独立した公認会計士の Trust サービス保証報告書 セールスフォース

Ernst & Young LLP
Suite 1600
560 Mission Street
San Francisco, CA
94104-2907
Tel: +1 415 894 8000
Fax: + 415 894 8099
独立した公認会計士の Trust サービス保証報告書
セールスフォース・ドットコム社
取締役会御中
当監査法人は、米国公認会計士協会(AICPA)の TSP セクション 100 による
Trust サービスのセキュリティ、可用性、処理の完全性、機密保持及びプライバ
シーの原則及び規準に基づき、2014 年 11 月 1 日から 2015 年 4 月 30 日までの期
間において、セールスフォースが、下記について合理的な保証をするための有効
な内部統制を維持していることについて記載された「経営者の記述書」について
検証を行った。

Salesforce サービスシステムは、未承認のアクセス、利用、及び変更か
ら保護されていること
 Salesforce サービスシステムは、誓約事項に準拠して運用され、使用可
能であること
 Salesforce サービスシステムにおいて、機密と指定された情報は、誓約
事項に準拠して保護されていること
この経営者の記述書の作成責任はセールスフォースの経営者にある。当監査法人
の責任は当該監査法人の実施した手続きに基づいて意見を表明することにある。
当監査法人の検証は、米国公認会計士協会によって確立された業務実施規準に準
拠して実施され、(1)セールスフォースの対象となるシステムの機密保持、可
用性及びセキュリティに関する内部統制を理解し、(2)内部統制の運用の有効
性をテストし評価し、(3)当監査法人が状況により必要と認めたその他の手続
を実施したこと、を含んでいる。当監査法人は検証結果として意見表明すための
合理的な基礎を得たと判断している。
内部統制の固有の限界のため、誤り又は不正が発生し、それらが発見されないこ
とがある。さらに、当監査法人の発見事項に基づき、将来にわたる結論を予測す
ることには、システム又は内部統制に対する変更、必要な変更の未実施、あるい
は内部統制の有効性の低下のため、この結論が妥当性を持たなくなることもある
というリスクがある。
当監査法人は、上記の経営者の記述書が前述のセキュリティ、可用性及び機密保
持の規準に基づいて、全ての重要な点において適正に表示しているものと認める。
2015 年 6 月 4 日
A member firm of Ernst & Young Global Limited
Trust サービス
TM
のセキュリティ、可用性、及び機密保持の原則と規準に基づく、
Salesforce サービスシステムの
内部統制の有効性に関する経営者の記述書
セールスフォースは 2014 年 11 月 1 日から 2015 年 4 月 30 日の期間、米国公認会
計士協会(AICPA)の TSP セクション 100 による Trust サービス TM のセキュリテ
ィ、可用性、処理の完全性、機密保持、プライバシーの原則と規準に基づき、
Salesforce サービスシステムのセキュリティ、可用性、及び機密保持に係る以下
の項目について合理的な保証を与える有効な内部統制を保持していた。
·
Salesforce サービスシステムは、未承認のアクセス、利用及び変更から保
護されていた。
·
Salesforce サービスシステムは、誓約事項に準拠し運用され、利用可能で
あった。
·
Salesforce サービスシステムにおいて、機密と指定された情報は、誓約あ
るいは合意事項に準拠して保護されていた。
本記述書に含まれる Salesforce サービスシステムに関しては、添付した Salesforce
サービスシステムとその境界に関するシステム記述書に明記されている。
株式会社セールスフォース・ドットコム
2015 年 6 月 4 日
Salesforce サービスのシステム記述書
背景
セールスフォース・ドットコム社(以下、「セールスフォース」)は、カリフォ
ルニア 州サンフランシスコに本社を構え、 Salesforce サ ービ ス( Force.com、
Site.com、Database.com、Sales Cloud、Service Cloud、Communities 及び Chatter)
を手掛けるエンタープライズ・クラウド・コンピューティングのプロバイダーで
ある。
インフラストラクチャ
Salesforce サービスでは、ウェブ・アプリケーションサーバとデータベースサー
バで構成される独自技術を含む 2 層アーキテクチャーを採用している。また、自
動化システムを用いて Salesforce サービスのセキュリティ、可用性及びパフォー
マンスを監視している。
Salesforce サービス
セールスフォースは、以下のクラウド・ソリューションを提供するエンタープラ
イズ・クラウド・コンピューティングの企業である。
·
Force.com (プラットフォーム・サービス ) –ソーシャル、モバイル、リア
ルタイムビジネスアプリケーションを構築、運用するクラウド基盤であ
る。ワークフロールールや承認プロセスおよびカスタムコードを用いて、
ユーザーのニーズに応じたビジネスロジックを実装し、カスタムアプリ
ケーションを作成することができる。
·
Site.com – 企業、ソーシャルモバイルおよびマイクロサイトとして公開で
きるシングルサイトの作成を支援する。ビジネスユーザーは、ドラッグ
&ドロップ」を使用して Web 開発を行うことで、素早くコンテンツの追
加や変更ができ、また計画的なダウンタイムを必要としない。
Database.com – ソーシャル・エンタープライズをオープンかつ柔軟に統合
する拡張性の高いマルチテナント・クラウド・データベースである。オ
ープン API によって、あらゆる言語やプラットフォームでアプリケーシ
ョンを構築でき、様々なモバイル機器に展開することができる。
·
·
Sales Cloud – 手動または反復的な作業の自動化や、既存顧客や潜在顧客デ
ータの体系的な管理によって、営業責任者や営業担当者の生産性向上を
可能にするソリューションである。Sales Cloud は、パートナー管理機能
や、マーケティングオートメーション機能を装備している。
·
Service Cloud –コールセンターからソーシャルネットワークまですべての
チャネルで顧客とサービスの相互作用の包括的なソリューションを提供
するクラウド・コンピューティング・プラットフォームである。
·
Communities –Chatter を用いた企業ソーシャルネットワークを作成するソ
リューションで、情報を共有し、コラボレーションするために、ビジネ
スニーズに合わせて顧客、パートナー、従業員を直接つなぐコミュニテ
ィ空間を複数作成できる。コミュニティはカスタマーエクスペリエンス
(顧客の体験)を管理する一元的な場所を提供し、パートナー、代理店、
従業員をつないで効果的かつ効率的な販売促進と取組の向上を図るため
の空間を提供する。
·
Chatter – 自社内でのコミュニケーションを促進するコラボレーション・
クラウドである。ユーザーはリアルタイム情報を見ることができ、従業
員間や社内グループとの連絡、重要文書の管理、上位取引と顧客の把握
が可能である。
サービスの範囲
セールスフォースの製品は、クラウドサービスモデルを通して提供されている。
セールスフォースはこのサービスデリバリーモデルにおいて、インフラストラク
チャ(Salesforce のインフラを構成するハードウェア及びソフトウェア)、デー
タセキュリティ、データストレージ及びサービス管理プロセス(インフラ・シス
テムの運用と管理、システムやソフトウェア・エンジニアリングのライフサイク
ル)を含むサービスデリバリー層全ての責任を負っている。
顧客は、自社内における Salesforce の構築と設定、Force.com プラットフォーム・
インスタンスとインストールされたアプリケーションの管理、セットアップ機能
やアプリケーション開発ツールまたは API 統合ツールを用いたセキュリティ統制
の構築またはプロセスの自動化の責任を負っている。
Force.com
Force.com プラットフォームは、あらかじめ定義されたプログラミング言語やセ
ールスフォースが開発したアプリケーションテンプレートとシステムオブジェク
トを使用したカスタムアプリケーション開発を可能にする。
Force.com プラットフォームでは、カスタムコード(例えば Apex)の使用により、
モバイルアプリケーションを含む様々なビジネスアプリケーションをオンデマン
ドでカスタマイズし展開することに対応できる。
このプラットフォームは、ビジネスニーズに応じて容易に開発できる簡易機能
(ポイント&クリック)を備えているため、プログラミング経験を必要としない。
各 Salesforce インスタンスを含むプラットフォーム上で開発された全てのアプリ
ケーションにセキュリティコントロールが実装されている。Force.com のプラッ
トフォームは、ユーザーにとって最適な言語とプラットフォームを使用した、
Salesforce のカスタマイズ、統合、拡張を可能にする。
· ビジネスニーズに応じてセールスフォールスのカスタムフィールド、
リンク、オブジェクト、ページレイアウト、ボタン、レコードタイ
プ、s-コントロール、タブのカスタマイズを行うことが可能
· 自社の ERP 及び会計システムと Salesforce を統合し、販売情報、サポ
ート情報をリアルタイムで社内ポータルに配信し、クリティカルな
業務システムに顧客情報を入力することが可能
· Salesforce 上で管理された情報を、自社のビジネスニーズに応じてプ
レゼンテーション、データ分析、またはビジネスロジックの構築な
どに活用することが可能
Force.com プラットフォームは、多くの企業で採用され、Salesforce アプリケーシ
ョンの基盤としても使用されている。膨大なユーザーの要求に応えるため、
Force.com の基盤はマルチテナントアプリケーションを可能とするメタデータ駆
動型のソフトウェアアーキテクチャである。マルチテナントプラットフォームに
より、アプリケーションを利用する各企業は物理的に分かれたサーバーやデータ
ベースを保有する必要がない。企業は共通のコードベースを共有し、アプリケー
ションは企業固有のニーズに応じたカスタマイズが可能となる。Force.com プラ
ットフォームは、特許認可されたメタデータ駆動型アーキテクチャを利用するこ
とによってサービスの有効化を自動的に行い、顧客のカスタマイズや開発作業に
対応することができる。
Site.com
Site.com は、企業、ソーシャルモバイルおよびマイクロサイトとして公開できる
シングルサイトの作成支援をする。ビジネスユーザーは、「ドラッグ&ドロップ」
を使用して Web 開発を行うことで、素早くコンテンツの追加や変更ができ、計
画的なダウンタイムを必要としない。
Database.com
Database.com プラットフォームは、Force.com プラットフォームの最小限の機能
を搭載したプラットフォームであり、クラウド上で開発するための低コストのオ
プションとして提供されている。このプラットフォームは豊富な API のセットを
有し、あらゆるフレームワーク、言語、機器からアクセスすることが可能である。
データは、アプリケーションを通じて検索したり、セキュアなストリーミングを
使用してモバイル機器に配信することができる。自動化されたチューニング、ス
ケーリング、バックアップ、そしてリカバリー機能を有しており、保存されたデ
ータは、容易かつ安全にビジネスコミュニティー内で共有することができる。
Applications and Chatter
セールスフォースがプラットフォーム上で開発した Chatter をはじめとするカス
タムアプリケーションには、プラットフォームのセキュリティ統制が適用されて
いる。セキュリティに留まらずプラットフォームの様々な機能は、Salesforce の
営業、マーケティング、パートナー関係管理、顧客支援といった様々な企業顧客
管理アプリケーションに活用されている。Chatter は、プラットフォーム機能の
活用によって、企業間のコラボレーションやコミュニケーションをリアルタイム
で実現している。このようなサービス提供モデルにおいて、セールスフォースは
インフラストラクチャ(Salesforce インフラストラクチャを構成しているハードウ
ェアとソフトウェア)、データセキュリティ、サービス管理プロセス(インフラス
トラクチャの運用と管理、及びシステム・ソフトウェア・エンジニアリングのラ
イフサイクル)を含むあらゆるサービスデリバリー層に責任を負っている。
顧客データ
セールスフォースは、顧客が Salesforce システムに送信したすべての電子データ
又は電子情報を顧客データと定義し、機密情報として取り扱っている。機密情報
へのアクセスは、物理的及び論理的統制によって必要な場合に応じて承認された
者に限定されている。
要員
テ ク ノ ロ ジ ー 管 理 機 能 は 、 Salesforce サ ー ビ ス の 主 要 な 構 成 要 素 で あ り 、
Salesforce サービスの開発、運用における適切な職務分掌を保証する機能を担っ
ている。インフラストラクチャの支援、保守、及び提供に係るテクノロジー管理
機能の主な責任は以下の通りである。
·
·
開発-Salesforce サービスのコード開発、保守、及び技術仕様書の作成
プログラム管理-Salesforce サービスの開発プロジェクト管理、リスク管
理、リリース管理、及びステータス報告。顧客要求の確認とリリースの
優先順位付の支援
·
製品管理-Salesforce サービスシステムの開発に係わる製品ロードマップ
と機能仕様書の提供
·
クオリティエンジニアリング-定義したロールと職責に基づいたテスト
環境、ステージング環境、本番環境におけるソフトウェアビルドサービ
スと品質保証の提供
·
リリースエンジニアリング-本番環境へのリリース管理
·
インフラストラクチャエンジニアリング- インフラストラクチャの構成、
拡張、災害復旧計画、運用問題への対応。データセンター及びネットワ
ークの運用、システム・ネットワーク障害の一次対応、運用監視、シス
テムバックアップを年中無休でサポート。