2024.04.12 11:47
2021.04.04 06:00
今、IT業界を震撼させている企業向けクラウドサービスの大手セールスフォース・ドットコムの“設定不備問題”。
昨年12月25日に楽天が海外からの不正アクセスを受け、148万件を超える顧客情報が流出した可能性があると発表した出来事を皮切りに、キャッシュレス決済の大手PayPayやスーパーマーケットの大手イオンといった企業が次々と流出の危険性を発表。今年1月29 日には、内閣サイバーセキュリティセンター(NISC)が注意喚起を発表したことでも話題となった。
しかし、こうした問題を受けてセールスフォース側はサービスの脆弱性について「当社製品の脆弱性に起因するものではない」とし、利用企業の「設定が適切に行われていない」ことが原因だとする内容も公表した。これに一部の企業からは「ユーザーがすべて能動的に設定を確認すべきなのか」といった不満の声も漏れているようだ。
そこで、この問題に加えてクラウドサービスへの向き合い方にいて、ITビジネスや最新テクノロジーに関する本を多数手がけてきた編集者の久保田大海氏に話を聞いた。
2000年代中盤に急速に広まったクラウドサービス
まず久保田氏は、クラウドサービスがどのようなものかを今一度理解する必要があるという。
「クラウドは『クラウドサービス/クラウドコンピューティング』の略で、簡単に説明すると、インターネットを介してソフトウェアなどのサービスを受けられるシステムのこと。ユーザーが自分でサーバーを用意する必要がなく、運営している企業のサーバーにあるソフトウェアやデータをユーザーがネット経由で利用できるというものです」(久保田氏)
久保田氏は、そんなクラウドサービスとユーザーの関係性について改めて振り返る。
「2006年ごろからクラウドサービスという言葉は急速な広がりを見せ始め、多くの企業もビジネス向けのクラウドサービスを利用し始めました。CRM系のサービスはその最たる例でしょう。これは『Customer Relationship Management』の略で、日本語でいうと『顧客関係管理』となります。膨大な顧客のデータを管理するクラウドサービスで、多くの企業が利用しました。今回のセールスフォースもこのCRM系のサービスにあたります。
こうしたクラウドサービスの利用は、いわば“買ってきた道具をユーザーが説明書を読んで使う”、または“公園の遊具のような提供された遊び場としてユーザーが利用する”といった行為に近いものであり、使い方によっては大きな失敗にもつながるわけです。言い換えるなら“すべてはユーザー側の責任となる場合が多いサービス”なわけです」(久保田氏)
利用企業が求める要望とセールスフォースとの相性の悪さ
そして今回のセールスフォース設定不備問題について、久保田氏はこう解説する。
「今回の事件を簡単にいうと、セールスフォース側のアップデートに伴い、ユーザー側がやらなければいけない設定というものがあったのですが、それを多くの企業が見逃してしまい、システムに情報流出の穴がボコボコとできてしまったというものです。確かに、セールスフォース側が英語でしか説明していなかったことなどが遠因の一つといえるかもしれませんが、個人的にはセールスフォースの声明通り、問題の責任はユーザー側にあると考えています。それは、先に説明したクラウドサービス側とユーザー側の関係性が根本にあるからです」(久保田氏)
久保田氏は、今回のアップデートに伴う設定問題の陰に、多くの利用企業が求める要望とセールスフォースとの相性の悪さがあると指摘する。
「多くの企業には、クラウドサービスが広まる前から自社で使っていたERP(基幹システム)やCRM系の管理ソフトがきっとあるでしょう。企業が自社のサーバーやソフトウェアといった情報システムを、自社の設備内に設置し管理することを『オンプレミス』というのですが、クラウドサービスはこのオンプレミスシステムとは性質がまったく異なります。オンプレミスであれば『勝手に仕様を変更するとは何事だ』とシステム担当者が怒るところですが、クラウドサービスはそんなことはお構いなしです。
今回の事件を見ればわかるように、勝手に仕様が変更されるのは日常茶飯事であり、当たり前のことです。常にアップデートされる最新技術を使えるのはクラウドサービスのメリットですが、機能追加のたびに変更される仕様に自分たちで適応していかなければなりません。『勝手に変更するとは何事だ』という従来のオンプレミスの考え方は通じません。
使い勝手もまったく異なります。本音を言えばユーザー側はクラウドサービスを自社が使いやすいようにカスタマイズがしたいはずですが、クラウドサービスというのは、大勢が利用するものですので、汎用性の高いサービス提供が主流です。ゆえにユーザー側が、この外部サービスと連携したいという要望を伝えても、クラウドを提供する企業側からすれば、そのサービスと連携したいユーザーが少なければコストがかかるのでできません。クラウドを提供する側から『できない』と回答されてしまった場合、ほとんどユーザー側にできることがないわけです」(久保田氏)
久保田氏は、被害にあった企業側の心情は理解しつつも、クラウド側への批判の声には賛同しかねるという。
「確かに、楽天やPayPayといった今回流出してしまった企業側からすると、アップデートに伴う設定はかなりわかりづらかったのは事実でしょう。こうした分野のプロの人でも『難しい設定だった』という声が多く聞こえていますからね。だからといって『全部自分たちでやらなきゃならないなんておかしい!』というのは的外れな批判でしょう。
クラウドサービスは基本的に“道具”と考える意識が必要で、とりわけアメリカ企業のセールスフォースはそのあたりの棲み分けはかなりドライですので、ユーザー側もそのことにもう少し自覚的でいたほうが、不満が噴出することも少なくなるのかなと感じます」(久保田氏)
クラウドサービスを利用するということへの意識改革
今後の企業とクラウドサービスの関係はどのように変化していくのだろうか。
「クラウドサービスというものはユーザーの要望に沿って機能が追加されていくため、基本的に“これまで搭載されていたサービスを減らす”という方向性には向きづらく、より複雑化し続けるものです。そうしたときに、従来の向き合い方のままですと、今回のような情報の大規模流出は今後も起きかねません。昨今“セールスフォースの導入を支援するサービス”を提供している企業がいますし、セールスフォース自身が提供している有料のサポートプランなどもあります。不満があるならば、これらを積極的に活用してコストをかけていくべきでしょう」(久保田氏)
最後に、久保田氏はクラウドサービスを利用する企業の意識が、事故を防ぐ近道だという。
「先に述べたようなサポートサービスの利用、または、そもそもどのクラウドサービスが自社にとって合うのかを見極める意識の強化、さらには今後こうしたトラブルに対してのサポートを売りにしたCRM系クラウドサービスも充実してくると思いますので、そうしたものを選ぶのも賢明なのではないでしょうか」(久保田氏)
今回の事件を経て、クラウドサービスを利用する企業に求められているのは、“サービスを道具として正しく運用すること”――そんな言われてみれば当たり前な意識改革なのかもしれない。
Business news pick up
RANKING
17:30更新
関連記事
