Salesforceのセキュリティの責任は誰にあるのか?
──2020年の初め頃に、Salesforceの情報流出などの問題が生じました。改めて現在の動向とユーザーがとるべき対策についてうかがいます。
河野:クラウド事業者は、セキュリティに関する責任の分担について明確な、「Shared Responsibility」(責任共有)モデルと呼ばれるセキュリティパラダイムを作成し、クラウド上で運用する場合の役割と責任の概要を示しています。クラウド上のデータやコンテンツの整合性とセキュリティを確保する責任は、常にサービスを利用するユーザー側にあり、ユーザー側でセキュリティ対策が必要になります。
Salesforceに当てはめると、ユーザーやデバイスの認証、アクセスルールの適用など、システムやアプリケーションのセキュリティにおけるさまざまな側面はSalesforceが保証していますが、プラットフォーム上にアップロードされたデータ、ファイル、リンクを安全に保護することはユーザー側の責任なので、ユーザー側で安全性を確保する必要があります。Salesforce社から日本国内事例作成の際に、公式にいただいたコメントがこちらになります。
Salesforceサービスではデータプライバシー保護の観点から、ウイルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施しません。システムはお客様より受領したデータをデータベースにエンコードされた形式のまま格納しており、そのデータを解釈し実行するようなことはありません。
したがってウイルスに感染したファイルを格納しても他のファイルやシステムに感染することはありません。マルウェアに関する脅威を低減するための施策として、お客様側でウイルス対策またはマルウェア対策ソリューションを実行いただくことを推奨しています。※2020年7月 お客様事例作成時 受領コメント
──とはいえ、ユーザー企業のIT担当者からすれば、アップされるデータやコンテンツのセキュリティは、Salesforce上でチェックされるという期待もあるのではないでしょうか?
河野:Salesforce社は、上記の通りデータプライバシー保護の観点から、ウイルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施しません。クラウドはセキュリティを含む広範なメリットを企業に提供します。しかし、セキュリティについては責任共有が基本であり、その責任を果たせない組織は、自らとその顧客およびパートナーを、大きなリスクにさらすことになります。
このような情報を、我々のようなセキュリティベンダーの側からも、クラウド環境、Salesforce環境をご利用になるユーザー企業様の情報システムご担当部門様やSalesforceの運用を担うベンダー様へ、引き続き情報発信をしていく必要があると認識しています。
サイバーセキュリティ技術本部 セールスエンジニア 鈴置 純也氏
