MA/CRM連携で事故らない!権限・監査ログ・データ持ち出し対策の全貌【BtoB企業向けセキュリティ戦略】

MA/CRM連携の恩恵を享受しつつ、セキュリティ事故を回避したい企業へ。権限管理、監査ログ、データ持ち出しの重要論点を深掘りし、法的・倫理的側面も踏まえた実践的な対策をAurant Technologiesが提案します。

更新:2026年5月9日
この記事をシェア:
目次 クリックで開く

MA(マーケティングオートメーション)とCRM(顧客関係管理)のデータ連携は、BtoB企業の営業効率を最大化する一方で、機密性の高い顧客情報が複数のSaaS間を流通するというリスクを孕んでいます。本ガイドでは、実務担当者が直面する「権限設計」「ログ監視」「データ漏洩対策」の3大論点を、主要ツールの仕様に基づき解説します。

MA/CRM連携におけるセキュリティリスクの正体

システムを連携させる際、最も見落としがちなのが「API経由のデータ同期」と「内部不正」のリスクです。単体でのセキュリティが強固でも、連携設定が甘ければそこが脆弱性となります。

攻撃面の拡大:API連携とデータ同期の落とし穴

MAとCRMをAPIで接続する場合、連携用のアカウント(統合ユーザー)に過剰な権限を付与しがちです。統合ユーザーが「全データの削除」権限を持っている場合、MA側の誤操作やスクリプトのエラーがCRM側の全顧客データを損なうリスクがあります。

関連記事:【図解】SFA・CRM・MA・Webの違いを解説。高額ツールに依存しない『データ連携の全体設計図』

インサイダーリスク:データ持ち出しの8割は「内部」から

JNSA(日本ネットワークセキュリティ協会)の調査によれば、情報漏洩の原因の多くは内部不正や設定ミスです。特に「CSVエクスポート」の権限が現場担当者に広く付与されている状態は、物理的なデータ持ち出しを容易にします。

権限管理(RBAC)の設計手順と最小権限の原則

セキュリティの鉄則は「業務に必要最小限の権限のみを付与すること」です。これを実現するのがロールベースアクセス制御(RBAC)です。

SalesforceとHubSpotにおける権限セットの使い分け

主要なCRM/MAでは、権限管理の思想が異なります。実務においては以下の仕様を把握した設計が求められます。

  • Salesforce: 「プロファイル」で基本権限を定義し、「権限セット」で個別の追加権限を付与する。1ユーザーに複数の権限セットを割り当て可能なため、柔軟性が高い。
  • HubSpot: 「ユーザー権限セット」を作成し、チームごとに適用。オブジェクト単位(コンタクト、会社、取引)での閲覧・編集・削除を詳細に制御可能。

具体的な設定手順:プロファイルと権限セットの適用

  1. 標準プロファイルのクローン: 既存の「標準ユーザー」を直接使わず、必ずクローンして自社用プロファイル(例:営業担当者_閲覧専用)を作成します。
  2. エクスポート権限の剥離: デフォルトでチェックが入っている「レポートの実行」「レポートのエクスポート」をオフにします。
  3. 権限セットでの例外付与: 特定のマネージャーのみに、エクスポート権限を含む「権限セット」を別途割り当てます。

監査ログの保全とSIEMによるリアルタイム監視

「誰がいつ、どのレコードを書き換えたか」を追跡できる状態にすることは、不正の抑止力として機能します。

Salesforce Shieldを活用した高度なイベントモニタリング

Salesforceの標準機能ではログの保持期間に制限がありますが、上位オプションである「Salesforce Shield」を導入することで、最大10年間のログ保存とリアルタイムイベントモニタリングが可能になります。

【公式情報】Salesforce Shield

URL: https://www.salesforce.com/jp/products/platform/shield/

導入事例:株式会社三井住友銀行(金融機関レベルの厳格な監査要件をクリアするために活用)

トラブルシューティング:ログが肥大化しストレージを圧迫する場合

全ての操作をログに記録すると、APIのコール数やストレージ容量を圧迫します。対策として、以下の「重要イベント」に絞ったサンプリングや外部ストレージ(BigQuery等)へのエクスポートを推奨します。

  • ログイン成功/失敗(特に普段と異なるIPアドレスからのアクセス)
  • 大量のレコード削除操作
  • レポートのエクスポート実行

関連記事:SaaSコストとオンプレ負債を断つ。バックオフィス&インフラの「標的」と現実的剥がし方(事例付)

データ持ち出し(DLP)対策とセキュリティスタック

ID/パスワード管理だけでは、正規ユーザーによる意図的なデータ持ち出しを防げません。ブラウザやネットワーク層での制御が不可欠です。

主要DLP・アクセス制御ツールの比較

MA/CRMへのアクセスを保護するための代表的なソリューションを比較します。

ツール名 主な機能 参考料金 公式URL・事例
Cloudflare Zero Trust ブラウザ隔離、IP制限、デバイス証明書 Freeプランあり / $7〜/user 公式サイト

事例:戸田建設
Netskope SaaSへのアップロード/ダウンロード制御、DLP 個別見積(数千円〜/user) 公式サイト

事例:TOTO
Okta SSO連携、プロビジョニング、ライフサイクル管理 $2〜$15/user 公式サイト

事例:メルカリ

関連記事:SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ。Entra ID・Okta・ジョーシスを活用した自動化アーキテクチャ

法規制への対応:改正個人情報保護法とGDPR

2022年4月施行の改正個人情報保護法により、データ漏洩時の報告が義務化されました。また、欧州の顧客を抱える場合はGDPRへの対応も無視できません。

データ削除権(忘れられる権利)への技術的対応

顧客からデータ削除の請求があった際、CRM側だけ削除してMA側にデータが残っていると、誤ってメールを配信してしまうという事故が起きます。以下のフローを自動化する必要があります。

  1. CRMのレコードに「データ削除フラグ」を立てる。
  2. Webhook経由でMA側の同一リードを特定し、削除またはオプトアウト処理を行う。
  3. 監査ログに「本人請求による削除完了」を記録する。

MA/CRM連携におけるセキュリティは、一度設定して終わりではありません。ツールのアップデートや組織の変更に合わせ、四半期に一度の権限棚卸しと、ログの定期チェックを運用プロセスに組み込むことが、事故を防ぐ唯一の道です。

運用フェーズで陥りやすい「見えないリスク」のチェックリスト

初期設定で権限を絞り込んでも、日々の運用の中でセキュリティホールが生じることがあります。特に以下の3点は、B2B企業の情シス・マーケ担当者が定期的に確認すべき項目です。

  • 外部ツール連携用の特権アカウント: データ連携ツール(iPaaS等)やリバースETLのために作成した「システム連携用ユーザー」に、不要な管理者権限(全データの書き出し・削除など)が残っていないか。
  • 退職者の「ゴーストアカウント」: 組織改編や退職に伴い、CRMのライセンスは停止したが、MA側のログイン権限が残ったままになっていないか。
  • 非公式な「野良連携」: 現場判断でブラウザ拡張機能や無料の連携アプリを導入し、CRMの顧客データへのアクセスを許可していないか。

関連記事:SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ。Entra ID・Okta・ジョーシスを活用した自動化アーキテクチャ

SSO(シングルサインオン)によるアクセス制御の強化

IDとパスワードの管理を個別のSaaSに委ねるのではなく、OktaやMicrosoft Entra ID(旧Azure AD)などのIDプロバイダ(IdP)に集約することで、セキュリティ強度は飛躍的に向上します。多要素認証(MFA)を強制できるほか、退職時にIdP側のアカウントを無効化するだけで、紐付く全てのMA/CRMへのアクセスを一括遮断できるためです。

主要IdPとCRM/MAの公式連携ガイド
対象ツール 公式リソース・設定ガイド
Okta × Salesforce SAMLを用いたSalesforce連携の概要(Okta公式)
HubSpot シングルサインオン (SSO) のセットアップ(HubSpotヘルプ)
Marketo Engage SAMLシングルサインオンのセットアップ(Adobe公式)

SSO導入時の注意点

SSOを導入しても、IdPを経由しない「直接ログイン(ローカルログイン)」が許可されていると、そこが裏口となります。移行後は、管理者以外のユーザーに対してローカルログインを禁止する設定(Salesforceの「SSOを必須にする」設定など)を忘れずに行いましょう。なお、連携の詳細は各社の契約プランにより異なるため、導入前に「SAML/SSO対応」の有無を公式価格ページ等で確認してください。

関連記事:高額なCDPは不要?BigQuery・dbt・リバースETLで構築する「モダンデータスタック」ツール選定と公式事例

ご相談・お問い合わせ

本記事の内容を自社の状況に当てはめたい場合や、導入・運用の設計を一緒に整理したい場合は、当社までお気軽にご相談ください。担当より折り返しご連絡いたします。

お問い合わせフォームへ

CRM・営業支援

Salesforce・HubSpot・kintoneの選定から導入・カスタマイズ・定着まで一貫対応。営業生産性を高め、商談化率を改善します。

CRM・営業支援サービスを見る まず無料相談する
CRM・MA セキュリティ
AT
aurant technologies 編集

上場企業からスタートアップまで、数多くのデータ分析基盤構築・AI導入プロジェクトを主導。単なる技術提供にとどまらず、MA/CRM(Salesforce, Hubspot, kintone, LINE)導入によるマーケティング最適化やバックオフィス業務の自動化など、常に「事業数値(売上・利益)」に直結する改善実績多数。

この記事が役に立ったらシェア:
Xでシェア はてブ
← ブログ一覧へ戻る
RELATED

関連記事