先日来、世間を賑わしている「セールスフォースを利用している企業・団体からの顧客情報流出」問題。
ペイペイにはじまり、楽天、イオン、PayPay、バンダイ、自治体など、数多くの流出(した怖れ)が発表されております。
「セールスフォースが・・・」だけではなく、根深い問題が潜んでいると感じます。
設定不備?が問題?
なぜ流出の怖れがあったのかと言うと「セールスフォースの設定が『誰でも参照可能』になっていたから」です。
ネット上で参照可能になっていたことから、「流出した怖れがある」ということになります。
※話を単純にするためにザックリと書いています。
また、設定の問題ですので、ソフトウェアのバグや脆弱性などではありません。
(セールスフォース公式としてもそのように言っています)
流出の怖れの全容はまだ見えない?
セールスフォースを利用している企業・団体はかなりの数に上ります。
実際、今回の件でも多くの企業・団体が次々に流出した怖れの発表をしております。
また、ペイペイが発表したのは2020年12月7日ですが、1ヶ月半を経た2021年1月29日にバンダイからも発表されています。
そもそも、自社の再チェックをしていない、チェックをしても判断を間違えている、といったケースもありえると考えられますので、まだ今後も続くかもしれません。
「命(データ)」を守るために、できることはやっていきましょう
「誰が悪いか」というお話については、今回は語らないことにします。
しかし、セールスフォースに限らず、様々なサービスでこのようなリスクがあります。
セールスフォースといったクラウド型サービスは、そのサービス仕様に従わざるを得ません。
有無を言わさずアップデートされるためです。
セールスフォースというと少し遠い感覚かもしれませんが、それがオンラインストレージだったらどうでしょうか。
例えば、Dropboxでバージョンアップが発生。
新しい設定項目が追加となり「その項目のデフォルトは『誰でも参照可能』です。設定変更しなければ、既存ファイルも全てデフォルト値になります。」というものだったらどうでしょうか。
、、、恐ろしいことが起きますね。
(完全に架空のお話です。)
利用しているサービスの仕様変更を把握し、サービスのスケジュールに従って対処していく。
現実的に(パワー的に)難しいものでもあります。
そもそも、仕様を「正しく」理解すること自体が、難しいこともあります。
そのような負荷を減らすとしたら、以下のような施策が考えられるでしょう。
- 不必要なサービスを使わない
- 不必要なほど高機能なサービスを使わない
- 重要なサービスは担当者をおいてしっかりと対処する
- 信用のおける、実績のある外部に委託する
もはや「サービスを使わずに事業を行っていく」のは難しい時代でしょう。
自社で抱え込まず、外部に頼ることも考えていきましょう。
メルマガ登録
『メルマガ Professional's eye』
週1回、3分で楽しめます。
詳細はこちら >>>
広告を含むご案内のメールをお送りする場合があります。
One more thing
セキュリティに関係するお話ではありませんが、過去、Dropboxにて「改悪」と言われるサービス変更がありました。
利用の仕方によっては、サービスの仕様変更に振り回されるリスクもあります。
※以下の例は、有料プラン使いなさいよ、というお話ですが。。
先日、Dropbox 無料プランの仕様変更、月額プランの料金改定がありました。(2019/3のようです。) [blogcard url=https://www.itmedia.co.jp/news/articles/1903/15/n[…]
