2020.04.03 「【特別編】 Salesforce を軸にテレワークを導入する際の考慮事項、およびウフルの取り組みについて」
≪ 2020.03.26 「Salesforce - よくあるお問合せを深掘りします:vol.1 - インスタンス移行とセキュリティアラート」
2020.04.10 「【特別編】 テレワーク必須の状況で Salesforce を円滑に運用するには(稟議や承認の自動化など)」 ≫
お世話になっております。
ウフル カスタマーサポート Salesforce 担当の 後藤 でございます。
皆様いかがお過ごしでしょうか。
新型コロナウイルス(COVID-19)、 まだまだ収束の気配を見せません。
土日の東京は非常に閑散となり、 平日の通勤電車も人がだいぶ少なくなり、私が使っている路線は( 通常ほぼ毎日遅延しているのに) 最近は定時運行を遵守するようになりました。
このような状況ですので、お客様の会社でも、テレワーク( 在宅勤務)を指示/推奨したり、 客先訪問を自粛したりといった施策を取るケースも増えてきたかと 存じます。
一方で、業務状況の関係で「うちではテレワークの導入は難しい」 と二の足を踏まれている会社も少なくないかと思われます。 とはいえ、「外出せずに働ける環境の導入」 はもはや国からの要請事項なので、「やれたらやる」ではなく「 できる限りやる必要がある」という状況だと言えます。
厚生労働省 「 職場における新型コロナウイルス感染症の拡大防止に関する経済団体への要請について」
https://www.mhlw.go.jp/stf/ seisakunitsuite/newpage_00003. html
幸いにして、皆様がお使いの Salesforce は、様々な意味で「テレワークとの親和性が高い」システムです、 いくつかの考慮事項に注意いただければ、 テレワークの導入もきっとスムーズに進むはずです。
今回は特別編として、「Salesforce でテレワークを行う際の考慮事項」と、 ご参考までに弊社での事例についてご案内をさせていただきます。
* Salesforce でテレワーク - セキュリティの考慮事項
テレワーク(在宅勤務)を行う上で、最も重要な点が「 セキュリティの担保」で、次に重要な点が「 勤怠および労務の管理」であると考えられます。
まずは「いかにしてセキュリティを担保するか」 についてお話をさせていただきます。
備え付けの PC を使用する通常の社内業務と異なり、テレワークでは会社貸与の PC、または自宅の私物 PC を使用することになります。
自宅ネットワーク、もしくは会社貸与のモバイル WiFi を経由してのログインとなるため、内勤のように IP アドレスで制限を掛けるわけにもいきません。(勿論 VPN を経由する場合はその限りではありませんが)
そのような場合、 いかにして不正アクセスや情報漏洩を防ぐことができるのでしょう か。
Salesforce では、 標準でセキュリティを保護する機能をいくつか持っています。
最も基本的なものが、皆様もご存じの「信頼済み IP 範囲」です。
設定 > セキュリティ > ネットワークアクセス
せっかくの機会ですので改めて仕組みを振り返ってみましょう。
(今更だとは思いますが、 この機能を使用されていないお客様も少なくないようですので)
一般的には、「信頼済み IP 範囲」には自社のグローバル IP アドレスをピンポイントで設定(=開始と終了に同じ値を入力) します。
オフィスが複数ある場合(例えば東京と大阪にある場合) それぞれの IP を登録します。
これにより、社内からのアクセス以外はすべて「信頼済み範囲外からのアクセス」とみなされます。
自宅 PC、もしくは会社から持ち帰ったノート PC にて、通常通り Salesforce にアクセスをします。
その場合アクセス元 IP アドレスはもちろん「信頼済み範囲外」と認識されます。
範囲外とみなされると、「ID を検証」という画面がまず表示されます。
画面上には「確認コードを入力します」 ボックスが表示されています。
同時に、ユーザに関連付けられたメールアドレスに「 Salesforce で ID を確認」メールが送信され、5桁の「確認コード」 を参照することができます。
この確認コードを入力することで、 ユーザははじめてログインが可能となります。
先ほどの「ID を検証」画面にて、「次回からは確認しない」 チェックがデフォルトでオンになっています。
オンのまま登録を行うと、 上記の確認コード入力作業を行うことによって、 次の2つのアクションが裏側で実行されます。
- PC の Cookie に「Salesforce に認証された」記録が残る
- Salesforce 組織に「特定ユーザに対し、当該 IP および当該端末を認証した」記録が残る
このアクションにより、次回以降のログインにて、「同じ PC」「同じブラウザ」「同じ IP アドレス」「同じユーザ」であれば ID の検証がスキップされます。
(Cookie で管理する関係上、ブラウザが異なれば再度検証が走ります。 例えば Chrome で認証されたあと Firefox でアクセスした場合です)
つまり、一度認証してしまえば次回以降は ID とパスワードのみ入力すれば社外からもログインが可能となるわけです。
有効化
https://help.salesforce.com/articleView?id=security_ activation_about.htm&type=5
「確認コードを受信できるユーザでないと初回ログインはできない」 点から、ID とパスワードのみの認証よりはセキュアであると言えますが、 これだけでは「社外からの常時アクセス」を行うには不十分です。
何故なら、マルウェアの基本動作の一つに「Cookie の盗み見」があり、感染した場合、偽造された Cookie によって外部から不正アクセスされる可能性もあるからです。
ただ、少なくとも「確認コードの入力が面倒くさいので、 プロファイルの IP 制限を無限開放している」よりは遥かにましです。
以下のような IP 設定をもし行っている場合、テレワークを開始する前に、絶対に取り消しておいてください!
<絶対にやってはいけない、IP アドレス設定の最悪例>
ならば、どういう施策が必要でしょうか。
パターン1は、「管理者の日々のタスクに一つプラスする」というものです。
先ほど、ID の検証がスキップされる条件として、「端末の Cookie」と「Salesforce 側の有効化履歴」の2つがあるとご案内いたしました。
後者については、 システム管理者が数クリックで全削除できるので、 毎日業務終了時にこの操作を行えば、ユーザは毎朝 ID の検証を要求されるようになります。
有効化履歴は設定メニューの以下の画面から参照できます。
設定 > セキュリティ > 有効化
「ログイン IP」と「有効化されたクライアントブラウザ」 の2セクションに分かれています。
一覧の左側を全選択して「削除」ボタンを押すことで、 それぞれ全削除が可能です。
ブラウザ情報だけ削除しても、ログイン IP が有効ならばそちらを参照するので、 削除する場合は両方とも行う必要があります。
ID の検証が必要かどうかは、端末の Cookie と Salesforce 側の有効化情報を照合することで判断されるため、 Salesforce 側の情報を 削除すれば、端末の Cookie は照合対象を見つけられず無効なものとなり、 再度検証が要求されるようになります。
有効化の使用
https://help.salesforce.com/articleView?id=security_ activation_using.htm&type=5
残念ながら有効化情報のスケジュール自動削除はまだ実装されてい ません。
いずれどなたかが Ideas に投稿されるとは思いますが、 それまでは管理者が毎日全削除する方法でご対処いただければと存じます。
パターン2は、「認証プロセスをもう一つ追加する」というものです。
「2要素認証」というワード、ご存知な方も多いかと思われます。
分かりやすく言うと、「ユーザだけが知っている言葉」「 ユーザだけが持っているもの」「ユーザ自身の固有属性」 のうち2つを使用して認証するというものです。
「ユーザだけが知っている言葉」は、 まさにパスワードそのものです。
「ユーザだけが持っているもの」は、物理的なデバイスや Salesforce 以外の外部アプリケーションなどにあたります。
「ユーザ自身の固有属性」は、代表的なものに「指紋」 があります。
ID とパスワードを使用したログインは、「1要素認証」になります。
先ほどの確認コードを使用したログイン制御も、「2要素認証」 というよりは、「1要素認証+α」であると言えます。
2要素認証は、通常のパスワード認証に加えて、 もう一つ認証ファクターを追加したものになります。
「Salesforce に指紋認証をプラス」なんて、 近未来感があってとても魅力的ですが、AppExchange アプリの追加だったり iOS / Android デバイスの初期設定だったり必要なことが多すぎて、とてもではないですが「来週からテレワークが必要」 な状況にはすぐに対応できません。
(ご参考まで) iOS および Android での生体認証 ID アプリケーションロック解除の有効化
https://help.salesforce.com/ articleView?id=branded_apps_ biometric_id_ios_android.htm& type=5
比較的すぐに導入できる2要素認証が、「 外部専用アプリケーションと連携する」方法になります。
Salesforce では純正で外部認証用アプリケーション「Salesforce Authenticator」を提供しているので(iOS および Android)、2要素認証を必要とするユーザは、予め App Store や Google Play からインストールしておきます。
インストールするモバイルデバイスは、 会社貸与のものでもユーザ私物でも構いません。
システム管理者は、 権限セットを作成して以下の権限を有効化しておきます。
「ユーザインターフェースログインの2要素認証」
作成した権限セットを、 テレワークを行う社員に割り当てておきます。
2 要素認証ログイン要件の設定
https://help.salesforce.com/ articleView?id=security_ require_two-factor_ authentication.htm&type=5
ユーザに権限セットを割り当てることにより、 当該社員ユーザに対しては、割り当て後 Salesforce に初回ログインの際、 パスワードの入力後に以下のようなプロンプトが表示されます。
ユーザは、予めインストールされた Salesforce Authenticator を起動し、「アカウントを追加」メニューにて表示された「 2語の語句」を確認します。
この2語を、先ほどの画面のテキスト欄に入力して、「接続」 をクリックします。
入力が確認されると、モバイルデバイスの Salesforce Authenticator に通知が送られ、アカウントを接続するかどうかを訊かれます。
ユーザはたった今手元の PC でアクセスを試みているので、この場合は問題なく「接続」 をクリックできますが、 もし知らないユーザが自分のアカウントでログインを試みていた場 合、「キャンセル」をクリックすることで、 不正なログインをブロックできます。
この手順により、Salesforce Authenticator にアカウント情報が関連付けられ、ユーザはログインする際に毎回 Salesforce Authenticator に送られた通知を開いて承認する手順が発生します。
一度ひとつのアカウントを特定モバイルデバイスの Salesforce Authenticator に関連付けると、システム管理者が登録を切断しない限りは、 他のデバイスの Salesforce Authenticator では関連付けができなくなり、従って、「特定モバイルデバイスを持っていないとログインができなくなる」 という制限が適用されます。
モバイルデバイスを会社貸与する場合、予め Salesforce Authenticator をインストールしておき、 デバイスとアカウントを関連付けておく、 といった運用方法も可能になります。
ちなみに、 ユーザがモバイルデバイスを紛失してしまったなどの事情で、 Salesforce Authenticator の接続を解除するには、システム管理者がユーザ詳細画面の「 アプリケーション登録: Salesforce Authenticator」にて「切断」 リンクをクリックします。
ID 検証のためのアカウントへの Salesforce Authenticator (バージョン 3 以降) の接続 https://help.salesforce.com/ articleView?id=connect_ salesforce_authenticator_v2_ or_later.htm&type=5
他にも、サードパーティの認証システムを導入する、VPN を導入する、といった施策もありますが、 比較的すぐ導入できる2要素認証システムとして、 Salesforce Authenticator の導入を、ひとつの選択肢としてご検討いただければと思います。
* Salesforce でテレワーク - 運用上の考慮事項
弊社でも多くの社員がテレワークを既に開始しており、 実際に行った社員よりフィードバックが寄せられ始めています。 その中に次のような意見がありました。
「ずっと家にいると、業務の開始と終了の区切りが感じられず、 メリハリが付かない」
一方、マネージャからは
「ちゃんと仕事しているかどうか不安だ」
という意見もありました。
弊社の実際の取り組みも交えたうえで、 いくつかアイデアをご案内させていただきます。
- 社員がログインをしているかどうか、 ログイン履歴レポートで確認する
- 「日報」オブジェクトを作成、もしくは日報用 Chatter グループを活用する
- プロファイルのログイン時間帯制限機能を活用し、 業務時間外はログイン不可とする
Salesforce の標準レポート機能には、「管理レポート」カテゴリに「ユーザ」 レポートタイプが用意されています。
このレポートで「最終ログイン日時」を取得できるので、 マネージャは部下がきちんと Salesforce にログインしているかを管理することができます。
「始業時間までにログインが無い場合は遅刻扱いとする」 とルールを決めて、 通常業務と同様にメリハリのある勤怠管理を行いましょう。
一方で、部下側からの意見、「終業時間のメリハリがない」問題、 こちらについても有効な施策があります。
「一定の時間以外ログインができない」 よう制限を掛けてしまえば、時間内で作業を終わらせるよう、 社員の気持ちも引き締まるはずです。
システム管理者や標準ユーザなどのプロファイル設定には、「 ログイン時間帯の制限」項目があります。
デフォルトでは未設定になっていますが、 ログイン時間帯の制限を行う場合は、 曜日ごとに開始時刻と終了時刻を設定します。
下の表では月曜から金曜が「午前8時から午後8時まで」 と設定されています。
この場合ユーザは午前8時まではログインできず、 午後8時を過ぎてログインしたままの場合、 画面遷移を伴う操作をしたタイミングでセッションが更新され、 強制ログアウトされます。
土曜と日曜は開始時刻と終了時刻が共に「午前12時」 となっている点にご注目ください。これは「 土日は1分さえもログインできない」ことを意味します。
「土日は全くログインできない」などの時間帯制限設定は、 組織内情報の漏洩を防ぐセキュリティ的施策の意味合いも持ってきます。
テレワークを実施される前に、 ログイン時間帯制限設定をご検討いただくことを強くお勧めいたし ます。
「ちゃんと仕事をしているかどうか確認したい」 という点については、成果を Salesforce にきちんと残すことで、仕事の「可視化」を行うことが重要です。
こういう時だからこそ、「日報」 をきちんとつけるよう基本に立ち返ってみては如何でしょうか。
日報の目的とは?日報を有効活用する方法について
https://www.salesforce.com/jp/ hub/business/daily-report/
日報で何を残すかによって、カスタムオブジェクトを作るか、 ToDo 機能をそのまま使うか、Chatter グループを作成するかを検討します。
例えば上長の承認を必要とする場合は、 カスタムオブジェクトを作成して承認プロセスを組みこむよう設計します。
ちなみに弊社では Chatter グループを作成し、日ごとにチームメンバーがスレッド形式で「 今日何をするか」「今日何をしたか」 をテキストで残すよう運用をしています。
テレワークを既に実施している社員からは、他にも「 ずっと家にいるから若干の孤独感がある」 という意見もありました。
テレワークに付き物の悩みの典型例ですね、こんな場合は、 ビデオ会議ツールを有効活用しましょう。
さすがに Salesforce にはビデオ会議機能はありませんので、 多くの会社から提供されているビデオ会議システムから取捨選択することになります。
弊社で主に使用しているのは Google Hangout Meet です。
G Suite をお使いのお客様でしたら標準機能ですぐに使用できます。
Google Hangout Meet
https://gsuite.google.co.jp/ intl/ja/products/meet/
Google Hangout Meet ヘルプ - ビデオ会議を開始する
https://support.google.com/ meet/answer/9302870?co=GENIE. Platform%3DDesktop&hl=ja
Google カレンダーに予定を登録して他のユーザを招待すると、 自動でビデオ会議のリンクが生成されるので、 特に意識することなくビデオ会議を開始することができます。
※ 弊社は Salesforce と同様、G Suite の販売パートナー業務を行っております。G Suite の導入をご検討の場合、是非お気軽にお問合せください。
=================================================
先ほどご契約のお客様にもご案内いたしました通り、 弊社でも来週より「原則的に全社員在宅勤務」 の方針が確定いたしました。
収まる気配のない新型コロナウイルス感染、 在宅勤務を導入されるお客様もこれから増えてくるかと思います。
弊社ともども、慣れない点や戸惑いも多々出てくるはずです。
そういった事例を可能な限り共有することで、この「非常事態」 も乗り越えられるはずだと、強く信じております。
お困りのことございましたら、 遠慮なくサポートまでお問合せください。
お客様の問題は、 弊社の問題であり、 同時に他のお客様の問題であるかもしれません。
ウフルはお客様のテレワークを全力で支援いたします。
今後ともウフル カスタマーサポートを引き続きご愛顧いただきますよう、 何卒よろしくお願い申し上げます。
コメント