日本最大級のメディア規模を誇るポータルサイト「Yahoo! JAPAN」をはじめとした100以上のインターネットサービスを展開するヤフー株式会社。同社では、1日数千件に及ぶ一般ユーザーからの問い合わせ対応プラットフォームとしてSalesforceを採用している。

そこでやり取りされる添付ファイルやURL等によるマルウェアの混入リスクを低減するために、同社が採用したのが、エフセキュアの「F-Secure Cloud Protection for Salesforce」だった。導入から数ヶ月、Salesforceとクラウド間でAPI連携するソリューションがもたらす数々のメリットをヤフーでは評価している。

ヤフー株式会社
創業以来、国内初のポータルサイト「Yahoo! JAPAN」をはじめとした多種多様なインターネットサービスを展開しながら、常に時代の真ん中でインターネットの可能性を追求し続けている。2018年10月にはソフトバンクと連携しスマートフォン決済サービス「PayPay」の提供を開始し、政府が推進する「日本のキャッシュレス化」を牽引するための中心的な役割も担っている。

所在地 東京都千代田区紀尾井町1-3 東京ガーデンテラス紀尾井町 紀尾井タワー
資本金 300百万円(2019年10月1日)
URL https://about.yahoo.co.jp/

ヤフオク!やYahoo!ショッピングの問い合わせファイルのマルウェア混入リスクへの対策

ヤフー株式会社は、日本最大級のポータルサイト「Yahoo! JAPAN」を筆頭に、「ヤフオク!」や「Yahoo!ショッピング」といったEC事業、コンテンツ配信サービスなど、質量ともに充実した100以上のインターネットサービスと幅広いユーザーを誇る。

8,000万ものユーザーを抱える同社だけに、問い合わせ件数も膨大であり、各サービスを合算した1日の問い合わせ件数は数千件にものぼる。そうした問い合わせ受付サービスのプラットフォームとしてヤフーが採用しているのがSalesforceだ。このSalesforce上で日々の問い合わせ対応をするなかで、ヤフーでは更なるセキュリティ強化を目指すこととなった。

そのポイントは、一般ユーザーからの問い合わせメール等に添付されるファイルやURLの安全性の確保だった。カスタマーサポートのためのシステムの運用管理を担う、ヤフー株式会社 CS本部 クラウドオペレーション リーダーの徳山 敦氏はこう振り返る。

「お問い合わせをいただくお客様側のクライアント環境は把握できませんので、パソコンやスマートフォンにアンチウイルスソフトを入れていなかったり、OSのアップデートが行われていなかったりといったことも考えられます。そうなると添付ファイルにマルウェアなどが混入されているリスクも考慮しなければいけません。しかし、Salesforce側では添付ファイルの中身をセキュリティチェックする機能は提供されていないため、マルウェア混入ファイルが保存・外部転送されるリスクが想定されます。このためヤフー側で何らかの対策をすることが急務であると考えました(注)」

  • ヤフー株式会社 CS本部 クラウドオペレーション リーダー 徳山 敦氏

    ヤフー株式会社 CS本部 クラウドオペレーション リーダー 徳山 敦氏

ポイントはクラウド連携!導入はわずか数分で完了

Salesforce上でやり取りされる添付ファイルへのマルウェア混入や危険なURLの脅威にどう対処すべきか──解決策の模索は2020年に入ってからスタートした。ヤフーが求めたのは、セキュリティアプライアンスを物理的に設置したり、問い合わせを受け付けるコミュニケーター(オペレーターの呼称)のPCなどに特定のアンチウイルスソフトをインストールせずとも、マルウェアが排除されたファイルやリンクの安全性が確保できるようなソリューションだった。なぜなら、これらの方法では、不特定の場所からのファイル送付や、コミュニケーターのミスなどに十分に対処することが難しいからである。

このような条件でソリューションの検討を行ったヤフーだったが、CISO室の迅速な判断により2月にはエフセキュアの「F-Secure Cloud Protection for Salesforce(以下、CPFS)」の導入が決定したのである。CPFSは、F-Secure Security Cloud (セキュリティクラウド)とSalesforceのクラウドとの間をAPI連携することで、Salesforceのプラットフォームのパフォーマンスを低下させることなく、クラウド上で共有されているファイルとURLリンクの安全性を検証することができるソリューションだ。

「一般的に言えば、1日数千件もの問い合わせメールをチェックできるソリューションの導入となると、インストールや設備導入などにかなりの時間と手間を要するはずです。しかし、CPFSはクラウド間連携のソリューションなので、ネットワークの設定変更やクライアント端末へのソフトウェアのインストールなども必要ありません。エフセキュアの触れ込み通り、本当に数分で導入できてしまったのは驚きでしたね」と徳山氏はコメントする。

徳山氏のチームでは、まず無償ライセンスのCPFSの動作をサンドボックス上で確認。Salesforce側のパフォーマンスが低下しないことなど、様々なヤフー側の要件を満たしていることが確認できると、一気に導入を進めたのだった。

わかりやすいUIやスキャン時のタイムラグのなさも評価

ヤフーがカスタマーサポートのSalesforceにおいてCPFSの利用を開始したのは3月のこと。これまで数百人のコミュニケーターが利用しているが、特別問題などは生じていないようだ。

「管理画面や通知のデザインが明瞭で、ITに強くないユーザーでもわかりやすいと感じています。また、スキャン時のタイムラグなどもほぼ生じないので、コミュニケーターに存在を意識させることもありません。さらに、従来は添付ファイルの閲覧を禁止していたのですが、CPFS導入後は開けるようになったのでコミュニケーター側のメリットは大きいはずです」と、徳山氏は評価する。

当初の懸念事項でもあった、自社で作成しているカスタム要素やSalesforceの標準機能とのバッティングなどによる、予期せぬ動作や機能制限なども発生していないという。

徳山氏は、「日々お客様から送られてくる添付ファイル等をチェックしている中で、その内容がリアルタイムに通知されるので、しっかり保護されているのだと安心することができています」と笑顔を見せる。

そして今後も、CPFSのように自動化できる部分はシステムに任せながら、セキュリティ対策に力を入れていく構えだ。

「いまや情報セキュリティの確保は非常に大事であり疎かにしてはいけません。これに加えてCPFSのようなソリューションは、セキュリティ面の不安を払拭することで、それ以外の面にリソースを集中することができる土台を支えるものであるとも考えています」と徳山氏は力強く語った。

  • F-Secure Cloud Protection for Salesforce

    F-Secure Cloud Protection for Salesforce

Salesforceに特化したクラウドベースのセキュリティサービス

F-Secure Cloud Protection for Salesforceは、F-Secure Security CloudとSalesforceのクラウドとの間をAPI連携することで、Salesforceのプラットフォームのパフォーマンスを低下させることなく、クラウド上で共有されているファイルとURLリンクの安全性を検証し、確保することができるソリューションです。CPSFは、Salesforce社と共同で設計・開発されているため、シームレスな統合を実現しています。
https://www.f-secure.com/jp-ja/business/solutions/collaboration-protection/cloud-protection-for-salesforce

エフセキュア株式会社

〒105-0004 東京都港区新橋2-2-9 KDX新橋ビル2F
Tel. 03-4578-7710
E-mail : japan@f-secure.co.jp

注:セールスフォースサービスではデータプライバシー保護の観点から、ウィルススキャンまたは検疫はお客様データをファイルデータとして取り扱うため実施しません。システムはお客様より受領したデータをデータベースにエンコードされた形式のまま格納しており、そのデータを解釈し実行するようなことはありません。したがってウイルスに感染したファイルを格納しても他のファイルやシステムに感染することはありません。マルウェアに関する脅威を低減するための施策として、お客様側で最新のウイルス対策またはマルウェア対策ソリューションを実行いただくことを推奨しています。

[PR]提供: エフセキュア