新着Pick

米企業クラウド「難解で手に負えず」、ペイペイも楽天も神戸市も…設定ミスで情報流出か

読売新聞
企業や自治体などのデータを保管する米国企業の「クラウドサービス」で、38の自治体や国内企業の個人情報などが、外部から閲覧できる状態だったことがわかった。企業などの利用者側が行った公開範囲の設定に不備があったためだが、米
750Picks
Pick に失敗しました

選択しているユーザー
前職はSalesforceのかなりの大口のユーザーでした。
今はどうかはわからないのですが、当時Salesforceは直販というのは基本的に無く、パートナーと呼ばれる代理店やSIerからライセンスを購入する仕組みになっていました。
Salesforceは汎用性が高い故に、バニラのまま使うと言う事は滅多にないので、自社向けに様々なカスタマイズを施すのですが、自社でエンジニアがいなければ、パートナーに諸々導入から依頼するのが普通です。

つまり今回の問題はSalesforceの仕組みの問題ではなく、導入側のパートナーの問題ではないかと思います。
とはいえ、Salesforceは頻繁にアップデートする為、最新の仕様について行くのはかなり大変です。
その為か、大規模なユーザーコミュニティや学習コンテンツがあり、常に学んでいかないと使いこなせないという側面がかなりあります。
この辺りは日米のアプリケーションの思想の違いと言えそうですが、その為パートナーによる習熟度の違いは相当あり、前職でも何回かパートナーを入れ替えた覚えがあります。

ただパートナーに依頼するにせよ、自社である程度の知識やエンジニアがないと、そもそもパートナーのレベルを測ることさえできません。
社内エンジニアが少ない日本の欠点が表れたインシデントと言えるかもしれませんね。
人気 Picker
クラウドの落ち度ではなく、運用者のリテラシー不足。

オンプレ(自社運用)の方がよっぽど難解です。
ハードウェア、OS、ミドルウェア、ネットワーク、全部自分で運用する必要がありますから。

Salesforceは汎用性がいいところ。
設定がいっぱいなければ困ります。

>600ページ以上の説明書を読む必要がある。もっとサポートするべきだ
Salesforceはサポート手厚いと思いますよ。
オンラインマニュアルも資格もユーザーフォーラムもある。
保守サポートで、質問すれば回答してくれるでしょう。
要件を出せてないだけ。

外部監査で気付けなかったのでしょうか?
外部公開サイトは、外部機関にセキュリティを確認してもらい、脆弱性は予め担保するのが一般的です。

ここまで課題が健在すると、日本のクラウドリテラシーがいよいよ深刻です。
まずタイトルの「米企業クラウド」と書くあたりから、日本のIT無理解にすこし残念な気持ちです。
セールスフォースはCRM(顧客管理ツール)の世界的企業です。

> セ社も含めたクラウドサービスでは、提供会社が機器やソフトウェアの保守管理を行い、利用する側が情報の公開範囲や接続権限などを設定する。

これはクラウド上のリソース管理では常識設定です。

> 利用企業と自治体からは、セ社のサービスの設定は複雑で、正しく対応するのは難しいとの声も上がる。

あらゆる機能を自社で活用するならば、理解できる担当者を採用するのは世界的な常識なんですよね。(有用な人材は高額なのもまた事実ですが)

PayPayや楽天はIT企業なのだから、そのようなITに明るい会社でも扱えないのはおかしい、という方向けに。

セールスフォースは主に営業やバックオフィスの方々向けのSaaSの会社です。つまりITエンジニアを対象としていないので、不慣れな方が対応することが多いと以前同業の人から伺ったことがあります。

マニュアルが分厚いのは、あらゆる機能を網羅しているだけであり、必要な機能を正しく理解するというのは、簿記や法律を解釈することと何ら変わりがありません。

まるで法律が読み解けないから、法律を平易な内容に変えろと言ってることと同じではないでしょうか。
クラウドサービスを適切に使う工夫は、クラウドサービス事業者とユーザ企業(または自治体)の双方に必要です。これまでの自治体サービスでは、そのシステムの開発と運用を担当するSI事業者(兼ITベンダー)が担当することが多く、情報・データの扱いについてのセキュリティ面を含む詳細仕様についてはSI事業者が主体で設計している場合が多かったようです。本格的なクラウドサービス活用においては、ユーザ組織が主体的に仕様を固め、運用時にしっかりと検証する体制が重要です。
一方、クラウドサービス事業者も、自治体などの社会インフラサービスを担っていることを強く自覚し、安定したサービス提供とともに、ユーザ組織への適切な支援サービスを提供することを期待します。
セールスフォースは使い手を選ぶサービスだと思います。世界でもIT人材が不足している行政機関や中小企業などが同社のサービスを運用することは難しいと思います。
同社が日本向けに共有のデフォルト設定を変更するか保守、管理にこの辺りのチェックをルールに入れるなどしないと怖くて使えないですね。
いづれにしても日本のIT人材の育成が急務だと危機感感じました。
SalesForceが使いやすいプロダクトかどうかはここでは議論しないが、少なくとも世界で使われているものであり、どこまで使いやすいかどうかは別として、世界では使えているものである。これをプロダクト側の課題に転嫁する論調になるのはとてもまずい。

サポートが足りないと言っているが、SalesForceのサポートは定評がある。ただし、有料になることが多いと思う。サポートにはお金を払う。当たり前のことができているのか確認して欲しい。

日本企業による日本向けのプロダクトを代わりに使おうというのは、再度世界が分断される流れの中で支持を受けそうに思うが、成長していない日本企業のローテク親父に合わせたプロダクトなんかが使われるようになったら、それこそ日本の成長は阻害される。

プロダクトのせいにするのではなく、企業とそして中の人が成長すべき。
600ページもの詳細なドキュメントがあるという事実はむしろ非常にポジティブです、ドキュメントが不足して使い方がわからないソフトウェアが巷に氾濫しているので。

おそらく、日本のエンジニアさんたちは締め切りに追われながら600ページの英語の説明書と必死に格闘したのでしょう。彼ら彼女らを無下に責める気持ちにはなりませんし、実際にソフトウェアに欠陥があったのかもしれませんが、なんとなく日本側の人材不足を感じさせる件のように思います。しかし英語が流暢な高スキルIT人材は今の時代すぐに年収3000万でシリコンバレーに引き抜かれるのでしょう。東大の理系トップ人材も高年収に引かれて外資コンサルや金融に流れてしまう時代です。エンジニアリングの人材不足、いかにすればいいのでしょうか。解決の第一歩は、3000万とはいかずとも、日本の優秀な新卒エンジニアに最低でも1000万くらいは出してあげることだと思います。
使い方がわからないなら導入すべきではないのでは?
"「設定のどこに問題があるかを把握するだけでも、600ページ以上の説明書を読む必要がある。もっとサポートするべきだ」"
なんでフェールアウト側に設定を変更させるのだろう。
利用者にも問題はあると思いますが、セールスフォースはアップデート前に検証しないのだろうか。検証はしていて事象が発生するのは分かっているけど、設定変更は利用者任せなのかな。

『13団体がセールスフォースの「設定不備」で不正アクセスを確認、委託先が発表 | 日経クロステック(xTECH) -』
https://xtech.nikkei.com/atcl/nxt/news/18/09648/

『Salesforce warns customers of data leak caused by API error | ZDNet -』
https://www.zdnet.com/article/salesforce-warns-customers-of-data-leak-caused-by-api-error/
利用する自治体や企業による公開範囲の設定ミスが原因とあれども、設定ミスが相次ぐようならばプロダクト側のUI/UXも改善の余地が多分にあるのだろうと思う。

どっちが悪い・責任の所在がどこにある、の議論ではなく、店舗情報や個人情報などの機密情報が漏洩することはあってはならないことなので、設定担当者のリテラシーを上げるなりプロダクトUIを改善するなり、やるべきことをやってほしい。

業績