【メルマガ】セールスフォース設定不備?による顧客情報流出問題。現実的に限界か?(2021年03月16日)

先日来、世間を賑わしている「セールスフォースを利用している企業・団体からの顧客情報流出」問題。
ペイペイにはじまり、楽天、イオン、PayPay、バンダイ、自治体など、数多くの流出(した怖れ)が発表されております。

「セールスフォースが・・・」だけではなく、根深い問題が潜んでいると感じます。

設定不備?が問題?

なぜ流出の怖れがあったのかと言うと「セールスフォースの設定が『誰でも参照可能』になっていたから」です。
ネット上で参照可能になっていたことから、「流出した怖れがある」ということになります。
※話を単純にするためにザックリと書いています。

また、設定の問題ですので、ソフトウェアのバグや脆弱性などではありません。
(セールスフォース公式としてもそのように言っています)

流出の怖れの全容はまだ見えない?

セールスフォースを利用している企業・団体はかなりの数に上ります。
実際、今回の件でも多くの企業・団体が次々に流出した怖れの発表をしております。

また、ペイペイが発表したのは2020年12月7日ですが、1ヶ月半を経た2021年1月29日にバンダイからも発表されています。

そもそも、自社の再チェックをしていない、チェックをしても判断を間違えている、といったケースもありえると考えられますので、まだ今後も続くかもしれません。

「命(データ)」を守るために、できることはやっていきましょう

「誰が悪いか」というお話については、今回は語らないことにします。

しかし、セールスフォースに限らず、様々なサービスでこのようなリスクがあります。

セールスフォースといったクラウド型サービスは、そのサービス仕様に従わざるを得ません。
有無を言わさずアップデートされるためです。

セールスフォースというと少し遠い感覚かもしれませんが、それがオンラインストレージだったらどうでしょうか。
例えば、Dropboxでバージョンアップが発生。
新しい設定項目が追加となり「その項目のデフォルトは『誰でも参照可能』です。設定変更しなければ、既存ファイルも全てデフォルト値になります。」というものだったらどうでしょうか。
、、、恐ろしいことが起きますね。
(完全に架空のお話です。)

利用しているサービスの仕様変更を把握し、サービスのスケジュールに従って対処していく。
現実的に(パワー的に)難しいものでもあります。
そもそも、仕様を「正しく」理解すること自体が、難しいこともあります。

そのような負荷を減らすとしたら、以下のような施策が考えられるでしょう。

  • 不必要なサービスを使わない
  • 不必要なほど高機能なサービスを使わない
  • 重要なサービスは担当者をおいてしっかりと対処する
  • 信用のおける、実績のある外部に委託する

もはや「サービスを使わずに事業を行っていく」のは難しい時代でしょう。
自社で抱え込まず、外部に頼ることも考えていきましょう。

メルマガ登録

"意見が持てる" デジタルコラム
『メルマガ Professional's eye』

週1回、3分で楽しめます。


詳細はこちら >>>
送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。

One more thing

セキュリティに関係するお話ではありませんが、過去、Dropboxにて「改悪」と言われるサービス変更がありました。

利用の仕方によっては、サービスの仕様変更に振り回されるリスクもあります。

※以下の例は、有料プラン使いなさいよ、というお話ですが。。

関連記事

先日、Dropbox 無料プランの仕様変更、月額プランの料金改定がありました。(2019/3のようです。) [blogcard url=https://www.itmedia.co.jp/news/articles/1903/15/n[…]

バックナンバーを見る

>情報システムの

情報システムの"教科書"本を発売中!


■ 情シス、システムコンサルタント、システムエンジニアの方へ
情シスの定石(技術評論社)

■ システムエンジニア、情シスの方へ
システム設計の教科書(技術評論社)

CTR IMG

株式会社グロリア ご紹介