catch-img

【1/15 更新】ゲストユーザのセキュリティ設定に関する「Online Profile for Salesforce」「aVisca」への影響につきまして

この度、Salesforce社の一部製品または機能(Experience Cloud〔旧 Community Cloud〕、Salesforceサイト、Site.com)を利用されているお客様において、
お客様の利用するSalesforce上の組織の一部の情報が第三者から閲覧できる事象が発生しているとの報告があったとSalesforce社より発表がございました。


詳細につきましては、以下ページを参照ください。

【お知らせ】当社一部製品をご利用のお客様におけるゲストユーザに対する共有に関する設定について

弊社が提供しております「Online Profile for Salesforce」および「aVisca」においては該当機能を利用しておりますので本件に関する影響についてご報告いたします。

■Online Profile for Salesforce

「Online Profile for Salesforce」につきましては、本件に該当するExperience Cloud〔旧 Community Cloud〕機能を利用しております。
お客様におかれましては、以下Salesforce社が公開しておりますベストプラクティスに沿ってゲストユーザに不要な権限設定がされていないかご確認いただきますことを推奨いたします。

ゲストユーザプロファイルを設定するときのベストプラクティスと考慮事項

Online Profile for Salesforceに必要なゲストユーザの権限につきまして初期設定マニュアル「ゲストユーザの権限設定/公開設定」をご確認ください。


なお、本件に関してOnline Profile for Salesforceの仕様調査を改めて実施したところ、パッケージ利用に関する各オブジェクトのデフォルトの外部アクセス権は非公開を前提に動作するものとなっておりますため、情報漏洩のリスクはないものと考えられます。

■aVisca

※1/15 更新
「aVisca」につきましては、上記に該当するSalesforceサイト機能を利用しております。

金融庁が2020年12月17日付けで金融機関向けに注意喚起をしたことが報じられておりますが、Salesforce組織の設定に加えプログラム上の手法が攻撃対象となり得ることが伝えられております。
弊社としましては、aViscaは該当するプログラム手法を利用していないことを確認しております。したがって、aViscaの利用によりお客様の情報が不正に閲覧されることはなかったと判断します。

・参考
金融庁の注意喚起で金融機関が対応急ぐ、セールスフォース製品への不正アクセスで

しかしながら、aViscaの利用に際し必要となる初期設定が、本事案に関連しSalesforce社が推奨する「ゲストユーザセキュリティポリシーのベストプラクティス」に十全に適合していないため、本サービスを2021年2月28日付けで終了することといたします。

ゲストユーザセキュリティポリシーのベストプラクティス

影響を防ぐため、お客様にてaViscaで利用しているサイトの無効化をお願いいたします。

<Salesforceサイトの無効化手順>
設定>クイック検索に「サイト」と入力>「サイト」をクリック
aViscaで利用しているSalesforceサイトの「アクション」欄の「無効化」をクリック

2021年3月1日以降サービス停止とさせていただきますので、それまでにデータのバックアップ取得をお願いいたします。※期日以降、アンケート関連のオブジェクトは参照不可となります。

<データのバックアップ取得方法>
運用に合わせていずれかの方法をご検討ください。

レポートを使用した方法
データローダを使用した方法
マンスリー(ウィークリー)エクスポートサービス

突然のサービス終了によりご迷惑をおかけしますことを深くお詫び申し上げます。
今までのご利用に心から感謝を申し上げますとともに、この度のサービス終了へのご理解をお願い申し上げます。

ご不明点等ございましたら以下までご連絡ください。

・aViscaサポートデスク
aviscasupport@sunbridge.com