米企業クラウド「難解で手に負えず」、ペイペイも楽天も神戸市も…設定ミスで情報流出か

前職はSalesforceのかなりの大口のユーザーでした。
今はどうかはわからないのですが、当時Salesforceは直販というのは基本的に無く、パートナーと呼ばれる代理店やSIerからライセンスを購入する仕組みになっていました。
Salesforceは汎用性が高い故に、バニラのまま使うと言う事は滅多にないので、自社向けに様々なカスタマイズを施すのですが、自社でエンジニアがいなければ、パートナーに諸々導入から依頼するのが普通です。

つまり今回の問題はSalesforceの仕組みの問題ではなく、導入側のパートナーの問題ではないかと思います。
とはいえ、Salesforceは頻繁にアップデートする為、最新の仕様について行くのはかなり大変です。
その為か、大規模なユーザーコミュニティや学習コンテンツがあり、常に学んでいかないと使いこなせないという側面がかなりあります。
この辺りは日米のアプリケーションの思想の違いと言えそうですが、その為パートナーによる習熟度の違いは相当あり、前職でも何回かパートナーを入れ替えた覚えがあります。

ただパートナーに依頼するにせよ、自社である程度の知識やエンジニアがないと、そもそもパートナーのレベルを測ることさえできません。
社内エンジニアが少ない日本の欠点が表れたインシデントと言えるかもしれませんね。

クラウドの落ち度ではなく、運用者のリテラシー不足。

オンプレ（自社運用）の方がよっぽど難解です。
ハードウェア、OS、ミドルウェア、ネットワーク、全部自分で運用する必要がありますから。

Salesforceは汎用性がいいところ。
設定がいっぱいなければ困ります。

>６００ページ以上の説明書を読む必要がある。もっとサポートするべきだ
Salesforceはサポート手厚いと思いますよ。
オンラインマニュアルも資格もユーザーフォーラムもある。
保守サポートで、質問すれば回答してくれるでしょう。
要件を出せてないだけ。

外部監査で気付けなかったのでしょうか？
外部公開サイトは、外部機関にセキュリティを確認してもらい、脆弱性は予め担保するのが一般的です。

ここまで課題が健在すると、日本のクラウドリテラシーがいよいよ深刻です。

まずタイトルの「米企業クラウド」と書くあたりから、日本のIT無理解にすこし残念な気持ちです。
セールスフォースはCRM(顧客管理ツール)の世界的企業です。

> セ社も含めたクラウドサービスでは、提供会社が機器やソフトウェアの保守管理を行い、利用する側が情報の公開範囲や接続権限などを設定する。

これはクラウド上のリソース管理では常識設定です。

> 利用企業と自治体からは、セ社のサービスの設定は複雑で、正しく対応するのは難しいとの声も上がる。

あらゆる機能を自社で活用するならば、理解できる担当者を採用するのは世界的な常識なんですよね。(有用な人材は高額なのもまた事実ですが)

PayPayや楽天はIT企業なのだから、そのようなITに明るい会社でも扱えないのはおかしい、という方向けに。

セールスフォースは主に営業やバックオフィスの方々向けのSaaSの会社です。つまりITエンジニアを対象としていないので、不慣れな方が対応することが多いと以前同業の人から伺ったことがあります。

マニュアルが分厚いのは、あらゆる機能を網羅しているだけであり、必要な機能を正しく理解するというのは、簿記や法律を解釈することと何ら変わりがありません。

まるで法律が読み解けないから、法律を平易な内容に変えろと言ってることと同じではないでしょうか。

クラウドの普及期において、起こるべくして起きている事象に思えます。
10数年前、クラウド登場の当初は「パブリッククラウドは危ない。個人情報や機密情報は預けない」という雰囲気でしたが、今やそれが一般化した。一方、クラウド事業者とすれば、セキュリティの設定はユーザーの責任であり、事業者としてはベストエフォートという立場です。
IT人材が豊富なユーザー企業であれば、プライベートクラウドに頼る手法もありますが、多くの中堅中小企業はパブリックに頼らざるを得ない。
喫緊の解決策は、SalesforceやAWSなど有名なクラウドについては、設定レベルの具体的な注意喚起が役立つでしょう。
根本的にはユーザー側のクラウド技術者のレベルアップを図ること。特にセキュリティ部分に強い技術者を育成することです。日本ではその分野の人材が著しく不足している感があり、急務と思います。