 

・[PDF] Critical Controls Implementation for Salesforce

Helping Organizations Securely Migrate to Salesforce Applications in the Cloud

Introduction	はじめに
How To Use This Document	このドキュメントの使用方法
Controls Implementation	コントロールの実装
USR01 - Secure Authentication	USR01 - 安全な認証
USR02 - User Accounts Management	USR02 - ユーザアカウント管理
USR03 - Role-Based Access Control	USR03 - 役割ベースのアクセス制御
USR04 - Emergency Access	USR04 - 緊急時のアクセス
USR05 - Segregation of Duties	USR05 - 職務権限の分離
USR06 - Secure User Provisioning/Deprovisioning	USR06 - セキュアなユーザプロビジョニング／デプロビジョニング
USR07 - Accounts Security	USR07 - アカウントのセキュリティ
APP01 - Secure Landscape	APP01 - 安全な環境
APP02 - Secure Baseline Configurations	APP02 - 安全なベースライン設定
APP03 - Security Vulnerabilities	APP03 - セキュリティの脆弱性
APP04 - Secure Communications	APP04 - 安全な通信
APP05 - Change Management Controls	APP05 - 変更管理コントロール
APP06 - Secure Extensions	APP06 - 安全な拡張機能
INT01 - Secure Integrations and Application Programming Interface (API)	INT01 - 安全な統合とアプリケーション・プログラミング・インターフェース (API)
DAT01 - Continuous Monitoring	DAT01 - 継続的モニタリング
DAT02 - Data Separation	DAT02 - データの分離
DAT03 - Data Encryption	DAT03 - データの暗号化
BUS01 - Inventory of Business Assets, Data, and Processes	BUS01 - ビジネス資産、データ、およびプロセスのインベントリ
BUS02 - Business Process Controls	BUS02 - ビジネス・プロセス・コントロール
BUS03 - Continuous Compliance	BUS03 - 継続的なコンプライアンス

 

参考

・2019.06.10 Top 20 Critical Controls for Cloud ERP Customers

Working Group: Enterprise Resource Planning

This document aims to be a guide for assessing and prioritizing the most critical controls that organizations should take into account when trying to secure their business-critical applications in the cloud. The document also contains an overview of cloud ERP security, control details and associated threats and risks.