ヤフオク!やYahoo!ショッピングの問い合わせファイルのマルウェア混入リスクへの対策

ヤフー株式会社は、日本最大級のポータルサイト「Yahoo!JAPAN」を筆頭に、「ヤフオク!」や「Yahoo!ショッピング」といったEC事業、コンテンツ配信サービスなど、質量ともに充実した数多くのインターネットサービスと幅広いユーザーを誇る。

8,000万ものユーザーを抱える同社だけに、問い合わせ件数も膨大であり、各サービスを合算した１日の問い合わせ件数は数千件にものぼる。そうした問い合わせ受付サービスのプラットフォームとしてヤフーが採用しているのがSalesforceだ。このSalesforce上で日々の問い合わせ対応をするなかで、ヤフーでは更なるセキュリティ強化を目指すこととなった。

そのポイントは、一般ユーザーからの問い合わせメールなどに添付されるファイルやURLの安全性の確保だった。カスタマーサポートのためのシステムの運用管理を担う、ヤフー株式会社 CS本部 クラウドオペレーション リーダーの徳􀀀 敦氏はこう振り返る。

「お問い合わせをいただくお客様側のクライアント環境は把握できませんので、パソコンやスマートフォンにアンチウイルスソフトを入れていなかったり、OSのアップデートが行われていなかったりといったことも考えられます。そうなると添付ファイルにマルウェアなどが混入されているリスクも考慮しなければいけません。しかし、Salesforce側では添付ファイルの中身をセキュリティチェックする機能は提供されていないため、マルウェア混入ファイルが保存・外部転送されるリスクが想定されます。このためヤフー側で何らかの対策をすることが急務であると考えました（注）」

注：セールスフォースサービスではデータプライバシー保護の観点から、ウイルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施しません。システムはお客様より受領したデータをデータベースにエンコードされた形式のまま格納しており、そのデータを解釈し実行するようなことはありません。したがってウイルスに感染したファイルを格納しても他のファイルやシステムに感染することはありません。マルウェアに関する脅威を低減するための施策として、お客様側で最新のウイルス対策またはマルウェア対策ソリューションを実行いただくことを推奨しています。

ヤフー株式会社 CS本部
クラウドオペレーション リーダー
徳山 敦 氏

ポイントはクラウド連携！導入はわずか数分で完了

Salesforce上でやり取りされる添付ファイルへのマルウェア混入や危険なURLの脅威にどう対処すべきか──解決策の模索は2020年に入ってからスタートした。ヤフーが求めたのは、セキュリティアプライアンスを物理的に設置したり、問い合わせを受け付けるコミュニケーター（オペレーターの呼称）のPCなどに特定のアンチウイルスソフトをインストールせずとも、マルウェアが排除されたファイルやリンクの安全性が確保できるようなソリューションだった。なぜなら、これらの方法では、不特定の場所からのファイル送付や、コミュニケーターのミスなどに十分に対処することが難しいからである。

このような条件でソリューションの検討を行ったヤフーだったが、CISO室の迅速な判断により2月にはウィズセキュアの「WithSecure™ Cloud Protection for Salesforce（以下、CPSF）」の導入が決定したのである。CPSFは、WithSecure™ Security Cloud（セキュリティクラウド）とSalesforceのクラウドとの間をAPI連携することで、Salesforceのプラットフォームのパフォーマンスを低下させることなく、クラウド上で共有されているファイルとURLリンクの安全性を検証することができるソリューションだ。

「一般的に言えば、１日数千件もの問い合わせメールをチェックできるソリューションの導入となると、インストールや設備導入などにかなりの時間と手間を要するはずです。しかし、CPSFはクラウド間連携のソリューションなので、ネットワークの設定変更やクライアント端末へのソフトウェアのインストールなども必要ありません。ウィズセキュアの触れ込み通り、本当に数分で導入できてしまったのは驚きでしたね」と徳􀀀氏はコメントする。

徳山氏のチームでは、まず無償ライセンスのCPSFの動作をサンドボックス上で確認。Salesforce側のパフォーマンスが低下しないことなど、さまざまなヤフー側の要件を満たしていることが確認できると、一気に導入を進めたのだった。

わかりやすいUIやスキャン時のタイムラグのなさも評価

ヤフーがカスタマーサポートのSalesforceにおいてCPSFの利用を開始したのは3月のこと。これまで数百人のコミュニケーターが利用しているが、特別問題などは生じていないようだ。

「管理画面や通知のデザインが明瞭で、ITに強くないユーザーでもわかりやすいと感じています。また、スキャン時のタイムラグなどもほぼ生じないので、コミュニケーターに存在を意識させることもありません。さらに、従来は添付ファイルの閲覧を禁止していたのですが、CPSF導入後は開けるようになったのでコミュニケーター側のメリットは大きいはずです」と、徳􀀀氏は評価する。

当初の懸念事項でもあった、自社で作成しているカスタム要素やSalesforceの標準機能とのバッティングなどによる、予期せぬ動作や機能制限なども発生していないという。

徳􀀀氏は、「日々お客様から送られてくる添付ファイルなどをチェックしている中で、その内容がリアルタイムに通知されるので、しっかり保護されているのだと安心することができています」と笑顔を見せる。

そして今後も、CPSFのように自動化できる部分はシステムに任せながら、セキュリティ対策に力を入れていく構えだ。「いまや情報セキュリティの確保は非常に大事であり疎かにしてはいけません。これに加えてCPSFのようなソリューションは、セキュリティ面の不安を払拭することで、それ以外の面にリソースを集中することができる土台を支えるものであるとも考えています」と徳山氏は力強く語った。

"WithSecure™ Cloud Protection for Salesforceは、WithSecure™ Security CloudとSalesforceのクラウドとの間をAPI連携することで、Salesforceのプラットフォームのパフォーマンスを低下させることなく、クラウド上で共有されているファイルとURLリンクの安全性を検証し、確保することができるソリューションです。CPSFは、Salesforce社と共同で設計・開発されているため、シームレスな統合を実現しています。"

ヤフー株式会社 CS本部  徳山氏