セールスフォースのリリース
皆さんこんにちは。
プライバシーザムライ中康二です。

今や世界No.1のCRMサービス企業に成長した
セールスフォース・ドットコム。


国内でも多くの企業で利用されています。

そのセールスフォースに登録した顧客情報が、
意図せず外部から閲覧可能な状態になっていて、
個人情報が流出してしまう事態が昨年から頻発しています。

 PayPay
 楽天
 イオン銀行
 freee
 全日本空輸

など、著名な企業から同様の発表が続いています。

これは何なんでしょうか?
今回はこれについて少し解説したいと思います。

セールスフォースは、一言でいえば、顧客データベースサービスです。
顧客の名前や住所、電話番号、メールアドレスなどを登録できます。


手入力で登録している場合もあるでしょうし、
Webフォームなどを利用して、顧客自身が自動的に登録する場合もあります。

そのようにしてデータベースに自社の顧客の個人情報が蓄積されていき、
それを業務に活用しようというものです。

顧客データベースですから、100%のセキュリティが求められます。
同社のサーバーには世界最高水準のセキュリティ対策が施され、
不正アクセスが発生しないように24時間365日監視されている。
その信頼の元に世界中で利用されてきました。

ところが、セールスフォースが自社のサービスの機能を拡張する中で、
その肝心な顧客データベースの内容を誰でもが見える状態に
なぜかなってしまっていたのです。


もちろん、全ての情報ではありません。
利用している企業が特定の利用方法をしていて、
権限などを正しく設定していなかった場合にそれが発生しました。

問題なのはそれらの機能が後から追加されたものであり、
利用している企業が外部から参照できる状態になっていることに
気づいていなかったことにあります。

今回、そのような事態が発生したのは下記の3条件が重なった場合のようです。
(1)Salesforceの「サイト」機能が有効になっている。
  サイト機能というのは、「http://●●●●.force.com」というURLで
  Webサイトを構築できる機能のようです。
(2)「ゲストユーザのLightning機能」が有効になっている。
(3)ゲストユーザに参照権限が与えられている。

このような設定で利用されている場合には、
セールスフォースに登録した顧客情報に予期せず外部から閲覧されてしまう可能性があります。

セールスフォースをお使いの場合には、いま一度、
利用状況や設定を確認されることをおススメします。

参考URL
https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/
https://piyolog.hatenadiary.jp/entry/2020/12/28/060000
https://medium.com/@moniik/attack-about-salesforce-lightning-platform-e5de140a4816

(私のコメント)
実は当社でも創業の頃からセールスフォースを活用しています。手持ちの顧客リストをアップロードして、「うわあ、クラウドにこんな情報を載せていいのか」なんてヒヤヒヤしながら実行したのが懐かしいです。その後、2007年に日本郵政で採用され、2008年に日本法人がプライバシーマークを取得し、日本のビジネス界にどんどん浸透してきました。
現在、当社ではWebフォームからお問い合わせやセミナー申し込み内容を入力していただいた時点から、商談/契約/サービス提供までの一連の流れをセールスフォースで管理しており、当社にとって欠かせない存在となっています。
そんな訳で、同社とはお付き合いもありますし、ベースとしては好意を持ってみていますが、今回の事態はかなり深刻なものと言わざるを得ません。
特に私が問題だと思うのは、同社の情報発信内容です。参考URLの一つ目が同社からの説明文ですが、一読しても直感的に理解できないですよね。同社の技術文書は本当に分かりづらく、私もいつも苦労しています。今回は「分かりにくい説明文が、深刻な事故を招く」まさにその実例と言えるのではないかと思います。
同社にはリーディングカンパニーとして、情報セキュリティの水準アップを実現するためにも、もう一段レベルアップした分かりやすさを要望したいと思います。これは本当に重要なことです。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。



●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)