楽天の情報漏えい問題、2016年に行われたセールスフォースの仕様変更とは?

一部報道で2016年の仕様変更があったとされているが、どのような変更があったのか

 楽天の情報漏えい問題で、日経XTECHの記事に以下の記述があった。

 2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わったという。

この記述を読み、セールスフォースを導入した企業は「どういった仕様変更が発生したのだろう?」「当社の設定は大丈夫か?」と不安になっている企業も少なくないだろう。

■楽天社への事実確認

 日経XTECHの記事の内容にあった2016年のシステムアップデートとは何を指しているのか、楽天社に確認した所、以下の返答があった。

当社から12月25日に発表しております以下のお知らせをご参照ください。

https://corp.rakuten.co.jp/news/update/2020/1225_01.html

原因については上記のお知らせでもご案内しておりますが

「社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備によるもの」となります。

 楽天としては公式発表で述べているとおり「セキュリティ設定の不備」によるものとのこと。

■セールスフォース社への事実確認

 本件に関してセールスフォース社にも確認した所、以下の回答が得られた。

 2016年の仕様変更で、当社の一部製品または機能(Experience Cloud〔旧 Community Cloud〕、Salesforceサイト、Site.com)のゲストユーザーの参照権限が変更されるなどの、ゲストユーザに対する共有に関する設定が変わったという事実はございません

 また、同社では、ゲストユーザセキュリティポリシーのベストプラクティスを公開している。

 同社では今後、このベストプラクティスを解説するWebinarや補助資料(お客様がご自身でゲストユーザの共有に関する設定をご確認いただくための詳細なガイド)を用意することを検討しているとのこと。

■2016年に公開されたセールスフォースのリリースノートの確認

 セールスフォース社としても「ゲストユーザの共有設定に関する設定が変わった事実ない」とのことだが、具体期に2016年にどのような「セールスフォースの仕様変更」が行われたのか?を公開されているリリースノートを調べてみた。

 通常セールスフォースは年に三回リリースノートを公開する。2016年には合計三回リリースノートが公開された。以下に各リリースノートから「重要な更新」を抜粋する。

 ・Salesforce Winter ’16 Release Notes

 - Lightning コンポーネントを使用するための [私のドメイン] の有効化

 - 「PageReference getContent() および getContentAsPDF() メソッドがコールアウトとして動作」の重要な更新の延期

 - 「Visualforce ドメインからの静的リソースの提供」の重要な更新の延期

 ・Salesforce Spring ’16 Release Notes

 -「Visualforce ドメインからの静的リソースの提供」の重要な更新の延期

 - 「PageReference getContent() および getContentAsPDF() メソッドがコールアウトとして動作」の重要な更新の延期

 - 管理プロファイルから削除された暗号化鍵の管理権限

 ・Salesforce Summer ’16 Release Notes

 - LockerService を使用したセキュリティの強化

 - LockerService を使用したコミュニティのセキュリティ強化

 - アクセス権チェックエラーの適用

 - IE11 からの Lightning Experience および Salesforce1 モバイルブラウザアプリケーションへのアクセスの無効化

 - Visualforce マークアップでのカスタムドックタイプの無効化

 - 「PageReference getContent() および getContentAsPDF() メソッドがコールアウトとして動作」の重要な更新の延期

 - フロー sObject 変数のパーセント値の修正

 - 適切な承認プロセスへのバックグラウンドで申請されたレコードの転送

 2016年は、Lightningへの移行期であり大きな仕様変更が行われていたが、リリースノートからは「セキュリテイ強化」という言葉は見つかっても、「セキュリテイを甘くする」趣旨の変更を見つけることは出来なかった。

■セールスフォースのリリースノートの通知方法に不備はあったか?

 セールスフォースはリリースノートを公開するたびに「文章」や「メール」で通知するだけでなく「ビデオ」で動画で解説したり「Trailhead モジュール」で検証環境を利用した「新機能を有効化するための設定手順の確認」や「理解度テスト」を提供している。

 また、「信頼とコンプライアンスに関するドキュメント」と呼ばれるドキュメントには、通常問い合わせなければ公開ないような認証資格の取得状況の変更状況もリリース毎に変更があれば記載されている。

 文章や動画、検証環境の提供といった更新の案内行い、この更新通知から暫くの間は「機能を有効化するか?」を管理者が選択することが可能で、組織の準備が済んでから「機能を有効化」することが出来る。この一定の猶予期間を過ぎると、自動的に機能が有効化されるといった流れになる。

 筆者が知る限りでは、セールスフォースのリリースノートの通知方法や、変更に伴う学習機会の提供は、クラウドソリューションの中でも最高レベルだろう。

■では、どうすれば良いか?

 現時点では、日経XTECHに記載された「2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わった」が何を意味するのかはわからない。

 しかし、セールスフォースを利用している企業にとって大切なことは「では、どうすれば良いか?」だろう。これについてセールスフォース系の有志のエンジニアがゲストユーザの設定確認ポイント等をまとめているので、紹介したい。

 ・上司「うち大丈夫なの?」Salesforce Experience Cloudアクセス権限とセキュリテイを説明してみた

 突然の情報漏えい問題で不安な気持ちで年末年始を迎えようとしていた、システム担当者も多いと思うが、是非、この機会にアクセス権限を確認することを推奨する。

 また、もしセールスフォースのセキュリティを強化するために有用な情報があれば、紹介したいので、筆者宛に連絡してほしい。

■どこの企業起き得る問題

 最後に本騒動を見て「楽天のセキュリティは甘い」と考える人も居るかもしれないが、クラウドサービスの設定項目は多岐にわたるため、それらを正確に設定することは非常に難しい。

 特に今回問題となったセールスフォースやMS365は多機能で有るがゆえに、設定項目も非常に多い。十分に検討されることなく利用されているケースはクラウド活用で先行している海外でも「主要な情報漏えいの要因」に位置づけられるほどになっている。

 「自社は大丈夫」と思わずに、楽天やPayPay程の企業であっても見落としていた問題があったという事実に着目し、自社の設定状況を見直すことが重要だろう。

 こういった問題に気づいてる企業では「人間による完璧な設定」を期待することは諦め、CASB等を導入し「設定ミスを検出する」流れが出てきている。

 「設定ミスによる情報漏えい」が起きやすいクラウドサービスとしてIaaSやMS365用の設定監査はCASBで既に提供されている。クラウド活用を推進する企業なら、一度CASBによる設定監査をセキュリティ強化策として検討してみると良いのではないだろうか。