イベントモニタリングとは

この記事で学べることイベントモニタリングの目的と全体像イベントモニタリングでできることログの取得 - リアルタイムイベントモニタリングとEventLogFileによるイベントモニタリングについてログの活用 - イベントモニタリング各活用機能の概要イベントモニタリングの目的と全体像イベントモニタリングとは、データの安全性を確保するためにSalesforceに搭載されている有償のセキュリティアドオンツールの1つです。Salesforceでは組織のユーザアクティビティを「イベント」と称しますが、このツールを使用すると、システム管理者は、いつ、誰が、どのレコードにアクセスしたかといった個別のイベントに関する情報を細部まで確認することができるようになります。また、イベントモニタリングに含まれる様々なログの活用機能により、イベントのトレンドを追跡し異常な行動をすばやく特定したり、あらかじめ定義した条件に抵触するアクセスをブロックしたりすることができ、組織のデータを保護することができます。ログ記録監視の重要性と必要性Salesforceで標準機能として提供されるログ機能ではユーザのログイン履歴は記録されるものの、ページアクセスやレポートの実行、データエクスポートなどのアクセスログは記録されません。万が一、情報漏えいなどセキュリティインシデントを疑う事象が起きた際に、ログを用いて十分な調査を行い、企業として説明責任を果たすためにはイベントモニタリングが必須です。また、厳格なログ管理や証跡管理は多くの業界ガイドラインでも提言されているため、イベントモニタリングを導入しアクセスログを監視、管理することでこれらの要求事項を実現し、企業のコンプライアンスを強化することができます。ログの記録イベントモニタリングで取得できるログには、次の二種類があります。リアルタイムイベントモニタリングイベントモニタリング（EventLogFile）リアルタイムイベントモニタリングはセキュリティインシデントの発生ログとレコードへのアクセスログの記録と分析を目的としています。アクセスログでは、監視対象は主にアクセスしたレコードを特定するためのレコードID、さらにレポートやビューでは、出力された項目が特定できます。ログはリアルタイムで保存され、ログのタイプにより6ヶ月から10年保存されます。また一部のログタイプはストリーミング配信可能です。リアルタイムイベントモニタリングは、ログのタイプごとに有効化の設定を行う必要があります。一方、イベントモニタリングは、イベント発生 / エラー / パフォーマンス分析用のイベントログを保存することを目的としています。ログの保存はリアルタイムではなく、1時間ごと及び24時間ごとの2種類のログを30日間保存します。監視対象は主にイベントの発生を識別する情報で、URIや実行されたレポートや実行されたSQLなどで、イベントの発生頻度、パフォーマンスなどを分析するのに役立ちます。ライセンスをご購入いただくと自動的にログの記録を開始します。ログの記録開始、ログの取得方法（保存方法）は次の関連記事をご参照ください。ログの記録開始ログの取得方法アクセスログログの参照ガイドログの活用イベントモニタリングにはログの取得のほかに、ログを活用する機能として、次の3つの機能が含まれています。AIによる脅威検知 - Threat Detectionログの可視化・分析 - Event Monitoring Analyticsリアルタイム制御 - Transaction SecurityAIによる脅威検知機械学習アルゴリズムによって「パスワードリスト攻撃」「セッションハイジャック」「異常レポート出力」「API異常」に対応するリアルタイム監視イベントを生成し、組織への不正アクセスの兆候やユーザの行動の異常を検知する機能です。システム管理者は脅威検知用のイベント管理アプリケーションで検知された脅威を確認することができます。また、後でご紹介するトランザクションセキュリティを使用して、検知された驚異を管理者に通知することができます。また、検知された脅威イベントの詳細を確認し、「悪意あり」「脅威ではない」といった重大度に関するフィードバックをSalesforceに送信してAIに学習させることで、検知精度向上に役立てることができます。脅威検知の利用開始ログの可視化・分析イベントモニタリングのライセンスには、Event Monitoring Analyticsという名称で、ログおよび組織の情報の可視化、分析に特化した Tableau CRM（旧：Einstein Analytics）のライセンスが10ライセンス付属しています。Event Monitoring Analyticsに予め用意された16種類のダッシュボードで簡単にログの分析ができ、Salesforce組織の利用状況やセキュリティに関する脅威・傾向を素早く発見することができます。Event Monitoring Analyticsの利用開始Event Monitoring Analyticsの主要なダッシュボードリアルタイム制御分析によって得られた考察などをもとに、任意の標準オブジェクトまたはカスタムオブジェクトに対して標準機能で提供されているセキュリティ機能よりもさらに細かいアクセス条件（ポリシー）を設定し、ユーザのセキュリティコントロールができる機能です。ポリシーに抵触するアクセスを検知すると操作の実行を制御したり、管理者へ通知したりすることが可能です。この機能を活用することにより、システム管理者やセキュリティ担当者はアクセスログの確認や分析によりセキュリティインシデントの痕跡を事後に確認するだけでなく、疑わしい行為を検知し未然に防ぐことが可能になります。拡張トランザクションセキュリティの設定（準備中）動画を見るhttps://play.vidyard.com/3SjYC4K4K73yXfyTvB51sA学習ツールTrailhead - リアルタイムイベントモニタリングTrailhead - イベントモニタリング動画 - イベントモニタリング設定動画_基礎編（ログの有効化と取得）動画 - イベントモニタリング設定動画_応用編①（Event Monitoring Analytics）動画 - イベントモニタリング設定動画_応用編②（トランザクションセキュリティ）まとめイベントモニタリングを導入しログを収集・管理することにより、システム管理者はSalesforceの日々の利用状況を時系列で把握することができ、万が一、データ漏えいなどが起こった際には、速やかに原因や影響範囲の特定が可能になります。また、ログの記録だけでなく、専門家が不在でもAIによるログの分析により脅威を検知したり、ログを簡単に可視化・分析して利用状況やセキュリティに関する脅威を発見したり、さらには分析によって得られた考察からよりきめ細かいセキュリティコントロールを実装したりすることが可能になります。イベントモニタリングの活用にご興味をお持ちのお客様はぜひ以下のウェビナーもご視聴ください。「今注目！リモートワークのセキュリティ対策 〜Salesforce Shieldでリスクを未然に防ぐ〜」（オンデマンド視聴）

Event Monitoring Analyticsの主要なダッシュボード

この記事で学べることイベントモニタリングに含まれる2種類のログのうち、Event Monitoring Analyticsは、イベントモニタリングを分析対象としていることEvent Monitoring Analyticsで提供される主要なダッシュボードの使い方イベントモニタリングに含まれる2種類のログの違いイベントモニタリングライセンスには、以下2種類のログが含まれます。リアルタイムイベントモニタリング：セキュリティインシデントの発生ログとレコードへのアクセスログイベントモニタリング：イベント発生 / エラー / パフォーマンス分析用のイベントログこの2種類のログの違いの詳細については、以下の記事をご参照ください。イベントモニタリングとはEvent Monitoring Analyticsでは、イベントモニタリングのログからさまざまなダッシュボードが提供されています。Event Monitoring Analyticsで提供される主要なダッシュボードここでは特にセキュリティ観点で優先的に確認することが好ましいと考えられるダッシュボードのついて記載をしています。１．Login不審なログイン傾向を把握するために確認します。Who Logs In the Most 折れ線グラフで不審な傾向（不自然なスパイク等）を評価 します。不審なログインがあった場合、どういったユーザの動きであったか確認します。以降のダッシュボードについては是非お手持ちの環境で画面を操作しながら確認をいただけます様お願いいたします。２．Reports および Report Downloadsレポートの使用やエクスポートの傾向を把握するために確認します。Reportsダッシュボードの Report Trend by User折れ線グラフで不審な傾向を評価します。不審なユーザがあった場合、ユーザ名やアクセスしたレポートを確認します。グラフ左上の [▼ボタン] | [調査] から [条件タブ] を開き、ORIGINやRENDERING_TYPEの値からどのようにレポートにアクセスされたかフィルタをかける事ができます。値の意味についてはディベロッパーサイトを確認します。レポートのエクスポートに特化して評価する際にはReport Downloads を利用します３．Filesファイルがどの様な取り扱いをされたか傾向を把握するために確認します。How Many File Transactions Are Occurring in My Org? 折れ線グラフで不審な傾向を評価します。値の意味については ディベロッパーサイトを確認します。不審なトランザクションがあった場合、どういったファイルへのトランザクションがあったか、誰がトランザクションを発生させていたかを調査していきます。４．Page View（URIs）ユーザがどのIPからどのページへアクセスしたか傾向を把握するために確認します。Page View Trends By User 折れ線グラフで不審な傾向を評価 します。不審なユーザの傾向があった場合、どにIPアドレスアクセスされたかをShared IPs By Userグラフから、どのページを見ていたかをPage Views By Userから確認します。上記で代表的なダッシュボードの紹介をしてきましたが ２．Reports および Report Downloadsでも紹介した通り各グラフの左上に表示される ▼ボタン] | [調査] を選択することでより絞り込んだ条件で分析をすることができます。そしてより絞り込んだ条件で表示されたグラフから、詳細を確認したい領域を選択した上で、画面左上の [テーブルモード] | [値テーブル] を選択することでデータセットの値を確認することもできます。上記、確認観点や方法をご案内いたしました。ここで紹介した内容は一般的に必要と考えられる内容を記載したものですので、貴社において必要と考えられる観点がありましたら、積極的に調査観点を追加していただきたく存じます。まとめ不審な傾向を把握するためには通常の傾向を把握しておくことが重要です。定期的にダッシュボードを確認し組織の動きの傾向把握をぜひとも実施くださいます様お願いいたします。

Event Monitoring Analyticsの利用開始

Event Monitoring Analyticsを利用する方へ。アプリケーションの設定手順と活用方法を解説します。適切な権限設定が成功の鍵です。

ログの記録開始

この記事で学べることイベントモニタリングに含まれる2種類のログの違いリアルタイムイベントモニタリングの取得開始方法ストリーミングとストレージの違いイベントモニタリングに含まれる2種類のログの違いイベントモニタリングライセンスには、以下2種類のログが含まれます。リアルタイムイベントモニタリング：セキュリティインシデントの発生ログとレコードへのアクセスログイベントモニタリング：イベント発生 / エラー / パフォーマンス分析用のイベントログこの2種類のログの違いの詳細については、以下の記事をご参照ください。イベントモニタリングとはこのうち、イベントモニタリングのログは組織へイベントモニタリングライセンスが付与されたタイミングから自動的に生成が開始されるようになっており、お客様側でログ取得を開始するための設定は必要ありません。一方で、リアルタイムイベントモニタリングのログについては、組織へライセンスが付与された後に管理者の方がログの取得開始設定を行う必要がございます。そのため、Salesforce組織にイベントモニタリングが初めて導入された際には、以下の手順を参考にしてリアルタイムイベントモニタリングのログ取得設定を行ってください。リアルタイムイベントモニタリングの取得開始方法リアルタイムイベントモニタリングのログを取得開始するためには、「アプリケーションのカスタマイズ」および「設定の参照」権限が必要となります（システム管理者の方であれば、初めから権限が付与されています）その後、権限を持つユーザにより、以下の手順にてリアルタイムイベントモニタリングの各ログを有効化していきます。[設定] から、[クイック検索] ボックスに「イベント」と入力し、[イベントマネージャ] を選択します。有効化するイベントの横にあるドロップダウンメニューをクリックします。イベントの [ストレージ を有効化] および [ストリーミング を有効化] を選択します。有効化したいログ種類分だけ、手順2,3を繰り返します。(特段の要件がなければ、全て有効化しておくことを推奨します)ログ取得設定の有効化後、組織に蓄積されたログへアクセスする方法については以下の記事をご参照ください。ログの取得方法ストリーミングとストレージの違いリアルタイムイベントモニタリングには、ストリーミング と ストレージ の2種類があります。ログインやレポートへのアクセスなど、一つの操作からストリーミングとストレージの両者に対して同一内容のログ(※)が生成されます。(※) 厳密にはログのレコードIDなどが異なります。以下の図は、Salesforce組織のレコードアクセス時に記録されるLightningUriイベントの生成例です。ストリーミングログは、ストリーミング API を用いて対象のイベントをリッスンしているクライアントに対し、イベント内容をプッシュします。そのため、イベントを受信する専用のクライアントがあり、ログ監視などSalesforceのイベントチャネルと接続しておくことで即時性を持ってイベントデータを受け取りたい用途がある場合に利用します。ストリーミングログは、最大3日間保持されます。ストレージログは、ログデータをBig Objectに配置することで、過去6か月分のリアルタイムイベントモニタリングログを組織に保管することができます。過去6か月(認証系のログは10年)までのログデータの保全や、SOQLを用いた特定の条件に絞ったログの検索に利用します。また6か月以上のログの長期保存などでイベントログをお客様側の環境へダウンロードする際にも、ストレージログを参照します。学習ツールHelp - リアルタイムイベントモニタリングイベントの管理動画 - イベントモニタリング設定動画_基礎編（ログの有効化と取得）まとめイベントモニタリングには、リアルタイムイベントモニタリング と イベントモニタリング の2種類のログが存在します。このうち、リアルタイムイベントモニタリングのログはライセンスが付与されただけではログの取得が開始されないため、管理者の方が組織の設定画面からログ取得の有効化作業を行って頂く必要があります。