NTTデータ、NTTテクノクロス、JSOLの3社は2022年6月20日、NTTデータのクラウド運用支援サービス「A-gate」の管理対象を広げ、Salesforceの設定不備による情報漏洩を防止するサービスを開始した。漏洩リスクに直結する設定変更が行われた場合、これを検知して自動修復する。サービスの提供にあたって3社は、Salesforceの全設定項目とAPIを網羅的に調査したとしている。
NTTデータの「A-gate」は、セキュリティ強化を中心としたクラウドサービスの運用支援サービスである。今回、NTTデータ、NTTテクノクロス、JSOLの3社で、Salesforce.comの設定不備による情報漏洩を防止するサービスを開発し、A-gateで提供を開始した。
Salrsforceの情報漏洩防止サービスでは、Salesforce上で情報漏洩のリスクにつながる設定変更が行われた場合に、これを検知して自動修復する。
サービス開発の背景について3社は、多くの機能を備えるSalesforceは多様な設定が可能である一方、安全に利用するには利用企業の責任においてアクセス制御の権限などを適切に設定・維持する必要があることを挙げる。「情報漏洩のリスクにつながる設定ミスなどによる誤った参照権限の付与を防ぐ必要がある。情報漏洩防止サービスの開発にあたっては、Salesforceのすべての設定項目とAPIを網羅的に調査した」(3社)。
3社は、Salesforceの今後のアップデートに伴い、新たな検知修復機能を追加する体制を整えている。「Salesforceは年に3回の大規模アップデートで、毎回500項目以上の機能追加を行っている。利用企業による機能追加の検証が不十分な場合、アクセス経路や情報共有機能を意図せずに追加してしまうこともある。これらに対し、アップデートにおける情報漏洩リスクのある機能追加がないかを総点検する」としている。