コラム

  • 2021.09.16
  • セキュリティ
  • #クラウド
  • #基礎知識
  • #脆弱性診断

Salesforce利用者なら知っておきたい、セキュリティリスクとその対策を解説

世界トップシェアを誇り、国内でも多くの企業や団体などで導入されている顧客関係管理ソリューションの「Salesforce」。2020年末から相次いで金融業、小売業、自治体など重要な社会インフラを担う企業や団体でSalesforce上のデータが外部から参照されるという情報漏洩事故が起こり、2021年1月29日には内閣サイバーセキュリティセンター(NISC)より注意喚起がなされました。 このコラムでは、すでにSalesforceを導入済みの企業、導入を検討中の企業の方々に向けて、起こりうる情報漏洩のリスクと、その対策についてご紹介します。

Salesforce利用企業で発生したこれまでの情報流出の事故事例

まず、2020年末あたりから発生しているSalesforceを利用している企業や団体におけるセキュリティ事故の一例を概要とともに振り返ってみましょう。

◆ECサイト運営企業(2020年12月)
ECサイトの出店見込み、または契約済みの事業者の企業名や店舗名、氏名、住所、メールアドレスなどが流出。
そのほかのサービスも含め148万件の顧客情報が不正にアクセスできる状態にあったとされる。延べ600件以上の個人情報への不正アクセスを確認。

◆小売企業(2021年1月)
Webサイトの問合せフォームへの不正アクセスを確認。氏名や性別、メールアドレス、電話番号、問合せの内容などが流出した可能性がある。
期間は2014年9月~2021年1月の約7年間で、海外から2度のアクセスを確認している。

◆SIer(2021年2月)
自治体向けに展開する緊急通報システムなど3システムにおいて個人情報へアクセスが可能な状態であったと発表。政令指定都市を含む13団体で氏名や住所など個人情報への不正アクセスを確認。

◆信託銀行(2021年3月)
口座開設システムへ登録された3万7,000件以上の個人情報への不正アクセスが可能であったと発表。口座開設手続きをした101名の氏名、住所、電話番号のほかにデビット用暗証番号などの個人情報への不正アクセスがあった。

これらの情報漏洩事故の原因はすべてSalesforceの「アクセス制御の権限設定」に不備があったこととされています。なぜそのようなことが起こったのかについて次に解説していきます。

情報流出までの経緯と原因

事故の原因はSalesforceのアップデート時に外部からアクセスできる機能がデフォルトで有効になり、利用者である各企業がその設定変更をしないまま利用していたことにあります。

Salesforceが2016年にリリースした「Lightning」というコンソールのなかには「サイト機能」というものがあります。この機能を使うことにより、WebページをSalesforce上に置くことができるようになり、そのページには利用者が管理するSalesforceのIDやパスワードがなくてもアクセスできるという仕様になっています。
さらには、この機能を有効にすることにより、「Auraエンドポイント」というSalesforce上のオブジェクトにアクセスできるAPIが有効になります。
これらのことが相まって、Webページを作成した際に自動的に生成されるゲストユーザーのデフォルトの権限設定が、LightningとAuraエンドポイントともに有効となっていたというわけです。

先にご紹介した事例のような事故が起きた原因は、上記のアップデートにより外部からの攻撃が可能になったことにあるようです。しかし、実はアップデート以前からも利用者側でデータへのアクセス制限を設定することはできる状態になっていて、その設定が不適切な状態であったということも、以上のような事故の原因の一つだったと考えることもできます。

いずれにしても、Salesforceのセキュリティ設定についてのベストプラクティスはSalesforce自身が展開しており、そのチェック機能もあります。仮に、そのベストプラクティスに基づいて権限設定がなされていれば以上のような事故は避けられたのかもしれませんが、実際に「権限設定が正しいか」をチェックするとなるとその作業は楽ではありません。頻繁にリリースされるアップデートごとに検証することは、たとえ専任の担当者がいたとしても、万全になるとはいいがたいからです。

流出事故の責任の所在

少し話が逸れますが、今回のようにSaaSの設定不備が原因で事故が起きた際、その責任はどの企業が担保するのでしょうか。

クラウド型サービスが登場する以前であれば、保守・運用を自社管理または外部委託し、自社の決定以外で設定の変更はなされず、万が一にも情報が漏洩した際には委託先が責任を負うという考え方が一般的でした。
しかしクラウドはあくまでサービスであり、設定変更の権限は利用者側にあります。「利用者側で設定変更ができる」ことはサービスの一部であり、「第三者からアクセスできる設定にする」ことは利用者側の責任となってしまいます。

責任については2021年2月にSalesforceからも改めて、プラットフォーム固有の脆弱性ではなく、あくまで利用者側の設定不備が原因であることを発表していることをみても、責任の所在がどこにあるのかを理解することができます。

問題発覚後の対応とセキュリティ対策

前述の発表にて、Salesforceは情報漏洩リスクの少ない権限設定をデフォルトにするアップデートを行いました。ユーザーに必要な最小限のアクセス権限を与える「最小権限」と、初期設定の状態が可能な限りもっとも安全な状態とする「セキュア・バイ・デフォルト」です。
また、利用者に対しては、ゲストユーザーのアクセス権限を確認できるアプリ「ゲストユーザアクセスレポート」の使用と該当ヘルプ記事の参照を推奨しています。
このような設定や推奨事項にあわせた対応をするほかに、データの送信時・保存時に機密データを暗号化しセキュリティを強化するアドオンサブスクリプション「Shield Platform Encryption」の適用もセキュリティ対策には効果的といえます。

以上のような対応をすることでひとまず自己防衛や自己点検は可能のように思えますが、先にも述べたとおり、企業内でほかの業務も兼務している情報システム担当者がSalesforceの知識をえて権限設定のチェックをしたり、最新のリリース情報を常に追うことは簡単ではありません。そのような場合は、第三者の支援を仰ぎ、セキュリティ対策を行うこともオススメします。

まとめ

ここまで、2020年末から立てつづけに発覚したSalesforceに関するセキュリティ事故とその対策についてご紹介させていただきました。
アカウントの権限設定やID、パスワードの管理はすべて利用者側の責任となり、管理にはサービスに対する専門的な知識が必要となります。これはSalesforceに限らずすべてのクラウド型サービスに共通することです。
数多くのサービスから適したものを選定し、早いスピードでアップデートがされてゆくなかで正しくセキュアな設定を維持して運用することは容易とはいえません。
そんななかで、SHIFT SECURITYは不足している知識・対策を補い、企業活動の一助となりうるようなセキュリティサービスを展開しています。クラウド環境に対するセキュリティ対策をご検討の際には、仕組化・標準化を追究した品質保証のプロであるSHIFTグループのセキュリティ専門ベンダーSHIFT SECURITYへぜひご相談ください。

SHIFT SECURITYでは、第三者の立場から権限設定の状態をチェックする「Salesforceクラウド診断」サービスを提供しております。
本サービスではSalesforce自身が展開する「Salesforceセキュリティガイド」に基づき、アカウントの権限設定をセキュリティの観点でレビューします。

SHIFT SECURITY クラウド診断の詳細はこちらから

資料ダウンロード/動画視聴

クラウドセキュリティ リスクと対策

セキュリティ診断導入 社内説得ノウハウ

非機能テスト 講座

関連サービス