CRMのセキュリティ|選定時に確認すべきセキュリティ機能とは

「CRMを導入したいが顧客情報はきちんと管理されているの?」
「CRMを導入する上で、セキュリティ面が心配だ」

CRMは顧客との継続的な関係を構築する上で重要なツールであり、近年では導入する企業も増えてきています。しかしながら、CRMにはセキュリティ上のリスクも存在します。

導入や運用時にセキュリティ対策を講じる必要がありますが、「CRMのセキュリティとは何か」を理解しなければ、自社にとって必要な対策を選択することが難しいこともあります。

そこで本記事では、CRMの利用においてセキュリティが重要な理由と、CRMに備わっているセキュリティ機能について紹介します。

これから紹介するセキュリティ機能が付いた製品を選べば安心してCRMを活用できるので、ぜひ参考にしてください。

顧客管理にCRMを活用している企業の方、必見!

CRMを安全に使い続けるには、どのような対策をすればいい?

最新バージョンへ適宜アップデートする体制を整え、セキュアな状態を維持することが必要不可欠です。また、実装したコードに潜む脆弱性を見落とさないためにも、Webシステム全体の脆弱性をチェックし、最適な対策を実施する工程を加えましょう。まずは、こちらの資料をご覧ください。

CRMでセキュリティが重要である理由

CRM(Customer Relationship Management)は、企業が顧客との関係を管理するために活用するツールです。CRMを利用することで、顧客データの収集、分析、および共有が簡単に実施できるので、営業、マーケティング、カスタマーサクセスなどの業務プロセスを改善することができます。

しかし、CRMには顧客の個人情報や機密情報が含まれるため、セキュリティが非常に重要です。CRMのセキュリティ機能が不十分だと、以下のようなリスクが想定されます。

データ漏洩のリスク

顧客の個人情報や契約内容など、機密性の高い情報が漏洩すると、企業の信頼性が損なわれ、法的な問題が発生する可能性があります。

サイバー攻撃のリスク

オンラインでアクセス可能であるため、データの盗聴や破壊など不正アクセス攻撃を受ける危険性があります。

例えば、契約内容のような機密情報に不正アクセスされてしまうと、顧客との取引内容を知られてしまうだけでなく、情報の改ざんや削除が行われてしまう可能性もあります。

また、顧客の連絡先が第三者に漏れてしまった場合、顧客のメールアドレスが不正に利用されてしまい、ウイルス付きのファイルが送られるなどの攻撃に晒される可能性も出てきます。もしこれらの事態が発生すれば、自社の信頼が失われてしまいます。

このように、CRMはオンライン上で機密性の高い情報を扱っているため、特にセキュリティ対策に留意する必要があります。

導入時に確認したいCRMのセキュリティ機能

CRM導入時はセキュリティのスペックを確認し、安全性が確保された製品を選ぶことが重要です。

主要なセキュリティ機能として、以下が挙げられます。

  • 権限制御機能
  • 不正アクセス防止機能
  • データ暗号化機能

1. アクセスレベルを管理する権限制御機能

権限制御機能とは、CRM内でのアクセス権限を制御するための機能です。一般的にCRMには多くの機能があり、それらを全てのユーザーが自由に操作することは情報漏洩や誤操作などのリスクにつながるため望ましくありません。そのため、権限制御機能を利用して、各ユーザーに必要な機能やデータにのみアクセスできるように制御します。

具体的には、管理者は各ユーザーやグループを、必要な情報だけにアクセスできるよう設定します。例えば、カスタマーサクセス担当者にはサポート履歴にアクセスする権限を与えるが、その他の機能にはアクセスできないように制限することができます。

また、権限制御機能には、階層的な権限設定が可能な場合があります。例えば、役職や組織単位での設定を行い、さらに上司が部下の権限を設定するなどです。製品によっては、組織変更にも柔軟に対応できる機能もあるので、自社の運用に適した設定が可能か確認すると良いでしょう。

さらに、情報の取り扱い方に関するルールを定め、ルールに基づいた権限設定が実施できれば、情報管理の効率化や情報セキュリティの向上にもつながります。

ポイントとなるのは権限制御機能が自社の運用に適しているかという点です。

CRMの権限管理機能を示した図 エーアイセキュリティラボ

SFAとの違い

CRMは顧客との継続的な関係を構築・強化するためのツールとして利用されますが、CRMと並び称されることが多いツールにSFA(Sales Force Automation)があります。もともとこの2つはまったく別のツールでしたが、いずれも利用の主目的が営業力強化にあることから、同列に語られることが多くなっています。

CRMとSFAの大きな違いは業務で活用される範囲です。マーケティングからサポートサービスまでの幅広い業務で活用されるのがCRMで、SFAはその一部の営業活動を支援するためのツールという位置付けになります。

SFAについて詳しく知りたい方は「SFAで重視すべきセキュリティ機能|自社に最適な選び方とは」にて紹介していますので、是非ご一読ください。

2. 不正アクセスを防止する4つの機能

CRMにはネットワーク経由でアクセス可能であるため、外部からの不正アクセスによる顧客情報の漏えいや改ざんなど、様々な被害が想定されます。そのため、以下のような不正アクセス防止機能が備わっているか、確認するとよいでしょう。

  • 多要素認証
  • IPアドレス制限
  • ファイアウォール
  • WAF

2-1. 多要素認証

CRMで最も一般的なのが、所持デバイス情報による多要素認証です。多要素認証とは、ログインする際に2つ以上の要素を使って本人確認する方法で、主に下記のような情報が使われます。

  • 所持デバイス情報:2つ以上の端末を使って認証
  • 知識情報:住所、好きな食べ物などユーザー本人しか知らない情報で認証
  • 生体情報:顔、指紋など身体的特徴を照合

仮に第三者が不正ログインを試みても、ユーザの所持端末(スマホやタブレットなど)に送られるパスコードが無ければログインできません。

2-2. IPアドレス制限

IPアドレス制限とは、CRMへのアクセスを許可するIPアドレスの範囲を指定することで、不正アクセスや情報漏洩のリスクを低減する方法です。

IPアドレス制限を行うことで、特定のIPアドレスからのアクセスしか許可されないため、不正アクセスを試みる外部からの攻撃を防止することができます。また、社内ネットワークやVPN接続からのアクセスのみを許可することで、セキュリティレベルを更に向上させることができます。

ただし、IPアドレス制限は柔軟性に欠けるため、外出先や自宅からのアクセスが必要な場合には制限を外す必要があります。そのため、必要に応じてIPアドレス制限を調整することが必要です。

2-3. ファイアウォール

ファイアウォールとは、ネットワークと外部との間に設置されたソフトウェアやハードウェアで、ネットワーク上を流れる通信を監視・制御し、不正な通信を遮断することができます。CRMにおいて、ファイアウォールは外部からの不正な通信をブロックしたり、許可された通信のみを通過させるために利用されます。

ファイアウォールは、許可していないIPアドレスやポート番号などネットワークレベルでの防御を行いますが、Webアプリケーションに対する攻撃を防ぐ役割はありません。CRMはWebアプリケーションとして提供されているため、後に紹介するWAFや暗号化機能など他のセキュリティ機能を併用する必要があります。

2-4. WAF

WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙った攻撃や不正なアクセスからWebサーバーを保護するための機能で、下記のような攻撃に対応しています。

  • 通信の監視と不正アクセスの遮断
  • 不正侵入・サイバー攻撃などのログを記録
  • URLとIPアドレスを指定してアクセスをコントロール

ファイアウォールは外部からのアクセスに対する防御に特化し、WAFはWebアプリケーションに対する攻撃に対する防御に特化しています。両者を併用することで、より高度なセキュリティ対策が可能となります。

WAFについては「WAFとは|どこまで守れる?セキュリティ対策の効果をわかりやすく解説」にて紹介していますので、より詳しく知りたい方は是非お読みください。

3. データを暗号化する3つの機能

データが盗難・解析されないように、CRMには以下の暗号化機能が備わっています。

  • 通信の暗号化機能
  • データの暗号化機能
  • ディスクの暗号化機能

3-1. 通信の暗号化機能

CRMに顧客情報を入力するときに通信が暗号化されていないと、通信を傍受されていた場合、顧客情報が漏えいする可能性があります。
そのため、ほぼ全てのCRMには通信を暗号化する機能が備わっています。

通信の暗号化技術はいくつかありますが、最もメジャーなのがTLSです。かつてはSSLやTLS 1.0/1.1という技術が使われていましたが、セキュリティに問題があるため推奨されていません。CRMを選ぶ際にはTLS1.2以降のバージョンに対応しているか確認しましょう。

3-2. データの暗号化機能

データの暗号化とは、CRMに保存された重要な情報を保護するために、データを解読不可能な形式に変換する機能です。万が一、不正アクセス等で情報が盗まれても、データは暗号化され解読できない状態になっているためリスクを低減できます。

多くのCRMではメールや電話番号、URLなど項目ごとに個別で暗号化することが可能です。APIと連携できたり、暗号化したデータをエクスポートする際に自動で復号できたりする製品もあります。

3-3. ディスクの暗号化

ソフトウェアだけでなく、CRMサービス提供元のデータセンターにあるハードディスクも暗号化できます。ディスクの暗号化を行うことで、物理的なデバイスやメディアを盗難や紛失から保護し、重要なデータが第三者に不正アクセスされることを防ぎます。

ただし、ディスクの暗号化は一定のコストやパフォーマンスの低下を伴う場合があります。そのため、必要性を十分に検討した上で導入を検討する必要があります。

Webフォームのセキュリティ対策

Webフォームとは、企業のWebサイトなどに資料申し込みなどの入力フォームを設置して、顧客からの問い合わせや申し込みを受け付ける機能です。

CRMは顧客管理を前提に開発されているため、CRMで提供されているWebフォーム機能であれば、必要なセキュリティ対策が講じられており、そのまま使うことができます。

また、CRMのWebフォームに入力された情報は、自動でCRMのデータベースに連携されるので、新規顧客(リード)の情報や、既存顧客の動向がそのまま反映される点も便利です。

CRMのWebフォームは予め入力項目などが準備されていて、直感的な操作で簡単に作成できますが、一方でシンプルなフォーマットが多かったり、CMSツールとの連携が必要になる場合があります。

「多彩なWebフォームを作成したい」「企業サイトにCRMのWebフォームを埋め込みたい」場合は、プラグインやソースコードの埋め込みなど拡張機能を使い、CRMと他ツールを相互連携します。

しかし、別のサービスやツールとの連携が発生する場合は、CRMの範疇から外れてしまうため、セキュリティに注意を払う必要があります。

WordPressに存在する脆弱性

CMSの一つであるWordPressは利用者の多い人気のツールです。企業のWebサイトをWordPressで作成している方も多いのではないでしょうか。

WordPressの脆弱性としてよく取り上げられるのが「プラグインの脆弱性」です。「WordPressの脆弱性|今すぐ実践したい10のセキュリティ対策」では、WordPressを使う上で確認しておきたいセキュリティ対策について説明しています。CRMとWordPressを連携している方はお読みいただき、WordPressの脆弱性について知っていただくことをおすすめします。

フォームに潜む脆弱性 SQLインジェクション

資料請求やアンケート回答などでWebサイトにフォームを置いている企業は多いことでしょう。企業やユーザーにとって便利なツールである一方、フォームに脆弱性があると、第三者が不正な操作を行うSQL文(文字列)をフォームに注入して企業の情報に不正なアクセスを試み、情報を搾取したり漏えいさせる攻撃を仕掛ける可能性があります。

SQLインジェクションの対策|被害事例と攻撃が起こる仕組みを解説」では、攻撃者がどのようにフォームから攻撃をしかけてきて、どのような被害が発生してしまうのか、そして対策方法を紹介しています。
ご一読いただき、フォームのセキュリティ対策を進められることをおすすめします。

脆弱性診断による網羅的なセキュリティ対策がおすすめ

WebサイトやWebアプリケーションは、今や企業のインフラとも言えるほど必要不可欠な存在になっています。CRMを含むWeb(URLがあるもの)は外部に晒されているため、攻撃の糸口になりやすく、常に攻撃者から狙われています。攻撃を受ける前に、Webサイトに脆弱性がないか診断を行い、あれば対策を施すことがとても重要になっています。

脆弱性の診断は、さまざまなサービスや価格帯がありますが、Webサイトにおけるメジャーな脆弱性が自社のWebサイトにないか検知できる、脆弱性診断ツールがおすすめです。脆弱性診断ツールを導入することで、簡単に自社のWebサイト・Webアプリケーションを網羅的に診断することが可能になります。詳しくは「脆弱性診断ツール(サービス)|有料・無料の違いと5つの選定ポイント」を読んでいただき、ツールについて知っていただきたく思います。

まとめ|CRMは利便性だけではなくセキュリティ機能も確認してから導入しよう

CRMは顧客との継続的な関係を構築する上で重要かつ便利なツールです。しかし、ほとんどのCRMはネットワークを介して使用するため、顧客の個人情報や会社の機密データの漏えいや不正アクセスのリスクが存在します。そのようなリスクを回避するためにも、以下のセキュリティ機能が備わっているCRMを導入するとよいでしょう。

  • 権限制御機能
  • 不正アクセス防止機能
  • 暗号化機能
CRMに備わっているセキュリティ機能 機能の概要
権限制御機能 組織や役割に応じて情報の操作権限を管理する
不正アクセス防止機能 多要素認証 2つ以上の要素でユーザーを認証する
IPアドレス制限 特定のIPアドレスからのアクセスに限定する
ファイアウォール ネットワークレベルで通信を制御する
WAF Webへの攻撃や不正アクセスを防御する
暗号化機能 通信暗号化 通信の盗聴を防ぐ
データの暗号化 データ漏えい時の解読リスクを低減する
ディスクの暗号化 HDの物理紛失・盗難時の解読リスクを低減する

CRMのセキュリティ対策を確認することで、長期的にみれば顧客との信頼関係を築くことにも繋がります。

また、CRM自体を含む、WebサイトやWebアプリケーションのセキュリティ対策として脆弱性診断ツールの導入をおすすめします。脆弱性診断ツールを導入することで、網羅的なセキュリティ対策が行えます。

ぜひ紹介した内容を参考に、自社に最適な対策を講じてください。

セキュリティ課題の解決に役立つコンテンツを配信!

脆弱性に関する最新情報やイベント・セミナーのご案内など、様々な情報をお届けします。ぜひご登録ください。

メルマガ登録はこちら
エーアイスキャン編集部

エーアイスキャン編集部

クラウド型Webアプリケーション診断ツールAeyeScanなどを提供している、株式会社エーアイセキュリティラボのオウンドメディアを運営しています。セキュリティや脆弱性に関する情報について、わかりやすさと正確さをモットーに発信していきます!

FAQ

  • CRMを導入する上でなぜセキュリティが重要なのですか?

    CRMは、顧客データの収集、分析、および共有が他部署をまたいで簡単に実施できるツールです。
    一方、顧客の個人情報や機密情報が含まれるため、セキュリティ対策が非常に重要です。
    ほとんどのCRMがオンラインでアクセス可能であるため、内部でのデータ不正持出だけでなく、外部から攻撃されるリスクも想定されます。

    顧客の個人情報や契約内容など、機密性の高い情報が漏洩すると、企業の信頼が損なわれ、法的な問題が発生する可能性があります。そのため、CRMを導入する前に、セキュリティに関する評価を行い、安全性が確保された製品を選ぶことが重要です。

    詳しくは「CRMでセキュリティが重要である理由」をご覧ください。

  • CRMに備わっているセキュリティ機能を教えてください。

    CRMには様々なセキュリティ機能が備わっていますが、以下に挙げるのはその中でも主要なものです。

    • 権限制御機能
    • 不正アクセス防止機能
    • データ暗号化機能

    営業、マーケティングからサポートサービスまでの幅広い業務で活用されることから、CRMには多くの機能があり、それらを全てのユーザーが自由に操作することは望ましくありません。組織や役割に応じて情報の操作権限を管理できる権限制御機能に着目し、自社に適した製品を選ぶと良いでしょう。

    詳しくは「導入時に確認したいCRMのセキュリティ機能」をご覧ください。

AeyeScan

AeyeScanの導入を検討してみませんか?

操作性の確認、
実際に利用してみたい方へ

「AeyeScan」の無料トライアル

トライアルにかかる費用は不要。実際の操作性はどうなの?またどのように脆弱性が発見されるのか?などの疑問は無料トライアルで解消しましょう。

無料トライアルの申し込み

サービスをより詳しく
知りたい方へ

「AeyeScan」のサービス紹介資料

改めてサービスの特長や導入効果、企業の導入実績などAeyeScanについてより詳しく知りたい方はぜひサービス紹介資料をご覧ください。

サービス紹介資料を読む

お見積もりの希望・導入を
ご検討している方へ

「AeyeScan」へのお問い合わせ

お見積りの希望・導入をご検討してくださっている方はお問い合わせフォームよりご連絡ください。当日もしくは遅くとも翌営業日にはご連絡を差し上げます。

お問い合わせフォーム