CRM(営業支援・顧客管理)クラウドサービスで超有名な「Salesforce」。
この「Salesforce」の設定不備による情報漏えい事故が
昨年末から立て続けに報道されています。
世界№1 CRMツールと言われるだけあって、
導入していた自治体や大手企業も多く、
内閣サイバーセキュリティセンター(NISC)や、
Salesforceも注意喚起を行っていますが、
これはなかなか影響が大きそうですね。
(Salesforce HPより https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/)
弊社はSalesforceは使用していないため、
報道やSalesforceのサイトに公開されている注意喚起等から読み取る限り…ですが、
Salesforceを利用する中で、
コミュニティ、Salesforce サイト(旧 Force.com サイト)、
および Site.comのサイト上に構築する公開サイト機能を
利用している場合にのみ発生する事象とのこと。
公開サイトとして登録しているものがなければ大丈夫ということのようですね。
しかも、この情報漏えいの原因は、
システムの脆弱性ではなく、
情報共有に関する設定が適切に行われていない場合に起こる事象とのこと。
「結局、設定不備かい!!」と思ってしまいますが、
なぜ、これほど多くの大企業が同じように
設定ミスをしてしまうのか不思議じゃないですか??
そんなことある??
どう考えても、システム管理者がしっかりと管理していると思われる、
大企業だらけです。
Salesforceは、ユーザ側の設定不備が原因と報告していますが、
(たぶん実際本当にそうなのでしょうが…)
仕様が途中で変わったか、よほど設定がわかりにくかったとしか思えません。
と、システム側に問題を擦り付けても仕方がないので…
ここで、学ぶべきことは以下のとおり。
ですね。
どのクラウドサービスでも起こり得ることとして、
注意していきましょう。