楽天だけでなくPayPayでも、セールスフォース製品の設定不備を狙った不正アクセス

この報道だと単純に使用者の設定ミスなのかセールスフォース側の仕様の穴なのかはっきりしてない。ので何が問題であったのかがわからない。

情報セキュリティ対策には、データの３様態を保護することが重要です。３つの様態とは

- Data in transit (転送中のデータ）
- Data at rest (SSDやクラウドなどに保存されているデータ）
- Data in use（適切な権限を持ったもののみがデータにアクセスできる）

であり、今回はData in useに問題があったと言えます。データがどこで収集され、どこに保存され、誰がアクセスするのか、そのフローを洗い出した上で、必要な対策を取ることが重要です。

Salesforceの権限設定もたいがいな感じ

この設定がアップデートで公開側に持っていかれるのなら、恐ろしいとしか言いようが無い

https://help.salesforce.com/articleView?siteLang=ja&id=000355945&type=1&mode=1

今更感のある報道ですが他にもボロボロ出てきますね。10月に騒がれた段階で対応できなかったのか、何を契機に漏洩に気づいたのか、対処から公表までに時間を要した理由等の説明が求められるところ