ブログ - デフォルト設定が弱い場合は脆弱性ではないのか その2
この前,「デフォルト設定が弱い場合は脆弱性ではないのか」と,軽くつぶやきをブログにしたばかりだけれどこんな事件があった.
楽天情報漏えい、SalesforceのExperience Cloudの設定不備が原因か?
https://news.yahoo.co.jp/byline/ohmototakashi/20201226-00214542
引用: 東証システム障害の長期化の原因の時にもあったけれど,設定の正しさ,仕様に変更がないか,みたいな部分は定期的にチェックが必要ということかな.
まぁ,提供側が「バグ修正」といいつつしれっと何か機能や設定を修正していることも多いから,そういう部分も明らかにする,という文化が浸透する必要があるな.
そんな浸透は無理だから,自動化してチェックする必要があるのかな.
んー,ただ,設定値1つ1つ全て確認・理解している人なんて皆無だし,普通はデフォルトが最適と信じて変更箇所のみ設計書に記録し,説明をしない事が多いんじゃなかろうか.
意図しない設定変更などを検出するためには,設定ファイルのdiffが基本だけれど,GUI設定画面のスクショ撮って画像ファイルを見比べて変化が大きい場合,設定変更や仕様変更とみなす,みたいなのもあっても良いのかもしれない.
追記2021.02.02
ベンダからのお知らせ.
Salesforceサイトおよびコミュニティにおけるゲストユーザのアクセス制御の権限設定について
https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/
引用:
楽天情報漏えい、SalesforceのExperience Cloudの設定不備が原因か?
https://news.yahoo.co.jp/byline/ohmototakashi/20201226-00214542
引用:
楽天、楽天カード、楽天Edyは12月25日、利用中のクラウド型営業管理システムに不正アクセスを受け、保管していた個人情報など最大148万6291件が流出した可能性があると発表した。
楽天の情報漏えいと同日に、Salesforce社が同社製品利用顧客による「設定ミス」が発生したことを発表した。楽天の発表には「クラウド型営業管理システム」としか記載されていないが、一部報道では既に「Salesforce社のサービスだった」との指摘があり、Salesforce社が同日に発表した「お客様」は「楽天」ではないかと推測される。
まぁ,提供側が「バグ修正」といいつつしれっと何か機能や設定を修正していることも多いから,そういう部分も明らかにする,という文化が浸透する必要があるな.
そんな浸透は無理だから,自動化してチェックする必要があるのかな.
んー,ただ,設定値1つ1つ全て確認・理解している人なんて皆無だし,普通はデフォルトが最適と信じて変更箇所のみ設計書に記録し,説明をしない事が多いんじゃなかろうか.
意図しない設定変更などを検出するためには,設定ファイルのdiffが基本だけれど,GUI設定画面のスクショ撮って画像ファイルを見比べて変化が大きい場合,設定変更や仕様変更とみなす,みたいなのもあっても良いのかもしれない.
追記2021.02.02
ベンダからのお知らせ.
Salesforceサイトおよびコミュニティにおけるゲストユーザのアクセス制御の権限設定について
https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/
引用:
すでにコミュニティならびにサイトをご利用のすべてのお客様にお伝えしている通り、ゲストユーザのアクセス制御の権限設定の再確認を支援するパッケージ「Guest User Access Report Package」(英語)を利用することをお勧めします。また、以下のヘルプ記事「ゲストユーザプロファイルを設定する際のベストプラクティスと考慮事項」を確認することもあわせてお勧めします。
アクセス制御の権限設定の見直しや構成に支援が必要なお客様は、いつでも Salesforce ヘルプからケースを起票いただくか、SIパートナーにご相談ください。