2025年8月、人事・財務管理ソフトウェアの大手企業であるWorkdayでは、社内で使用していた他社製のCRMシステムがソーシャルエンジニアリング攻撃を受け、取引先の情報（名前、メールアドレス、電話番号など）が漏えいしました。

同じ月に、GoogleでもCRMシステムへの攻撃によって250万件の顧客データが侵害されました。世界的IT企業のデータを侵害したこの攻撃のきっかけは、電話での会話による不正な誘導でした。

さらに、米国の大手保険会社であるFarmers Insuranceも同時期に同様の攻撃を受け、110万人の顧客に影響が及びました。同社は、機密性の高い顧客情報を格納していた他社製のデータベースに不正なアクセスがあったと説明しています。

上記3社の業種や顧客層は大きく異なりますが、これらの攻撃には1つの共通点があります。それは、攻撃者の侵入口がCRMシステムであった点です。攻撃者は、CRMシステムを足がかりに他のシステムに侵入し、データの窃取や身の代金要求などを行っています。

セキュリティは、Zohoの基本方針に組み込まれています。Zohoではサービスの機能性を継続的に高め、変化するニーズに対応すると同時に、お客さまに提供するすべてのサービス、機能、更新において、常にその中核にセキュリティを置いています。これはZoho CRMでも同じです。

Zoho製品のアーキテクチャはセキュリティを第一に考えて作られており、データの安全性とサービスの使いやすさの両面でお客さまから高い信頼を得ています。

 

Zoho CRMでは、基本的な設計に多層防御の考え方を取り入れています。これは、予防的な制御、常時の監視、厳格なアクセス管理など、複数の対策によってデータへのリスクを低減する考え方です。

Zoho CRMの物理的な実行基盤は、地域的に分散された複数のデータセンターで運用されています。データセンターは、強固なセキュリティ対策によって物理面とネットワーク面での安全性が確保されています。データは通信時も保存時も保護されるため、お客さまの重要な業務データは常に安全に守られています。Zoho CRMの実行基盤は、定期的なセキュリティ監査や脆弱性評価、国際基準への準拠により、高い安全性と信頼性を維持しており、どのような規模の企業にも最適な環境を提供できます。また、Zohoは、SOC 2、ISO 27001などの国際規格に準拠し、業界固有の認証も複数取得しています。

Zohoの各サービスではマルチテナントアーキテクチャを採用していますが、データの安全性のため、細部までのアクセス制御、認証、追跡性を重視した設計が施されています。アクセス可能なデータの範囲や実行可能な操作はユーザーの役割ごとに設定できます。必要であれば、項目レベルでの制御や、データを安全に共有するルールの設定も可能です。ユーザーの操作は、許可されたタブ（または、その中の特定の項目）での、許可された操作（表示、作成、編集、削除など）のみに限定されます。また、Zoho CRM内で実行された操作は、その詳細な情報が監査ログに記録されます。記録されたログは、使用状況の監視や異常検知にも利用できます。こうした仕組みにより、各組織の方針に応じて、必要なセキュリティを確保できます。

Zohoはサービス提供者としてデータの安全保護に最大限の対策を講じていますが、強固なセキュリティの実現には、サービスの提供者であるZohoと、サービスの利用者であるお客さまの双方での取り組みが必要です。特に、フィッシング、ソーシャルエンジニアリング、ランサムウェア、マルウェアなど、巧妙な手口を用いる攻撃には双方での対策が欠かせません。

攻撃者は、さまざまな方法でシステムへの侵入を試み、複数の手法を組み合わせて攻撃を仕掛けます。冒頭に挙げたGoogleの例では、最初の接触に電話が使われました。攻撃者はIT担当者を装って社員に電話をかけ、会話によってその社員を誘導してCRMシステムへの侵入を成功させています。また、ユーザーに未承認のアプリやマルウェアをCRMシステムに接続させ、そこからデータを少しずつ外部に送信する手法もよく使われます。

このような攻撃からデータを守るには、サービス提供者のZohoと、サービス利用者のお客さまの双方で対策を講じることが必要です。以下に、データ保護のために、Zoho CRMの機能を使ってお客さま側でできる主な対策と、そのベストプラクティスを紹介します。

自動化されたサイバー攻撃の中で特に多く見られるのが、パスワードによるログインを狙った攻撃です。別のシステムから流出したアカウント名とパスワードを使ってログインを試みる手口や、同じパスワードを多数のアカウントに対して試す手口などがあります。パスワードが使い回されていたり、弱い認証方式が使われていたりすると、こうした攻撃は成功する可能性が高くなります。個々のパスワードの成功率は約0.1%～2%と低い水準です。しかし、こちらの記事にあるように、ボットによる大規模攻撃が仕掛けられれば、結果として多くのアカウントが侵害される恐れがあります。

ログイン認証を狙った攻撃へのシンプルで効果的な対策としては、時間制限のあるワンタイムパスワードを用いた多要素認証があります。強度の高いパスワードの使用と使い回しの禁止をユーザーに徹底すると同時に、多要素認証を導入することによってデータのセキュリティを強化できます。Zohoでは、多要素認証アプリとしてZoho OneAuthを提供しており、これはOAuth認証に対応しています。API経由のアクセスも、OAuth認証の仕組みによって保護できます。また、Zohoのサービスを複数利用している場合は、SAMLなどの業界標準の方法を使ってシングルサインオン（SSO）も可能にできます。

営業活動では、外部のパートナーや取引先がCRMシステム内の特定の情報を必要とする場合もあります。Zoho CRMでは、組織外のユーザー向けに安全な「クライアントポータル」を提供できます。組織に属さないユーザーも、OAuthやSSOなどの認証方式を通じて安全にCRMシステムにアクセスできます。

 

新人の営業担当者が、最初の週から高額案件の詳細情報にアクセスする必要はありません。また、特定の地域を担当する営業マネージャーが、他の地域の顧客情報にアクセスする必要もありません。アクセス制御では「最小限の権限」の原則を徹底して守り、各ユーザーに、その人の業務に必要なデータへのアクセスのみを許可することが大切です。最小限を超える権限を付与すると、重要なデータが意図せず脅威にさらされ、データの安全性が低下します。一方で、権限が不足すると、ユーザーはデータの取得を他の人に依頼しなければならず、生産性が低下します。

Zoho CRMでは、各ユーザーの業務上の役割に応じて、そのユーザーがアクセスできるデータの範囲や実行できる操作を限定できます。役職の機能では、社長、支店長、営業担当者など、実際の組織の役職を設定し、組織内の上司と部下の関係をアクセス制御に反映できます。また、同じ役職のユーザーが相互にデータを閲覧することを許可するかどうかなどの細かい設定も可能です。

 

権限の機能では、ユーザーにどのタブへのアクセスを許可するかを設定できます。また、各タブにおいてユーザーが実行可能な操作（作成、表示、編集、削除など）も設定できます。Zoho CRMでは、役職と権限の機能を使用して、すべてのユーザーに「最小限の権限」の原則に従ってデータへのアクセスを許可し、セキュリティと生産性を両立できます。

Zoho CRMでは、項目レベルでのアクセス制御も可能です。特定の権限を持つユーザーに、項目ごとに、特定の操作（作成、編集、表示、削除など）のみを許可できます。たとえば、［見込み客］タブに顧客のクレジットカード情報が含まれているとします。この場合、営業担当者に［見込み客］タブへのアクセスは許可しつつ、クレジットカード情報の項目は非表示にできます。

アプリへのアクセスを特定のIPアドレス範囲に制限することは、不正なシステムやフィッシング攻撃者からシステムを保護することにつながります。正規のユーザーが海外や異なるネットワークから接続する場合は、VPNの使用によって安全にZoho CRMにアクセスできます。IPアドレスの制限を設定し、未知のアドレスからのアクセスを禁止すれば全体の安全性は大きく向上します。全面的な禁止が難しい場合でも、未知のアドレスからの接続に本人確認と認証を求めることでセキュリティを強化できます。 

データの保護のためにアクセス制御やセキュリティ対策を徹底している場合でも、Zoho CRMで行われたすべての操作を記録に残しておくことは大切です。Zoho CRMでは、さまざまな操作の記録が監査ログに残ります。このログには、管理者による操作、一般ユーザーによる操作、主要なシステム処理など、Zoho CRM内で、何が、いつ行われたのかが正確に記録されます。データの作成や更新、承認の申請、ワークフローの作成、一括処理（更新、削除、エクスポートなど）の操作履歴を後から確認できます。

監査ログを表示する際は、フィルターを使ってデータを絞り込むことができます。フィルターには、タブ、ユーザー、操作の種類、日付などの条件を指定できます。

 

監査ログの画面には、管理者以外のユーザーもアクセスできます。ただし、管理者以外のユーザーは、自分自身のログのみ表示でき、他のユーザーのログを表示することはできません。管理者は、すべてのログを表示でき、エクスポートも可能です。Zoho CRMの監査ログは最大3年間保管されます。

Zohoではプライバシーとセキュリティを設計の中心に置いています。このため、Zohoが提供するクラウド環境は、効率性を目的に物理的な実行基盤を共有しつつ、各組織のデータは分離するという安全性の高い設計になっています。

Zoho CRMの環境はマルチテナントモデルを採用していますが、安全性を重視し、各テナントは分離するという考え方で運用されています。複数のテナントが共存する環境であっても、厳格な論理分離により各組織のデータは独立した状態が維持されます。データベースが物理的に共有される場合でも、テナント分離の方針に従ってアクセスが制御されるため、データはテナントごとに切り離され、他のテナントからアクセスされることはありません。こうした運用により、各組織はクラウドとしての高い拡張性を生かしつつ、強固なデータセキュリティを確保できます。

Zoho CRMは、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018など業界で求められる認証を取得しています。また、SOC 2 Type 2の独立した第三者機関による監査も受けています。こうした認証は、Zohoにおいて、クラウドセキュリティ対策や情報セキュリティ管理が適切に実施されていること、個人情報が安全に保護されていることの証明となっています。

Zohoは、GDPRなどの個人情報に関する国際的な規制や、HIPAAなどの業界固有の規制にも準拠しています。Zohoでは、認定機関や第三者機関による外部監査を受けることによって、セキュリティ対策とプライバシー対策の評価と検証を定期的に実施しています。

Zoho CRMのセキュリティは、後付けではなく、システム全体の設計に組み込まれています。アクセス制御、監視、コンプライアンス対応などの機能が個々の処理に組み込まれ、使いやすさを損なわずにデータを保護する仕組みが確立されています。セキュリティを第一に置くこうした設計により、組織が成長しデータが増大していく中でも、ユーザーは、データが安全に保護されていること、そして常にデータが自らの管理下にあることを前提とし、安心して業務を行うことができます。