スーパーバッジ攻略:Security Specialist

トレイルヘッドのスーパーバッジSecurity Specialistの翻訳と解法です。

スポンサーリンク

本文翻訳

このスーパーバッジを獲得するために行うこと

  1. オブジェクトレベルのセキュリティ設定を設定して、どのユーザーがどのオブジェクトにアクセスできるかを制御する
  2. レコードレベルのセキュリティ設定を設定して、特定のレコードを作成および編集できるユーザーを制御します
  3. セキュリティのベストプラクティスに準拠する適切なパスワードポリシーを設定する
  4. データ保持要件を満たすためにフィールドレベルの変更を追跡する
  5. レポート、ダッシュボード、パブリックリストビューのセキュリティ設定を設定して、ユーザーに適切な権限を付与します
  6. 2要素認証を設定してユーザーログインのセキュリティを強化する
  7. Salesforce設定への変更を追跡する機能について説明する

このスーパーバッジでテストされた概念

  • データセキュリティ
  • ユーザ認証
  • ユーザー権限

事前準備とメモ

  1. ペンと紙をつかみます。要件を読みながら、メモを書き留めておくとよいでしょう。
  2. このスーパーバッジ用に新しいTrailhead Playgroundを作成します。他の理由でこの組織を使用すると、チャレンジの検証時に問題が発生する可能性があります。
  3. Trailhead Securityスーパーバッジ管理パッケージ(パッケージID:04t36000000jWht)をインストールします。 AppExchangeから管理パッケージまたは非管理パッケージまたはアプリをインストールできない場合は、この記事の手順に従ってください。
  4. Developer Edition組織では1人のユーザーしか作成できませんが、この課題を完了するために必要な数の権限(プロファイル、ロール、パブリックグループなど)を作成できます。さまざまなセキュリティ構成をテストするユーザーを作成することをお勧めします。この目的のために、Samantha Corderoという名前のユーザーを作成します。

使用事例

GenZ Capitalは、ジェネレーションZの顧客に金融サービスを提供するスタートアップです。彼らはソーシャルメディアを介してすべてのサービスを提供しています。彼らのITチームは素晴らしいですが(絵文字ベースのサポートシステムは最先端です)、彼らはfinserveの巨人OldGuard Financeに買収される準備ができていませんでした。 OldGuardは、GenZのシステムを徹底的なセキュリティ監査の対象にしており、現在、変更を加える必要があります。

主要なSalesforceセキュリティコンサルタントとして、ソーシャルメディアのダイレクトメッセージを介して主要な関係者と会い、包括的なセキュリティ変更要件のセットをまとめました。

標準オブジェクト

GenZは、次の標準オブジェクトを使用して、すべての取引関連データを格納します。

  • Account-GenZ Capitalから金融サービスパッケージを購入する企業
  • Contact-GenZ Capitalの見込み顧客および既存の顧客の連絡先
  • Opportunity— GenZキャピタルの財務パッケージに関連する取引

カスタムオブジェクト

このスーパーバッジのために、GenZはカスタムオブジェクトを使用しません。

ビジネス要件

このセクションは、多くの会議の集大成を表し、GenZのSalesforce組織をクラウドベースのバージョンのフォートノックスに変換するための作業の基礎となります。

システムとデータのセキュリティ要件

政府の金融規制に準拠するには、GenZはデータ保持ポリシーと暗号化ポリシーの両方を実装する必要があり、その買収会社であるOldGuard Financeは、リモートワーカーとモバイルデバイスに対して厳格なアクセスポリシーを持っています。 OldGuard Financeは、GenZにパスワードのベストプラクティスを実装することも求めています。

一連の会話を通じて関係者とこれらのニーズを詳細に検討し、この短い要件のリストを考え出しました。

  • データ保持-データは180日間保持され、180日が経過した後に報告される必要があります。これは、Salesforce以外のシステムで発生する可能性があります。
  • リモート/モバイルユーザーのセキュリティ-リモートワーカーは、VPNを使用してSalesforceにアクセスする必要があります。すべてのモバイルユーザーは2要素認証(2FA)を使用する必要があります。すべてのモバイルユーザーは、管理者によって個別に承認される必要があります。注:使いやすくするために、1つの権限から2FAを管理することにしました。
  • フィールドレベルのセキュリティ-Contactレコードの顧客SSNおよび銀行口座フィールドは暗号化する必要があります。商談レコードの[金額]フィールドの変更はすべて記録する必要があります。
  • パスワードポリシー-パスワードは90日ごとにリセットする必要があり、8文字以上で、英数字を含める必要があります。

組織のセキュリティ要件

GenZでの各役割を調査し、次の役割固有の要件を考え出しました。

組織の概要

GenZの主要な販売組織構造には、フィールドセールス、インサイドセールス、セールスエグゼクティブの3つのコアチームがあります。 Z世代には、最も複雑な取引の実装を支援するプロジェクトマネージャーとして行動する個人もいます。

Organizational Overview

一般的なレコードレベルのセキュリティ要件

組織のレコードへのデフォルトのアクセスを設定して、以下を行います。

  • 商談へのアクセスを、それらを所有する人々(およびそのマネージャー)に制限します。
  • プロファイルでアカウント全般へのアクセスが許可されている限り、アカウントの所有者に関係なく、組織内のすべてのユーザーにアカウントへのアクセスを許可します。注:取引先責任者のデフォルトオプションを保持します。

注:これらの一般的なレコードレベルのセキュリティ要件は、以下に設定されたより具体的な要件によって上書きできます。

Field Sales User要件

Field Salesユーザーは、独自のリストビューを作成できる必要がありますが、他のユーザーのリストビューを作成または管理することはできません。また、レポートとダッシュボードを作成できる必要がありますが、レポートとダッシュボードフォルダーの作成や管理はできません。Field Salesのユーザーは、管理者がオンデマンドで許可するモバイルアクセスが必要です。 Salesforceへのアクセス時間に関して制限はありません。また、自分の商談を読んだり、作成したり、編集したりできる(ただし削除はできない)必要があります。すべてのアカウントを読んで編集します。注:Field Salesのすべてのアカウントを表示および編集するためのアクセス権を提供する場合、プロファイル[すべて表示]および[すべて変更]設定を使用しないでください。

Inside Sales User要件

Inside Salesユーザーは、本社(IPアドレス000.000.000.000)からのみSalesforceにアクセスでき、営業時間(月曜から金曜の午前8時から午後6時の間)にのみSalesforceにアクセスできる必要があります。 。彼らはモバイルアクセスを持つべきではありません。レポートとダッシュボードを作成し、レポートとダッシュボードフォルダーを作成および管理できる必要があります。彼らは自分自身と他の人のためにリストビューを作成して管理できなければなりません。 Inside salesユーザーは、すべてのアカウントと商談を表示、作成、編集できます(ただし、削除はできません)。注:Inside Salesのすべてのアカウントと商談を表示および編集するためのアクセス権を提供する場合は、プロファイル[すべて表示]および[すべて変更]設定を使用しないでください。

Sales Executive User要件

Sales Executiveのユーザーは、他の共有設定に関係なく、すべての商談とアカウントを表示できますが、商談やアカウントを作成、編集、または削除することはできません。レポートとダッシュボードを作成できる必要がありますが、レポートとダッシュボードフォルダーの作成や管理はできません。営業担当者のユーザーは、独自のリストビューを作成できる必要がありますが、他のユーザーのリストビューを作成または管理することはできません。オンデマンドで管理者が付与するモバイルアクセスが必要であり、Salesforceへのアクセス時間の制限はありません。

プロジェクトマネージャーでもあるユーザーの特別な要件

PMはすべて社内で他の責任を負うため、プロジェクトマネージャー(PM)の権限は他のユーザーの権限とは異なる方法で設定されます。たとえば、Carla Rodriguezの主な仕事はシニアフィールドセールスアソシエイツですが、プロジェクトマネージャーとしても働いています。このため、プロファイルを使用してレコードレベルの権限を設定することはできません。また、プロジェクトマネージャーとレコードを共有するためにロールを使用しないでください。 PMは、Type = “Existing Customer-Upgrade”およびStage = “Closed Won”であるすべての商談を表示できますが、他のユーザーが所有する他の商談は表示できません。プロジェクトマネージャーは、必要に応じて管理者が付与するモバイルアクセスが必要です。 PMに関連するセキュリティプロパティに名前を付ける場合は、「Project Managers」という名前を使用します。

チャレンジ

1.オブジェクトレベルのセキュリティ設定を設定する

ビジネス要件を満たす適切なプロファイルを作成します。チーム名に基づいてプロファイルに名前を付けます。「Field Sales User」「Inside Sales User」「Sales Executive User」。

ここは要件通りにプロファイルを作成すればOKです。
・共有設定OpportunityとAccountのDefault Internal Accessを「Private」に変更
・プロファイル「Field Sales User」「Inside Sales User」「Sales Executive User」の作成

2.レコードレベルのセキュリティ設定を設定する

ビジネス要件を満たすために、レコードレベルのセキュリティに関連するその他のSalesforce設定を構成します。ユーザーSamantha Cordero「Needs Analysis」を作成し、彼女に「Field Sales User 」プロファイルと「Field Sales」ロールを割り当てます。ステージ名「Needs Analysis」で、Samanthaが所有する商談を作成します。タイプが「Existing Customer – Upgrade」で、Samanthaが所有するクローズドウォンの商談を作成します。

Trailhead Security Superbadge管理パッケージをインストールしてから、次の手順ですべてのApexテストを実行する必要があります。

  1. セットアップのクイック検索で「Apex Test Execution」を検索します。
  2. 「Select Tests」ボタンをクリックします。
  3. ドロップダウンメニューから「All Namespaces」を選択します。
  4. 「sb_security」名前空間接頭辞が付いた 「BeAwesome」テストを選択します。
  5. 「実行」ボタンをクリックします。

このチャレンジをチェックする前に、すべてのユニットテストに合格していることを確認してください(テストの横に緑色のチェックボックスがあります)。

こちらはテストの実行がメインになります。
テスト通過のための以下準備が必要です。
・ユーザ「Samantha Cordero」の作成
・ロールの作成
・公開グループ「Project Managers」の作成
・共有ルールの作成(ここでAccountとOpportunityのアクセス権を調整)
・テスト実行

3.適切なパスワードポリシーを設定する

ここは選択問題形式です。
パスワードポリシーについての基本的な問題です。
1問目の選択肢はややこしいです。

4.フィールドレベルの変更を追跡する

設定を確認して更新し、要件内で特定されたフィールドへの変更を追跡していることを確認します。

以下の対応のみでOKです。
・商談オブジェクトに項目履歴管理を設定します

5.レポート、ダッシュボード、パブリックリストビューのセキュリティ設定を設定する

従業員が適切なデータのみを表示し、レポート用にその他のセキュリティ要件を設定できるようにします。

プロファイルの設定になります。
レポート、ダッシュボード、リストビューそれぞれの権限付与ですが、要求が細かいので見落としに注意。
1の段階でまとめてやっておくといいでしょう。

6.2要素認証を設定する

要件ごとに2FAが適切に構成されていることを確認してください。 2FAをSamantha Corderoに割り当てます。

2要素認証の設定をSamantha Corderoユーザにします。
設定を忘れた場合はユーザ ID のセキュリティ保護を参照。

7.Salesforce設定への変更を追跡する

ラスボスは設問形式です。
設定変更履歴の参照についての問いとなりますが、画面を開いておけば設問には答えられる程度の問題です。

コメント