Cyber SecurityサウナJapan

エピソード #8: Salesforce 環境におけるセキュリティ情報について

Japan_Podcast_08_1

エピソード #8: Salesforce 環境におけるセキュリティ情報について

サウナのようにホットなセキュリティトレンド、テクノロジー、インサイトをお届けするポッドキャスト『Cyber SecurityサウナJapan』。第8回目では、本年4月下旬にアメリカの金融機関や医療機関でSalesforce Experience Cloudの設定の誤りから発生した情報流出について報道された内容、そしてそのトピックについて5月上旬にウィズセキュアが掲載したブログの内容をベースに、その原因や対策について解説します。

エピソード #8はこちらからご視聴ください。

スクリプト:

河野:
みなさん、こんにちは。あるいは、こんばんは。『Cyber SecurityサウナJapan』へ、ようこそ。このポッドキャストでは、サイバーセキュリティに関するサウナのようなホットなトピックをお届けします。

ホストを務めるのは、ウィズセキュア株式会社法人営業本部、先日渋谷 Saunasってサウナに行ってきました!というサウナ大好き、河野真一郎と

トゥオミ:
はい、同じくウィズセキュア日本法人のセキュリティコンサルタントのアンッティ・トゥオミです。

河野:
アンッティさん、こないだ渋谷Saunasに行ってきましたけれど、アンッティさんからのコメントとしては、東京のいろんなサウナの中で一番イケてる、フィンランドのサウナに近いというコメントをもらいましたけれど。

トゥオミ:
そうですよね。フィンランド人としてサウナに求めるのは、ロウリュができることですね。渋谷Saunasですと、少なくとも僕らが行ったときの上階の方は全部セルフロウリュができるようなかたちになっていて、かなり嬉しかったですね。

河野:
確かに、東京都内でサウナのストーブに水をジャーってかけるロウリュができるサウナっていうのはなかなかないので、あそこの渋谷Saunasはサウナの熱さといい、その後の水風呂、休憩するところも全部良かったなというふうに思っていました。

といったところでですね、渋谷のイケてるサウナ、Saunasに負けないようなホットなサイバーセキュリティのトピックをお伝えしようという今日のポッドキャストなんですが、今日のエピソードは、オフィスやリモートから収録をしております。

今日の『Cyber SecurityサウナJapan』は、Salesforce環境に関するセキュリティ情報として、2023年5月4日にウィズセキュアが英語版ブログで発表した内容をもとに、アンッティさんと河野でお話ししていきます

5月4日に ウィズセキュアは英語版ブログにて、「銀行や医療機関のような機密情報を持つ組織を含め、多くの組織が誤った設定のExperience Cloud (旧名称: Salesforce Community) のWebサイトを利用している。このため、認証されていないユーザーにデータを公開していることがレポートされている」という情報をブログで公開しています。

ウィズセキュアブログ:
Salesforce Experience Cloud の設定ミスによる情報漏えいを防ぐ方法

https://www.withsecure.com/jp-ja/expertise/blog-posts/how-to-plug-leaky-salesforce-experience-cloud-sites

このブログの背景情報として、4月下旬にアメリカで報道された記事を見て河野は非常に驚いたんですが、現在アメリカの複数の銀行や医療機関を含む、Salesforceを使っているユーザーさんが、個人情報や機密情報を流出しているっていう指摘が、4月の23日ぐらいにアメリカで報道が出ているんですね。これで河野はなんで驚いたかというと、日本では3年前、2020年の12月ぐらいから同じような問題が報道されたり、ニュースになったりしたんですが、アンッティさん、今回アメリカで報道されている「誤った設定のExperience Cloud」っていうのは、3年前に日本で報道されたものと同じ原因のものなんでしょうか?

トゥオミ:
そうですね。こちらは私も少しびっくりしましたが、同じ原因になっているみたいですね。Brian Krebsさんのブログを確認しますと、例えば1つの原因とか、日本で報道されたときと変わっているところとしてはですね、COVIDの対策中に新しくコミュニティを立てましたとか、急いでその時の要求に対応できるサイトを立てて。で、そうする時にその設定を確認する暇がなかったとか。そういうことで、以前もしかしたら設定が緩くても悪用できなかったSalesforceのOrganizationとか、Salesforceのサイトがあったかもしれませんですね。ただ、更新するときに、こういうこともしっかり確認しないと攻撃できてしまう可能性もありますね。なので、その原因が同じですが、もしかしたら更新があってそれで悪用できるようになりましたか、あるいは2~3年前からそのまま悪用可能なままでしたが今更実際に攻撃されている、という可能性もありますね。

河野:
なるほど。大元になっている原因は、3年前から発見されているSalesforceの環境のセキュリティの設定をちゃんとやらなければいけないという問題としては、比較的ポピュラーなものっていうのがアンッティさんのコメントにありましたけど、新型コロナウイルスの発見以降、2021年の1月、2月、3月ぐらいから新しくWebサイトを立ち上げるっていうお客さんがSalesforceのCommunity Cloudを使ってものすごく短期間で稼働させたいっていうようなご相談、それに伴うセキュリティの相談というのは結構ウィズセキュアで聞いたこともあったので、確かにアンッティさんの今のコメント、「昔からある問題で、かつ、急いでSalesforceのExperience Cloudを使ってる人たちが設定をやっていなかった可能性がある」というのは非常に理解できるなというふうに思いました。

で、アンッティさん。この昔からある、3年ぐらい前から報道されている実際に問題にもなっている、Salesforceさんの設定をちゃんとしなきゃいけないっていう問題。Salesforceさんは公式なドキュメントとして、ベストプラクティスの情報とかを公開したり、ホワイトペーパーやリリースノートを出したりしていることはあると思うんですけど。アンッティさんから見て、普通にSalesforceを使っているユーザーさんたちがSalesforceが公開されているベストプラクティスの情報、あるいはバージョンアップのリリースノートをチェックして、こういった設定内容を厳密にチェックするということは現実的にできるかどうかっていうのは、どう思われますか?

トゥオミ:
そちらはかなり組織によりますね。個人的な意見にはなりますが、大体の組織の場合ですと、Salesforce、特にSales Cloudを最初に導入している会社としては、まずはCRMツールとか営業ツールとして導入して、それから他のことにも利用できますよっていうことに気づいて、それからいろいろな機能を追加してたり、利用を拡張するということがありますね。そういう場合で、やはりSalesforceはその元々のこういうCRMシステムとか、SaaS系のクラウドプラットフォームよりはPaaS系、Platform as a Service、カスタムの自分のコールとかカスタムのWebサイトも運用できるサイトに、プラットフォームになりますので、そういうところで盲点が出てくる可能性が高いですね。

cybersecuritysaunajapan-03-2

河野:
それではアンッティさん。2020年12月頃から日本でも報道されていたSalesforce環境のセキュリティ課題が、2年半以上も経った今年になっても、アメリカで同種の報道、ニュースが行われているのはなぜだと思いますか?

トゥオミ:
そうですね。Brian Krebsさんのブログを読みますと、例えばその中での原因としていくつか書いてあったのは、例えばCOVIDが流行してからちょっと急いで対応ができるためのExperience Cloudを立てられて、そちらの設定によって、以前から原因としてあったその設定ミスが悪用可能になったりするパターンもありましたね。やはりそういう、元々はCRMとかプラットフォームとして使って、それから新たにサイトを作ると、新しいセキュリティ的に確認すべき点も増えますね。ただ実際にそういうことを、サイトを立てながら考慮できるかどうかも組織によって違いますし、そういうセキュリティ知識とか、Salesforceに特化したセキュリティ知識もあるかどうかも会社によって違いますので、そういう原因は1つですよね。

もう1つ考えられるのは、元々この原因が報道されてから、実は悪用されてなかったか、悪用されていても気づかなかった。会社にとって設定が緩いままに残ったっていう可能性もありますね。

河野:
Salesforceさんもこういった問題について公開しているベストプラクティスのドキュメントとかがありますけれど、こういったドキュメントで大体十分なんでしょうか?どうなんでしょうか?

トゥオミ:
確かに、ベストプラクティスに合わせて設定したら十分のはずですが、現実的に言うと、例えば、SalesforceのSales Cloud CRMとして運用している組織ですと、そこまで全てのセキュリティについての情報も、その他の新しい機能についての情報などもかなり量が多いですので、ベストプラクティスに合わせてやればいいということですと、それができるかどうかは難しいところですね。また、ベストプラクティスは一般的なものですので、SalesforceがSaaSですと思い込んでいる人も多いですが、実際には正直PaaS的なPlatform as a Serviceになっていますので、ベストプラクティスは一般的なものなので、会社の構成、サイトの構成とか用途によって、設定の仕方も異なりますね。なので、ベストプラクティスは特化したものに実際に適用できるかどうかも、用途によって異なりますね。

河野:
アンッティさんから見て、Salesforce環境を利用する際に重視するべきセキュリティの対策や対応についてコメントをいただけますか?

トゥオミ:
今回の報道された件については、原因はこのセキュリティ的な共有設定というところになっていますね。つまり、どういうユーザーアカウントはどういう情報が見られるかということですね。なので、まずは、こちらの方の悪用を止めるために、共有設定のデフォルト外部ユーザーへの共有設定は更新して、基本、デフォルトでの共有を無効にして、それから適切なユーザーアカウントだけに適切な情報だけを共有するように設定した方がいいですよね。

ただ、これでは今回の原因は直せますが、他にもSalesforce環境でセキュリティ的に重要な設定などがありますし、セキュリティ的なこういう更新とかリリースアップデートの中で確認すべき点が、どんどん出てきますよね。なので、実際に例えば他のクラウドプラットフォームであれば、AWSとかAzureだったり、その他のクラウドプラットフォームであれば、やはり開発の中でその更新の確認とか、セキュリティチームとの定期的な確認とか、そういうオペレーションになっていることが多いですね。ただ、私の個人的な経験ですと、まずはCRMとかSaaSプラットフォームとして導入したSalesforceですと、同じ程度セキュリティチームとか、開発側でセキュリティを考慮している流れにはなってないことも多いですね。なので、もう少しそういう定期的なセキュリティ的な確認とか、このリリースアップデートの中でセキュリティ的に考慮しなければいけないことがあるかは、確認した方がいいとは個人的には思っていますね。

ここで、それはどうやってできるかっていう話になりますが、自社でSalesforce開発とかSalesforceの専門家がいないと、やはり難しいところでもありますね。外部委託でSalesforceを運用しているところも多いですので、そこで外部委託先も十分に確認できるかどうかはやはり会社によって違いますが、とりあえずそういう確認できるとか、確認する方向にぜひ持っていきたいなと思っていますね。

cybersecuritysaunajapan-03-3

河野:
なるほど。共有設定の件に関してですね。あとはアンッティさんはお客様からご依頼いただいて、Salesforce環境を、今使ってる環境を診断してもらえませんかって、コンサルタントの立場で診断することも多いと思うんですけど、今回の問題以外に他に注意すべき問題点ってありますか?どうですか?

トゥオミ:
この共有設定は一番重要なところではありますが、他にもセキュリティ設定の中で重要なポイントがありますね。例えば、どのユーザーアカウントにどういう権限があるかという設定だったり、あとはクラウド系のシステムですので、2段階認証がすごく重要になっていますよね。IPアドレスの絞り込みとかホワイトリスティングは難しい場合もありますので、少なくとも全てのユーザーにこの2段階認証を設定した方がいいですよね。あとはですね、用途によって違いますが、例えば1つの機能としては、外部ユーザーにもファイルとか情報共有できる設定がありますが、それはパスワードなしでも使えますかどうかとか、外部ユーザーをSalesforce Chatterに招待できるかどうかとか、こういうタイプの設定がいろいろありますが、ある意味では便利かもしれない機能ですので、デフォルトで有効になっていることもありますので、実際の用途によってそれらを無効にする必要があったりしますね。

最後にもう1つですが、信頼している環境の中でよく指摘してしまうところとしては、1つのセキュリティ的にすごく紛らわしいところですね。それは何かというと、セキュリティ設定の中で、信頼済みのIPアドレス範囲という設定がありますね。実はですね、そこによくあるパターンとしては、自分の会社のIPアドレス範囲を入れますとか、VPNアドレスの範囲を入れますとか、それでセキュリティがもっと強くなるという思い込みが多いですね。実はですね、そこにIPアドレスを設定しますと、どうなるかというと、実は2段階認証が要らなくなります。つまり、信頼済みのアドレスということは、2段階認証が要らないという意味になっています。こういうことでちょっと誤解してしまうお客さんとSalesforceの利用者が多いですので、こちらは間違ってセキュリティを弱くしてしまう設定にはなっていますので、ご注意ください。

河野:
アンッティさん、ありがとうございました。今回のアンッティさんのコメントを含めてこのポッドキャストがSalesforce環境やクラウド、SaaS環境を使用するユーザーさんのご参考になれば大変幸いでございます。

といったところで、『Cyber SecurityサウナJapan』第8回を本日はお届けしました。最近『Cyber SecurityサウナJapan』は次回予告をするのが定番になりつつありますが、次回はですね、ウィズセキュアのフラッグシップカンファレンス、自社で実施しているカンファレンス『Sphere2023』が開催されているフィンランド・ヘルシンキで『Cyber SecurityサウナJapan』第9回を収録してくる予定でございます。

といったところで、本日の『Cyber SecurityサウナJapan』は、

トゥオミ:
アンッティ・トゥオミと、

河野:
河野真一郎でお送りしました。また次回お会いしましょう!

Cyber SecurityサウナJapan

Cyber SecurityサウナJapan エピソード#8はYouTubeでもご覧いただけます。
https://youtu.be/FqrEw2P9e40