米企業クラウド「難解で手に負えず」、ペイペイも楽天も神戸市も…設定ミスで情報流出か
コメント
選択しているユーザー
過去に自身が採用、導入した経験から述べると、これは誤解(理解不足)が不幸な結果を生んでいると感じます。
特に担当者の上司も理解を深め注意する必要がありますね。
理由は以下のとおり。
・誤解1
コードを殆ど書かないで、機能を設定するだけで使える。故に簡単で敷居が低いと理解されコストも人も構築期間も少なく短くなりがち。エンジニアでなくユーザー部門が構築することも可能。(Salesforceを採用した理由)
・誤解2
ITの専門家であっても精通しているのは自身が使ってきたことのあるツールだけであり、Salesforceについても最初は初心者。
・結果1
見た目は要件どおりの顧客管理システムとして動作させられるレベルまで勉強し社内向けにローンチ。無事に案件クローズ。担当者もセキュリティ設定まで自信がなくとも時間もないので次の仕事へ。
・結果2
この担当者よりSalesforceに詳しい人が社内におらず、誰もチェックできないパンドラの箱に。トラブル発生で問題が顕在化する。
心当たりのある人は自社の状況を確認しては如何でしょうか?
注目のコメント
クラウドの落ち度ではなく、運用者のリテラシー不足。
オンプレ(自社運用)の方がよっぽど難解です。
ハードウェア、OS、ミドルウェア、ネットワーク、全部自分で運用する必要がありますから。
Salesforceは汎用性がいいところ。
設定がいっぱいなければ困ります。
>600ページ以上の説明書を読む必要がある。もっとサポートするべきだ
Salesforceはサポート手厚いと思いますよ。
オンラインマニュアルも資格もユーザーフォーラムもある。
保守サポートで、質問すれば回答してくれるでしょう。
要件を出せてないだけ。
外部監査で気付けなかったのでしょうか?
外部公開サイトは、外部機関にセキュリティを確認してもらい、脆弱性は予め担保するのが一般的です。
ここまで課題が健在すると、日本のクラウドリテラシーがいよいよ深刻です。まずタイトルの「米企業クラウド」と書くあたりから、日本のIT無理解にすこし残念な気持ちです。
セールスフォースはCRM(顧客管理ツール)の世界的企業です。
> セ社も含めたクラウドサービスでは、提供会社が機器やソフトウェアの保守管理を行い、利用する側が情報の公開範囲や接続権限などを設定する。
これはクラウド上のリソース管理では常識設定です。
> 利用企業と自治体からは、セ社のサービスの設定は複雑で、正しく対応するのは難しいとの声も上がる。
あらゆる機能を自社で活用するならば、理解できる担当者を採用するのは世界的な常識なんですよね。(有用な人材は高額なのもまた事実ですが)
PayPayや楽天はIT企業なのだから、そのようなITに明るい会社でも扱えないのはおかしい、という方向けに。
セールスフォースは主に営業やバックオフィスの方々向けのSaaSの会社です。つまりITエンジニアを対象としていないので、不慣れな方が対応することが多いと以前同業の人から伺ったことがあります。
マニュアルが分厚いのは、あらゆる機能を網羅しているだけであり、必要な機能を正しく理解するというのは、簿記や法律を解釈することと何ら変わりがありません。
まるで法律が読み解けないから、法律を平易な内容に変えろと言ってることと同じではないでしょうか。クラウドの普及期において、起こるべくして起きている事象に思えます。
10数年前、クラウド登場の当初は「パブリッククラウドは危ない。個人情報や機密情報は預けない」という雰囲気でしたが、今やそれが一般化した。一方、クラウド事業者とすれば、セキュリティの設定はユーザーの責任であり、事業者としてはベストエフォートという立場です。
IT人材が豊富なユーザー企業であれば、プライベートクラウドに頼る手法もありますが、多くの中堅中小企業はパブリックに頼らざるを得ない。
喫緊の解決策は、SalesforceやAWSなど有名なクラウドについては、設定レベルの具体的な注意喚起が役立つでしょう。
根本的にはユーザー側のクラウド技術者のレベルアップを図ること。特にセキュリティ部分に強い技術者を育成することです。日本ではその分野の人材が著しく不足している感があり、急務と思います。