世界No.1 CRMと公式サイトでも謳われるセールスフォース(Salesforce)は、クラウド上で顧客管理・営業管理などを行うことができるビジネスアプリで、現在15万社以上が導入しています。今年1月に、同社が提供するクラウドサービスを使う企業で、本来アクセスできないはずの情報を第三者が閲覧できてしまう問題が明らかになりました。その後2月に入り次々と不正アクセスの報告が相次ぎ、内閣サイバーセキュリティセンター(NISC)からも情報漏えい危機について注意喚起がだされる事態となっています。
セールスフォースの設定不備による不正アクセス事例
セールスフォースはソフトウェアをWeb上でサービスとして提供する「SaaS(Software as a Service)」型のアプリケーションです。従来はソフトウェアをパッケージ製品としてPCにインストールするタイプが主流でしたが、SaaS型はユーザが必要な機能だけを選択して利用可能です。選択した機能や利用状況に応じて料金を支払うので、企業はコストやリスクを最小限に抑えられます。必要のない機能を省いて操作性や処理性能の低下を防ぎ、ビジネスの変化に対応して柔軟に機能を拡張していくことができます。利便性の高いSaaSやクラウドアプリケーションは今急速に企業に取り入れられています。今回このセールスフォースで相次いで情報漏えいが疑われる不正アクセスの被害が発覚しました。
楽天情報漏えい、SalesforceのExperience Cloudの設定不備が原因か?
楽天、楽天カード、楽天Edyは12月25日、利用中のクラウド型営業管理システムに不正アクセスを受け、保管していた個人情報など最大148万6291件が流出した可能性があると発表した。
楽天の情報漏えいと同日に、Salesforce社が同社製品利用顧客による「設定ミス」が発生したことを発表した。楽天の発表には「クラウド型営業管理システム」としか記載されていないが、一部報道では既に「Salesforce社のサービスだった」との指摘があり、Salesforce社が同日に発表した「お客様」は「楽天」ではないかと推測される。
引用:Yahooニュース (2020.12.26)
NISCが1月29日に、セールスフォースについて「データのアクセス権などの設定不備で、意図しない情報が外部から参照される可能性がある」と指摘しました。これはセールスフォースを利用する楽天とPayPay社で不正アクセスが相次いだことを受けての対応ですが、NISCが特定の製品に対して注意喚起するのは異例のことです。
楽天の事例ではセールスフォース社のExperience Cloudというサービスにおいて情報漏えいが発生したとされていますが、Experience Cloud上でゲストに公開する情報に対してアクセス権限を適切に設定していなかったため「誰でも」データが参照可能な状態で運営されていたということです。
13団体がセールスフォースの「設定不備」で不正アクセスを確認、委託先が発表
両備システムズ(岡山市)は2021年2月12日、セールスフォース・ドットコムのクラウドサービスの「設定不備」を巡り、13団体で外部の第三者による意図しない情報へのアクセスを確認したと発表した。既に両備システムズが手掛けるシステムを利用する神戸市や千葉県船橋市などで不正アクセスの被害の可能性が明らかになっている。
引用:日経クロステック (2021.02.13)
報道によると、両備システムズの運営するセールスフォースのクラウドを利用していたWeb住民けんしん予約、住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」の3システムを利用する団体が不正アクセスを受ける恐れがありました。これらのシステムを導入する71団体のうち13団体が、確認2021年2月12日午後7時時点で外部の第三者による不正アクセスを確認しています。
この中で不正アクセスを受けた団体のひとつに「東村山防災navi」があり、同サービスには不正アクセスが219回あり、100回のデータ参照が行われたということです。「東村山防災navi」は2月1日現在で登録者10,620人で、ユーザID、氏名、居住地域・地区、メールアドレス、性別(任意)等の個人情報が登録されていていました。
両備システムズの発表によれば、原因は外部からの参照に関するデータのアクセス権などの設定不備とのことです。
クラウドのセキュリティリスクと対策
外部への情報漏えい
米国サンディエゴの非営利団体Identity Theft Resource Centerが公表したレポート「END-OF-YEAR DATA BREACH REPORT 2019」によると、2019年のキートレンドとして「UNSECURED DATA」が挙げられています。これは、設定ミスなどにより、情報を外部に公開してしまうセキュリティリスクを指しています。
クラウドサービスは非常に有効なサービスですが、利用者側で設定を誤れば意図しない情報漏えいにつながる恐れもあります。利用企業には、クラウドストレージなどのサービスが意図せぬ設定になっていないか、再確認や見直しなどの対応が急務と考えられます。
障害などによりデータが消失する
仮にクラウドサービスに障害が発生した場合、クラウドサービス上のみにデータを預けていると、大切なデータの復旧ができなくなる可能性があります。クラウドサービスを利用する場合にも、別のシステムの上に定期的にバックアップを取っておく必要があります。
クラウドサービスのアカウントが第三者に悪用される
ウイルス感染などによって、利用しているクラウドサービスのユーザIDやパスワードが流出した場合、第三者による不正アクセスにより、クラウドサービス上に保管している情報が漏洩する可能性あります。また、流出したものと同じユーザIDとパスワードを他のサービスでも利用していた場合、そのサービスも不正アクセスを受ける危険性が高まります。ユーザIDやパスワードは、個別のサービスごとに異なるものを設定し、使い回しをしないことが大切です。
責任共有モデルの周知が必要
AWSをはじめとしたクラウド事業者は、情報セキュリティやコンプライアンスに関して一般的に「責任共有モデル」という考え方を採用しています。これは、クラウド事業者と利用者(お客様)で責任範囲を明確にして、全体のセキュリティを担保しようという考え方です。
この良く知られる責任共有モデルは、上半分は顧客が担う責任部分、下半分のオレンジ色の範囲はAWSが責任を負うクラウドのセキュリティ分担です。今回の事例でいえば、セールスフォース側の責任は「アクセス権限を制御する機能」を提供することであり、この「アクセス権限を制御する機能を正しく設定する」ことはユーザ側の責任となります。どのデータをゲストに「公開」すべきで、どのデータを「非公開」とするべきかは、セールスフォース側では判断出来ず、それを判断するのはビジネスオーナーであるユーザ側にしか出来ないという考えです。
企業のセキュリティ担当者は自社の持つ責任の範囲をきちんと認識し、利用するクラウドサービスのリリースノートに業務の一部として考え目を通すようにし、特にアクセス権限のような重要な変更があったさいには、メーカーにも確認するようにする必要があります。
さいごに
今回の楽天や両備システムズで発生したような「設定ミス」はイレギュラーなケースではなく、多くの企業で同様のミスが発生する可能性があります。大切なのは情報漏えいの「原因調査」と「再発防止策」を検討することです。クラウドサービスを利用するということは「クラウド事業者」に全てを丸投げするのではなく「クラウド事業者が責任を担う部分」と「利用者が責任を担う部分」を理解して、「責任を共有する意識」を持つことが不可欠になります。
