2020年には、Salesforceの設定上のミスによるセキュリティに関するトラブルが相次ぎ、問題になった。クラウドベンダーとユーザー企業には「責任共有モデル」があるが、ユーザー企業のIT部門にとっては、自社が行うセキュリティの担当範囲の理解は進んでいない。WithSecureのSalesforceセキュリティの営業担当の河野真一郎氏、セールスエンジニアの鈴置純也氏に、Salesforce設定上の注意やセキュリティ管理上の要点について話を聞いた。
Salesforceのセキュリティの責任は誰にあるのか?
──2020年の初め頃に、Salesforceの情報流出などの問題が生じました。改めて現在の動向とユーザーがとるべき対策についてうかがいます。
河野:クラウド事業者は、セキュリティに関する責任の分担について明確な、「Shared Responsibility」(責任共有)モデルと呼ばれるセキュリティパラダイムを作成し、クラウド上で運用する場合の役割と責任の概要を示しています。クラウド上のデータやコンテンツの整合性とセキュリティを確保する責任は、常にサービスを利用するユーザー側にあり、ユーザー側でセキュリティ対策が必要になります。
Salesforceに当てはめると、ユーザーやデバイスの認証、アクセスルールの適用など、システムやアプリケーションのセキュリティにおけるさまざまな側面はSalesforceが保証していますが、プラットフォーム上にアップロードされたデータ、ファイル、リンクを安全に保護することはユーザー側の責任なので、ユーザー側で安全性を確保する必要があります。Salesforce社から日本国内事例作成の際に、公式にいただいたコメントがこちらになります。
Salesforceサービスではデータプライバシー保護の観点から、ウイルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施しません。システムはお客様より受領したデータをデータベースにエンコードされた形式のまま格納しており、そのデータを解釈し実行するようなことはありません。
したがってウイルスに感染したファイルを格納しても他のファイルやシステムに感染することはありません。マルウェアに関する脅威を低減するための施策として、お客様側でウイルス対策またはマルウェア対策ソリューションを実行いただくことを推奨しています。※2020年7月 お客様事例作成時 受領コメント
──とはいえ、ユーザー企業のIT担当者からすれば、アップされるデータやコンテンツのセキュリティは、Salesforce上でチェックされるという期待もあるのではないでしょうか?
河野:Salesforce社は、上記の通りデータプライバシー保護の観点から、ウイルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施しません。クラウドはセキュリティを含む広範なメリットを企業に提供します。しかし、セキュリティについては責任共有が基本であり、その責任を果たせない組織は、自らとその顧客およびパートナーを、大きなリスクにさらすことになります。
このような情報を、我々のようなセキュリティベンダーの側からも、クラウド環境、Salesforce環境をご利用になるユーザー企業様の情報システムご担当部門様やSalesforceの運用を担うベンダー様へ、引き続き情報発信をしていく必要があると認識しています。
サイバーセキュリティ技術本部 セールスエンジニア 鈴置 純也氏
この記事は参考になりましたか?
- この記事の著者
-
京部康男 (編集部)(キョウベヤスオ)
ライター兼エディター。翔泳社EnterpriseZineには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在はフリーランスとして、エンタープライズIT、行政情報IT関連、企業のWeb記事作成、企業出版支援などを行う。Mail : k...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
