同様の問題が今後も引き続き起きる可能性あり
以上が発表の概要だが、今回このサービスを取り上げたのは、Salesforceの設定不備によって、複数の企業や自治体、公共団体において情報漏えいの恐れや外部からの不正アクセスが判明しており、問題となっているからだ。Salesforceユーザーにとっては、このサービスを利用すれば第三者目線で診断することができ、適切に対処できるようになる。
加えて、今回このサービスを取り上げた理由がもう一つある。これからクラウドサービスを本格的に利用する時代を迎えた中で、同様の問題が今後も引き続き起きる可能性があると考えるからだ。
セールスフォースは今回の問題に対し、自社のウェブサイトで「Salesforceサイトおよびコミュニティにおけるゲストユーザーのアクセス制御の権限設定について」と題した「お知らせ」で、今回の問題の背景や対処策を説明している。
その内容で印象的なのは、今回の問題について「Salesforceプラットフォーム固有の脆弱性に起因するものではなく、お客さまのアクセス制御の権限設定が適切に行われていない場合に発生する可能性がある」と責任の所在を明確にしている一方、「セールスフォースはお客さまのご懸念を真摯に受け止め、引き続きお客さまをサポートするために支援を続けていく」との姿勢を表明していることだ。
設定不備のSalesforceユーザーが相次いだので、セールスフォースの対応が注目されたが、同社からすれば上記のお知らせの内容を周知徹底するしかないのだろう。
ただ、今回の問題を受けて最も大事だと筆者が感じたのは、先述したように同様の問題が今後も引き続き起きる可能性があると考えられるだけに、クラウドサービス全体のセキュリティリスクとして、ユーザーもベンダーも教訓としてしっかりと捉えておくことだ。
今回取り上げたKCCSのサービスは、そうした取り組みを促す“警鐘”でもあるといえそうだ。
