Salesforce セキュリティガイド
jトレーニングステップと推測ステップ
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
トレーニングステップ
Salesforce アプリケーションログに基づくメタデータを使用して、さまざまな属性 (特性ともいう) を抽出します。Salesforce では、レポート生成とその周辺アクティビティに関する約 90 日間のメタデータを使用します。モデルの向上に伴い、特性の実際のリストも変化します。
こうした特性を使用して、ユーザの典型的なレポート生成アクティビティのモデルを構築します。このステップをモデルトレーニングといいます。Salesforce ではトレーニングされたモデルを使用して、2 つ目のステップで異常を検知します。
| 特性名 | 説明 | 例 |
|---|---|---|
| rowCount | レポート生成で処理された行数。行数が多く、かつ averageRowSize も大きい場合は、ユーザが不正な目的で情報をダウンロードしていることが示唆されます。たとえば、競合他社に転職する前にすべてのセールスリードをダウンロードする営業担当などがこれに該当します。 | 150 |
| numberColumns | レポートの列数。 | 10 |
| averageRowSize | レポート生成の全行の平均行サイズ (バイト単位)。平均サイズが大きく、かつ rowCount も多い場合は、ユーザが不正な目的で情報をダウンロードしていることが示唆されます。たとえば、競合他社に転職する前にすべてのセールスリードをダウンロードする営業担当などがこれに該当します。 | 700 |
| numberColumnToColumnFilters | レポートで使用された列間検索条件の数。 | 0 |
| numberSnapHistoricalFilters | レポートで使用されたスナップ履歴検索条件の数。 | 1 |
| numberHistoricalFilters | レポートで使用された履歴検索条件の数。 | 1 |
| numberFilters | レポートで使用された検索条件の数。 | 3 |
| autonomousSystem | レポートのダウンロードに使用された IP アドレスから判明した自律システム (AS)。AS とは、1 社以上の通信事業者が実行する 1 つ以上の IP プレフィックスの接続型グループです。このグループには、1 つの明確に定義されたルーティングポリシーがあります。 | Charter Communications Inc |
| dayOfMonth | レポートが実行された日付。この値は、レポートの生成に使用されたブラウザから報告されたタイムスタンプとローカルのタイムゾーンから判別します。 | 14 |
| periodOfDay | レポートが実行された時間帯。この値は、レポートの生成に使用されたブラウザから報告されたタイムスタンプとローカルのタイムゾーンから判別します。 | Afternoon |
| dayOfWeek | レポートが実行された曜日。この値は、レポートの生成に使用されたブラウザから報告されたタイムスタンプとローカルのタイムゾーンから判別します。 | Saturday |
| userAgent | レポート生成アクティビティ中に記録されたユーザエージェント。 | Mozilla/5.0(iPad; U; CPU iPhone OS 3_2 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Version/4.0.4 Mobile/7B314 Safari/531.21.10 |
| platform | レポートの生成に使用されたブラウザから報告されたプラットフォーム種別。 | MacIntel |
| timezoneOffset | レポートの生成に使用されたブラウザから報告されたタイムゾーンのオフセット (GMT からの分単位)。 | -180 |
| windowSize | レポートの生成に使用されたブラウザのウィンドウサイズ (ピクセル単位)。 | 750x340 |
| screenResolution | レポートの生成に使用されたブラウザから報告された画面解像度 (ピクセル単位)。 | 1024x768 |
| colorDepth | レポートの生成に使用されたブラウザから報告された色深度。 | 32-32 |
| attachedMediaDevices | レポートの生成に使用されたブラウザから報告されたメディアデバイスのリスト。 | - |
| acceptedLanguages | レポートの生成に使用されたブラウザから報告された言語のリスト。 | ["en-US"] |
| browserFonts | レポートの生成に使用されたブラウザから報告されたフォントから判別した識別子。 | - |
| browserCodecs | レポートの生成に使用されたブラウザから報告されたコーデックから判別した識別子。 | - |
| browserPlugins | レポートの生成に使用されたブラウザから報告されたプラグインのリスト。 | Chrome PDF Plugin:Portable Document FormatChro... |
| localStorageEnabled | レポートの生成に使用されたブラウザから報告されたローカルの保存設定に対応する Boolean。 | TRUE |
| sessionStorageEnabled | レポートの生成に使用されたブラウザから報告されたセッションの保存設定に対応する Boolean。 | TRUE |
| browserIndexingEnabled | レポートの生成に使用されたブラウザから報告された IndexDB 設定に対応する Boolean。 | TRUE |
| drmEnabled | レポートの生成に使用されたブラウザから報告されたデジタル著作権管理 (DRM) 設定に対応する Boolean。 | FALSE |
| webSocketsEnabled | レポートの生成に使用されたブラウザから報告された Web ソケット設定に対応する Boolean。 | TRUE |
| loginToReportGeneration | ユーザがログインしてからレポートを生成するまでの経過時間 (ミリ秒単位)。 | 10000 |
推測 (または検知) ステップ
検知ステップでは、各ユーザのあらゆるレポート生成アクティビティをチェックします。各レポート生成アクティビティから、モデルのトレーニングステップ時と同じ特性セットを抽出します。そして、特性をユーザの典型的な行動モデルと比較して、検討対象のアクティビティが著しく異なっているかどうかを判断します。
異常スコア
各レポート生成アクティビティがユーザの典型的なアクティビティと比較してどの程度異なっているかに基づいて、各アクティビティに異常スコアの数値が割り当てられます。異常スコアは常に 0 ~ 100 の数値で、大概は百分率で表されます。異常スコアが低いということは、ユーザのレポート生成アクティビティがユーザの典型的なアクティビティと似ているということです。異常スコアが高いということは、ユーザのレポート生成アクティビティがユーザの典型的なアクティビティと異なっているということです。
臨界しきい値
すべてのレポート生成イベントに異常スコアが割り当てられますが、すべての生成イベントが異常なわけではありません。Salesforce ではしきい値を使用して、どのレポート生成イベントが異常かを判断します。異常スコアが臨界しきい値を上回るイベントが異常とみなされます。
一般に、スコアが 90 の場合、ユーザのレポート生成アクティビティがユーザの典型的なアクティビティから標準偏差の約 3 倍逸れていることを示します。臨界しきい値はまた、偽陽性と偽陰性の均衡を図るものでもあります。臨界しきい値が低ければ、異常としてマークされるイベントが増加し、その結果、誤った警告 (偽陽性) が増えますが、異常を見逃すこと (偽陰性) が少なくなります。臨界しきい値が高ければ、偽陽性は減少しますが、偽陰性が増大します。