昨今、SaaSサービスなどのクラウドサービスが企業の業務に浸透していく中で、そのセキュリティー面に不安を抱える企業が増え始めています。
セキュリティ評価プラットフォームを運営する株式会社Assured(アシュアード)が、大手企業(従業員1,000名以上)の情報システム部に所属する300名に対し、クラウドサービス(SaaS等)利用に関連するアンケート調査をおこないました。
その結果、回答者全体の51.3%が「情報漏えいの機器やサービス提供に支障をきたす可能性のある事例が発生した」と回答し、企業側のSaaSサービスに対するセキュリティー意識、セキュリティー対応の重要性が高まっていることがわかります。
今回は、HubSpotセキュリティー機能や、HubSpotセキュリティーを高めるための設定方法を詳しく解説します。
HubSpotが展開する製品は、セキュリティー面に力をいれ、ユーザー保護に努めています。HubSpotのセキュリティー機能を解説する前に、まずは企業がセキュリティーを強化する重要性について解説します。
企業では、膨大なデータを日々の経済活動の中でやりとりしています。そのデータには機密情報や個人情報も含まれており、いまや、多くの企業でインターネットや情報システムを活用しています。
確かに、これらの活用で業務の効率化が促進されますが、セキュリティ対策が脆弱であれば、簡単に侵入され、事故リスクも大きなものとなるでしょう。
今では、SaaSをはじめとした様々なサービスが企業の業務に浸透していますが、情報漏えいを防ぐためにも、今の時代にあったセキュリティー強化は必要不可欠と言えます。
詳しくは後述しますが、HubSpotはセキュリティーを高めるための様々な機能が搭載され、クライアントのデータ保護を最優先に考えられた製品です。クライアントのデータを保護しながらサービス提供ができるよう、適切なリソース整備とガバナンス構築に取組んでいます。
ここで簡単にHubSpotについて解説します。
HubSpotはインバウンド手法に基づくマーケティングや営業、カスタマーサービス、コンテンツ管理やオペレーションの効率化など、実践に必要なCRM機能を備えたプラットフォームです。世界120ヵ国以上で、19万4000社を超えるクライアントがHubSpotを導入し、自社のビジネス成長を実現しています。
HubSpot社のソフトウェアで業務ツールを統一することで、顧客情報の一元管理が可能です。
現在5つの製品がありますが、無料プランが充実しており、日本語のサポート体制や導入支援にも対応しています。
また、BtoB、BtoCを問わず、組織すべてのチーム業務を効率化・最適化し、1160種類以上のサービスとのAPI連携が可能です。
「お客様を守り、信頼にこたえる」HubSpotのセキュリティーに関するフレームワークに基づき、クライアント情報のプライバシーと機密性の保護と、高品質な製品とサービスを常に提供しています。
<関連記事>
・HubSpotとは?多くの企業で活用されているHubSpotは何ができるのか?製品群や機能、料金、メリットなどわかりやすく解説!
HubSpotのセキュリティーを高める機能は、次のとおりです。
HubSpotにはセキュリティーを高めるために、二要素認証機能を取り入れています。
二要素認証とは、2つ以上の異なる要素を組み合わせた、セキュリティー強化を図る認証方式です。2FA(2 Factor Authentication)などと呼ばれたりします。
二要素認証のメリットは次のとおりです。
・万が一、パスワード盗難が発生してもログインを防止できる
・パスワード自体の財弱性をカバーできる
・不正アクセスによるログインを防止できる
・パスワード管理を補強する施策としてセキュリティー対策を強化できる
従来の認証方式は「IDとパスワード」による一要素認証が一般的でしたが、最近では不正にアクセスされる可能性が高くなっています。
二要素認証にするとセキュリティーが強固になり、大切な情報を不正アクセスやウイルスから守ります。
HubSpotのセキュリティーを高める機能の一つにHubSpotの「権限セット」があります。これは権限のセットをテンプレート化したもので、ユーザー権限設定の効率化が可能です。
HubSpotで現在用意されている権限セットは、次のとおりです。
また、Enterpriseプランを契約している場合、用意されている権限セット以外に、権限セットを自身の好きなように任意でカスタマイズができます。
HubSpotではセキュリティーをより高めるため、IPアドバイスによるログイン制限が可能です。
これにより、SaaSサービスのようなクラウドサービスへの接続時に、管理者が定義したIPアドレス範囲外のユーザーに対し、ログインできないように制限をかけられます。
この制限をかけることで、安全確保が担保されていないネットワークや、デバイスからの不正アクセスを制限できるメリットがあります。
この機能は、主に自社内や特定の場所への利用を想定したアプローチに有効です。
HubSpotの監査ログ(アクティビティーログ)は、セキュリティー関連の操作やユーザーのログイン操作、コンテンツに対する操作や権限設定などが把握できる機能です。
※この機能はスーパー管理者権限を持つユーザと、Enterpriseプランを契約したアカウントのみ対応可能
HubSpotの監査ログ(アクティビティーログ)には、Webサイトの更新履歴が記録されています。
各作業者のアクセス状況やWebサイトに対し加えた変更内容や時間など、「誰がいつどのような変更を加えたか」が把握できるだけではなく、監査時に提出する監査ログとしても活用可能です。
各アカウントユーザー権限に対するアクティビティーログの履歴確認と、アクティビティ―ログを外部にエクスポートできます。
この機能はEnterpriseプランの契約アカウントか、スーパー管理者権限者のみ利用可能で、各アカウントの状態を常時把握し、問題発生を未然に防げます。
対象のアカウントアクティビティは次のとおりです。
HubSpot Security Health(ハブスポット セキュリティー ヘルス)は、HubSpotアカウントのセキュリティーの健全性を管理する機能です。
HubSpot Security Healthを使用したセキュリティー対策リストの確認で、現在使っているHubSpotのアカウントが重大なセキュリティーインシデントに対し、どのレベルで保護されているかが、スコアで把握可能です。
HubSpotにはGDPR規制に対応した機能が用意されています。
GDPR(General Data Protection Regulation)とは、2018年5月にEU(欧州連合)が施行した個人データの保護規則で、「プライバシーとセキュリティーの法律において、世界で最も過酷」と言われています。
個人情報取扱いに関する法的要件を定め、個人情報とプライバシー保護の強化が目的です。
ここでは、先に解説したHubSpotのセキュリティー機能の設定方法を解説します。
具体的には、次のとおりです。
ここでは、HubSpotの二要素認証の設定方法を解説します。
二要素認証には、HubSpotのログイン時にスマートフォンなど、別個のデバイスを用いた認証が必要で、設定により不審者にアクセスされる危険性を大幅に下げられます。
HubSpotにログインし、トップページの画面右上にある「設定」を押下します。
「設定」を押下後、画面左側にあるメニューから「全般」を押下します。
「全般」を押下後、画面中央上部にある「セキュリティー」タブを押下します。
「セキュリティー」タブを押下後、「2要素認証(2FA)をセットアップ」を押下します。
「二要素認証(2FA)をセットアップ」を押下すると、二要素認証方法が表示されますので、任意の二要素認証を選択します。
それぞれの認証方法を選択すると、QRコードやワンタイムパスワード送信に必要な携帯電話番号の入力が求められるので、指示に従い対応してください。
下図は、HubSpotモバイルアプリを選択した場合の画面です。
HubSpotでは、二段階認証を「プライマリー認証」と「セカンダリー認証」の二段階で提供しています。
万が一スマートフォンなどの端末を紛失した場合や、セカンダリー認証方法を持っていない場合、二段階認証機能のリセットが可能です。その際、リセットまで約2、3日かかります。
ここではHubSpotの権限設定方法を解説します。
HubSpotにログインし、トップページの画面右上にある「設定」を押下します。
「設定」を押下後、画面左側にあるメニューから「ユーザーとチーム」を押下します。
「ユーザーとチーム」を押下後、画面中央上部にある「権限セット」タブを押下します。
「権限セット」を押下すると、権限セット一覧が表示されます。HubSpotの「Enterpriseプラン」では、既定の権限セットだけではなく、権限セットのカスタマイズも可能です。
まず、画面右上にある「権限セットを作成」ボタンを押下します。
「権限セットを作成」を押下後、画面中央最上部にある「権限セット名」を入力します。
「権限セット名」を入力後、「アクセス権を設定する方法を選択」を押下し、設定方法を選択します。
ここでは権限セットのテンプレートを選択し、解説します。「まずはテンプレートを選択」を押下します。
次に「権限を選択」を押下し、カスタマイズしたい権限セットを「テンプレートを選択」から選択します。(ここでは「CMS開発者」を選択します)
選択後、画面中央の「設定アクセス」一覧に表示されている各項目のオン・オフを設定します。
オン・オフの設定完了後、画面右上にある「作成」ボタンを押下します。
「作成」ボタンを押下後、「正常に完了」のメッセージが表示されれば設定完了です。
ここでは、信頼できるIPアドレスのみにHubSpotへのアクセスを制限し、ログインの安全性を高める方法を解説します。
HubSpotにログインし、トップページの画面右上にある「設定」を押下します。
「設定」を押下後、画面左側にあるメニューから「セキュリティー」を押下します。
「セキュリティー」を押下後、「設定とアクティビティー」を押下します。
「設定とアクティビティー」を押下後、画面をスクロールし、画面最下部にある「ログインを許可済みのIPに限定」の「ON・OFFスイッチ」を「ON」にします。
「ON・OFFスイッチ」を「ON」にすると入力項目が表示されるので、アクセスを許可したいIPアドレス、またはIPアドレスの範囲を入力し、画面最下部の左側にある「保存ボタン」を押下します。
「保存ボタン」押下後、正常に完了のメッセージが表示されれば、設定は完了です。
HubSpot内の個人情報保護と強化をおこなうGDPR機能の設定方法について、解説します。
HubSpotにログインし、トップページの画面右上にある「設定」を押下します。
「設定」を押下後、画面左側にあるメニューから「プライバシーと同意」を押下します。
「プライバシーと同意」を押下後、「データのプライバシー」タブから「データのプライバシー設定をオンにする」のスイッチをONにします。
また、法的根拠があるコンタクトの場合にのみ、下図画面下部にあるチェックボックスにチェックを入れてください。
GDPRの規定では、個人データを使用する場合、法律上の理由(HubSpotの規定では法的根拠と呼称)が必要なため、マーケティングや顧客フィードバック用のアンケートをEメール で送信する場合に使われます。
スイッチをONにすると、「データのプライバシー設定をオンにしますか?」という画面が表示されるので、「はい、データのプライバシー設定をオンにします」ボタンを押下します。
「はい、データのプライバシー設定をオンにします」ボタンを押下後、スイッチがON担っていれば設定は完了です。
ここでは、監査ログの確認方法を解説します。
HubSpotにログインし、トップページの画面右上にある「設定」を押下します。
「設定」を押下後、画面左側にあるメニューの「データ管理」から「監査ログ」を押下します。
「監査ログ」を押下後、監査ログ一覧が表示されます。
HubSpotをはじめ、SaaSサービスを提供する企業には自社サーバーが必要です。では、HubSpotはどのようなデータセンターを持っているのでしょうか?
はじめに、データセンターについて解説します。
データセンターとは、インターネットで用いるサーバーやデータ通信、携帯電話やIP電話などの装置の設置・運用に特化した建物の総称です。
クライアントのサーバーやIT機器の設置・収納場所を提供し、安定的な運用をサポートします。
また、データセンターは地震などの災害に対するハード面での堅牢さだけではなく、情報セキュリティーに対するソフト面での堅牢さも備え、昨今では自社内にサーバーをおかず、データセンターサービスを利用する企業が増えています。
HubSpot社は自社でデータセンターを保有しておらず、HubSpotの製品に関するホスティング(事業者のサーバーを借りる)をAmazonウェブサービスに外部委託しています。
これにより、サーバーに必要なサービスの可用性(システムの継続稼働能力や指標)を99.5~100%で保障し、ネットワークや電源、サーバーの空調設備に至る全ての冗長性(同じ役割を持つ機械を複数用意し、システムの一部に障害が発生しても全体が止まらないようにすること)を確保しています。
HubSpot製品のデーターセンターは、次の2つのリージョン(地域)です。
・米国東部リージョン
・ドイツリージョン
このことから、非常に堅牢なセキュリティー体制でデータセンターが運用されており、万が一の時も事業活動が止まる心配はありません。
本記事では、HubSpotを安全に利用するために必要不可欠なセキュリティー設定について解説しました。
HubSpotアカウントのセキュリティーを強化するための二要素認証や、不正アクセスを防ぐためのアクセス管理など、HubSpotには多くのセキュリティ機能が備わっています。
これらの設定を適切におこなうことで、ユーザーアカウントの安全性とセキュリティーの強化が図れ、ビジネスを安全かつ効率的に進められます。
自社にとって最適なセキュリティー環境を整えつつ、HubSpotの機能を最大限に活用し、ビジネスを成長させてください。