「SFAを導入したいが顧客情報はどう管理されるの?」
「SFAを導入する上で、セキュリティ面が心配だ」
「SFAのセキュリティ機能はどのようなもの?」
営業活動をスムーズに行うため、SFAを導入する企業が増えています。しかし、SFAにはセキュリティ上のリスクも存在するため、導入や運用時にセキュリティ対策を講じる必要があります。自社にとって最適な対策をとるためにも、SFAのセキュリティについて詳しく知っておくことが大切です。
そこで本記事では、SFAの利用においてセキュリティが重要な理由と、SFAに備わっているセキュリティ機能について紹介します。
これから紹介するセキュリティ機能が付いた製品を選べば、安心してSFAを導入できるので、ぜひ参考にしてください。
営業活動にSFAを活用している企業の方、必見!
SFAのセキュリティ機能はどのようなもの?
最新バージョンへ適宜アップデートする体制を整え、セキュアな状態を維持することが必要不可欠です。また、実装したコードに潜む脆弱性を見落とさないためにも、Webシステム全体の脆弱性をチェックし、最適な対策を実施する工程を加えましょう。まずは、こちらの資料をご覧ください。
SFAのセキュリティ対策を怠ることで想定されるリスク
SFA(Sales Force Automation)を導入することで、営業活動をスムーズに行う企業が増加しています。例えば、顧客情報の一元管理や案件情報の共有、営業活動の効率化などがその一例です。しかし、SFAで扱われるデータは顧客の機密情報を含むため、セキュリティ対策が非常に重要です。
SFAで扱われる重要なデータには、以下のようなものがあります。
案件管理:商談の進捗度、受注見込み、見積、売上などを管理
顧客管理:顧客名、企業情報、担当者や役職、商談履歴、名刺などを管理
行動管理:社員の訪問回数、商材への興味関心、提案数、受注率などを管理
これらのデータは、顧客の重要な機密情報を含んでおり、適切に扱わないと不正アクセスや情報漏洩につながる可能性があります。以下に、主なリスクと具体例を示します。
顧客の機密情報が漏洩するリスク
SFAには顧客の重要な情報が集約されています。例えば、顧客名、企業情報、担当者や役職、商談履歴などです。
万が一、外部からの不正アクセスや内部犯行によってこれらの情報が漏えいしてしまうと、企業の信頼性が損なわれる可能性があります。また、情報漏えいの発生により、企業が法的な責任を問われる可能性もあります。
営業活動が滞るリスク
サイバー攻撃を受けてSFA本来の機能が使えなくなれば、営業活動に支障が出てしまいます。
たとえば第三者に不正ログインを許してしまうと、データの改ざんや破壊が行われる可能性が発生します。そうすると、営業担当は必要な情報を得られなくなり、商談がスムーズに進められず、受注をキャンセルされてしまう可能性も出てきます。このような事態が発生すれば、企業の売上や利益に大きな影響を与えることになるでしょう。
追加のセキュリティ対策が必要になるリスク
SFAのセキュリティが十分でなく、不正アクセスや情報漏えいが発生した場合、追加のセキュリティ対策が必要になります。
例えば、社員の過失によって情報が流出すれば、新たに社員教育を実施しなければいけません。具体的には、社員同士で再発防止策を議論する、専門家を招いてレクチャーしてもらう、といった取り組みが考えられます。また、クラウドサービスとして利用している場合、不正アクセスでデータの盗難など重大な被害が発生するようなことがあれば、より信頼できそうなベンダーの製品に買い替えることも検討しなければなりません。
セキュリティ対策は後手に回ると、余計な費用がかかったり、現場の負担が増えたりします。そうなれば、SFAで営業活動を効率化するどころではなくなります。
外部からの攻撃や内部の不正アクセスには脆弱性診断が有効
脆弱性診断とは、WebサイトやSFAなどWebを使用するツールに潜む欠陥を発見し、外部からの不正アクセスによる攻撃を受ける可能性がないか、ユーザーごとに利用できる範囲の割り当てが正しく行われているかなどを検証することで、サイバー攻撃や情報漏えいのリスクを防ぐために行われるものです。
「脆弱性診断(セキュリティ診断)とは|必要性からやり方まで、すべて解説」では、脆弱性診断とは何か、どのように行われるのかなどをポイントごとに説明しています。ぜひご一読いただき、SFAなどWebを活用したサービスを安全に活用するためにも、脆弱性診断の必要性を知っていただけたらと思います。
また、手間をかけず簡単に脆弱性診断を行いたい方には「脆弱性診断ツール」がおすすめです。
脆弱性診断ツールとは、人の手で行われている脆弱性診断をツールが代わりに行うものです。ツールは、脆弱性診断を行う人材が社内にいない場合や、外部に診断を委託する工数を減らして手早く診断を行いたい場合によく利用されています。
詳しくは「脆弱性診断ツール(サービス)|有料・無料の違いと5つの選定ポイント」にて説明していますので、こちらもあわせてご覧いただくことをおすすめします。
SFAに備わっている主なセキュリティ機能
SFAを導入する前に、セキュリティに関する評価を行い、安全性が確保された製品を選ぶことが重要です。SFAには様々なセキュリティ機能が備わっていますが、以下に挙げるのはその中でも主要なものです。
自社に最適なセキュリティ設定を行うためには、主要なセキュリティ機能について概要を把握し、適切な製品を選択する必要があります。
ほとんどのSFAは上記の機能を備えていますが、各機能の仕様は製品によって異なります。例えば権限制御機能の場合、一部のSFAには、より細かい権限制御が可能な設定があります。具体的には、特定のフィールドに対して書き込みを制限したり、特定のボタンやオプションを非表示にすることができます。また、API経由でのアクセスを制限することもできます。セキュリティ機能の比較をする場合は、権限制御機能に着目すると良いでしょう。
ここからは、主要なセキュリティ機能について解説していきます。
権限制御機能
SFAユーザー全員に全データの閲覧や書き込み、削除などの権限を与えるのは危険です。例えば、自分が担当している案件の情報を全社員が閲覧できてしまう場合、顧客とのNDAに違反している可能性があります。また、書き込みや削除の権限まで与えてしまうと、誤って大事な商談記録を書き変えられてしまうかもしれません。
このような被害を避けるために、SFAには役職や所属部署に応じて細かく権限をコントロールできる機能が付いています。
以下の図は、営業部署と他部署における権限設定の例です。営業マネージャーは必要な情報にすべてアクセスできる一方で、役職は同じでも他部署のマネージャーは業務と関係のない商談や売上に関する情報は閲覧できないよう範囲が限定されていることがわかります。
不正アクセス防止機能
SFAにはネットワーク経由でアクセス可能であるため、外部からの不正アクセスによる顧客情報の漏えいや改ざんなど、様々な被害が想定されます。そのため、以下のような不正アクセス防止機能が備わっています。
- 多要素認証
- IPアドレス制限
- ファイアウォール
- WAF
多要素認証
多要素認証とは、ログインする際に2つ以上の要素を使って本人を確認する方法で、主に下記のような情報が使われます。
所持デバイス情報:2つ以上の端末を使って認証
知識情報:住所、好きな食べ物などユーザー本人しか知らない情報で認証
生体情報:顔、指紋など身体的特徴を照合
所持デバイス情報の場合、第三者が不正ログインを試みても、ユーザの所持端末(スマホやタブレットなど)に送られるパスコードを入力しなければアクセスできません。また、生体認証のように本人がいないとアクセスできない認証であれば、さらに不正アクセスのハードルを上げられます。
仮に外出先で端末を盗まれても、盗難された端末だけでは第三者がログインすることはできない仕組みが多要素認証です。
IPアドレス制限
IPアドレス制限とは、SFAへのアクセスを許可するIPアドレス範囲を指定することで、不正アクセスや情報漏洩のリスクを低減する方法です。
IPアドレス制限を行うことで、特定のIPアドレスからのアクセスしか許可されないため、不正アクセスを試みる外部からの攻撃を防止することができます。また、社内ネットワークやVPN接続からのアクセスのみを許可することで、セキュリティレベルを更に向上させることができます。
ただし、IPアドレス制限は柔軟性に欠けるため、外出先や自宅からのアクセスが必要な場合には制限を外す必要があります。そのため、必要に応じてIPアドレス制限を調整することが必要です。
ファイアウォール
ファイアウォールとは、ネットワークと外部との間に設置されたソフトウェアやハードウェアで、ネットワーク上を流れる通信を監視・制御し、不正な通信を遮断することができます。SFAにおいて、ファイアウォールは許可された通信のみを通過させ、許可していない通信をブロックするために利用されます。
ファイアウォールは、許可していないIPアドレスやポート番号などネットワークレベルでの防御を行いますが、Webアプリケーションに対する攻撃を防ぐ役割はありません。SFAはWebアプリケーションとして提供されているため、後に紹介するWAFや暗号化機能など他のセキュリティ機能を併用する必要があります。
WAF
WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙った攻撃や不正なアクセスからWebサーバーを保護するための機能で、下記のような攻撃に対応しています。
- 通信の監視と不正アクセスの遮断
- 不正侵入・サイバー攻撃などのログを記録
- URLとIPアドレスを指定してアクセスをコントロール
ファイアウォールはネットワークレベルでの通信の制御に特化しており、WAFはWebアプリケーションに対する攻撃に対する防御に特化しています。両者を併用することで、より高度なセキュリティ対策が可能となります。多くのSFA製品では、ファイアウォールとWAFの両方を採用しています。
データ暗号化機能
データが盗難・解析されないように、SFAには以下のような暗号化機能が備わっています。
- 通信の暗号化機能
- データの暗号化機能
- ディスクの暗号化機能
通信の暗号化機能
SFAに顧客情報を入力するときに通信が暗号化されていないと、通信を傍受されていた場合、顧客情報が漏えいする可能性があります。そのため、ほぼ全てのSFAには通信を暗号化する機能が備わっています。
通信の暗号化技術はいくつかありますが、最もメジャーなのがTLSです。かつてはSSLやTLS 1.0/1.1という技術が使われていましたが、セキュリティに問題があるため推奨されていません。SFAを選ぶ際にはTLS1.2以降のバージョンに対応しているか確認しましょう。
データの暗号化機能
データの暗号化とは、SFAに保存された重要な情報を保護するために、データを解読不可能な形式に変換する機能です。万が一不正アクセス等で情報が盗まれても、データは暗号化され解読できない状態になっているためリスクを低減できます。
多くのSFAではメールや電話番号、URLなど項目ごとに個別で暗号化することが可能です。APIと連携できたり、暗号化したデータをエクスポートする際に自動で復号できたりする製品もあります。
ディスクの暗号化
ソフトウェアだけでなく、SFAサービス提供元のデータセンターにあるハードディスクも暗号化できます。ディスク暗号化を行うことで、物理的なデバイスやメディアを盗難や紛失から保護し、重要なデータが外部の不正者にアクセスされることを防ぐことができます。
ただし、ディスク暗号化は一定のコストやパフォーマンスの低下を伴う場合があります。そのため、必要性を十分に検討した上で導入を検討する必要があります。
まとめ|セキュリティ対策を万全にしてSFAを最大限に活用しよう
SFAは、営業活動を効率化するために欠かせないシステムです。営業データや顧客情報などの重要情報を扱うこと、また多くのSFAがクラウドサービスとして提供されていることから、データの漏洩や不正アクセスなどの脅威に対して、企業は適切なセキュリティ対策を講じる必要があります。セキュリティ対策が不十分な状態でSFAを使うと、データ漏えいのリスクやサイバー攻撃を受けるリスクがあり、非常に危険です。
このような事態を避けるためにも、以下に挙げるセキュリティ機能が備わっているか確かめることが重要です。
| SFAに備わっているセキュリティ機能 | 機能の概要 | |
|---|---|---|
| 不正アクセス防止機能 | 多要素認証 | 2つ以上の要素でユーザーを認証する |
| IPアドレス制限 | 特定のIPアドレスからのアクセスに限定する | |
| ファイアウォール | ネットワークレベルで通信を制御する | |
| WAF | Webへの攻撃や不正アクセスを防御する | |
| 権限制御機能 | 組織や役割に応じて情報の操作権限を管理する | |
| 暗号化機能 | 通信暗号化 | 通信の盗聴を防ぐ |
| データの暗号化 | データ漏えい時の解読リスクを低減する | |
| ディスクの暗号化 | HDの物理紛失・盗難時の解読リスクを低減する | |
企業にとって営業データの保護は、競争力の維持や顧客信頼の確保に直結する重要な要素です。不正アクセスやデータ漏洩は、企業の信頼性を損なうばかりか、競争優位性をも脅かす恐れがあります。
しかし、SFAのセキュリティ機能を最大限に活用することで、重要な営業データを守り、ビジネスを安全に展開することができます。本記事で紹介したセキュリティ機能を参考に、自社に合ったSFAを導入しましょう。
