ヤフー株式会社

日本最大級のメディア規模を誇るポータルサイト「Yahoo! JAPAN」をはじめとした100以上のインターネットサービスを展開す
るヤフー株式会社。同社では、１日数千件に及ぶ一般ユーザーからの問い合わせ対応プラットフォームとしてSalesforceを採用
している。そこでやり取りされる添付ファイルやURL等によるマルウェアの混入リスクを低減するために、同社が採用したのが、
ウィズセキュアの「WithSecure™ Cloud Protection for Salesforce」だった。導入から数ヶ月、Salesforceとクラウド間でAPI
連携するソリューションがもたらす数々のメリットをヤフーでは評価している。

ヤフオク!やYahoo!ショッピングの問い合わせファイルのマルウェア混入リスクへの対策

ヤフー株式会社は、日本最大級のポータルサイト「Yahoo!JAPAN」 を筆頭に、「ヤフオク!」や「Yahoo!ショッピング」といったEC事業、コ ンテンツ配信サービスなど、質量ともに充実した数多くのインターネ ットサービスと幅広いユーザーを誇る。

8,000万ものユーザーを抱える同社だけに、問い合わせ件数も 膨大であり、各サービスを合算した１日の問い合わせ件数は数 千件にものぼる。そうした問い合わせ受付サービスのプラット フォームとしてヤフーが採用しているのがSalesforceだ。この Salesforce上で日々の問い合わせ対応をするなかで、ヤフーで は更なるセキュリティ強化を目指すこととなった。

そのポイントは、一般ユーザーからの問い合わせメールなどに添 付されるファイルやURLの安全性の確保だった。カスタマーサ ポートのためのシステムの運用管理を担う、ヤフー株式会社 CS本 部 クラウドオペレーション リーダーの徳山 敦氏はこう振り返る。

「お問い合わせをいただく お客様側のクライアント環境は把握 できませんので、 パソコンやスマートフォンにアンチウイルスソフ トを入れていなかったり、 OSのア ップデートが行われていなかっ たりといったことも考えられます。そうなると添付ファイルにマル ウェアなどが混入されているリスクも考慮しなければいけませ ん。しかし、Salesforce側では添付ファイルの中身をセキュリティ チェ ックする機能は提供されていないため、マルウ ェア混入ファイ ルが保存・外部転送されるリスクが想定されます。このためヤフー 側で何らかの対策をすることが急務であると 考えま した （注） 」

ポイントはクラウド連携！ 導入はわずか数分で完了

Salesforce上でやり取りされる添付ファイルへのマルウェア混 入 や危険なURLの脅威にどう対処す べきか──解決策の模索は 2020年に入 ってからスタートした。ヤフーが求めたのは、セキュ リティ アプライアンスを物理的に設置したり、問い合わせを受 け付けるコミュニケーター（オペレーターの呼称）のPCなどに特 定のアンチウイルスソフトをインストールせずとも、マルウェア が排除されたファイルやリンクの安全性が確保できるようなソ リューションだった。なぜなら、これらの方法では、 不特定の場 所からのファイル送付や、コミュニケーターのミスなどに十分に 対処することが難しいからである。

このような条 件でソリューションの検 討を行ったヤフーだっ たが、CISO室の迅 速な判断により2月にはウィズセキュアの 「WithSecure™ Cloud Protection for Salesforce（以下、 CPSF）」の導入が決定したのである。CPSFは、WithSecure™ Security Cloud（セキュリティクラウド）とSalesforceのクラウ ドとの間をAPI連携することで、Salesforceのプラットフォーム のパフォーマンスを低下させることなく、クラウド上で共有され ているファイルとURLリンクの安全性を検証することができるソ リューションだ。

「一般的に言えば、１日数千件もの問い合わせメールをチェック できるソリューションの導入となると、インストールや設備導入な どにかなりの時間と手間を要するはずです。しかし、CPSFはクラ ウド間連携のソリューションなので、ネットワークの設定変更や クライアント端末へのソフトウェアのインストールなども必要あ りません。ウィ ズセキュアの触れ込み通り、本当に数分で導入 できてしまったのは驚きでしたね」と徳山氏はコメントする。

徳山氏のチームでは、 まず無償ライセンスのCPSFの動作をサン ドボックス上で確認。Salesforce側のパフォーマンスが低下し ないことなど、さまざまなヤフー側の要件を満たしていることが 確認できると、一気に導入 を進めたのだった。

わかりやすいUIやスキャン時の タイムラグのなさも評価

ヤフーがカスタマーサポートのSalesforceにおいてCPSFの利 用を開始したのは3月のこと。これまで数百人のコミュニケー ターが利用しているが、 特別問題などは生じていないようだ。

「管理画面や通知のデザインが明瞭で、 ITに強くないユーザー でもわかりやすいと感じています。 また、スキャン時のタイムラ グなどもほぼ生じないので、コミュニケーターに存在を意識さ せることもありません。さらに、 従来は添付ファイルの閲覧を禁 止していたのですが、CPSF導入後は開けるようになったのでコ ミュニケーター側のメリットは大きいはずです」と、徳山氏は評 価する。

当初の懸念事項でもあった、 自社で作成しているカスタム要素 やSalesforceの標準機能とのバッティングなどによる、 予期せ ぬ動作や機能制限なども発生していないという。

徳山氏は、「日々お客様から送られてくる添付ファイルなどを チェックしている中で、その内容がリアルタイムに通知されるの で、しっかり保護されているのだと安心することができています」 と笑顔を見せる。

そして今後も、CPSFのように自動化できる部分はシステムに任 せながら、セキュリティ対策に力を入れていく 構えだ。

「いまや情報セキュリティの確保は非常に大事であり疎かにして はいけません。これに加えてCPSFのようなソリューションは、セ キュリティ面の不安を払拭することで、それ以外の面にリソース を集中することができる土台を支えるものであるとも考えていま す」と徳山氏は力強く語った。

“WithSecure™ Cloud Protection for Salesforceは、 WithSecure™ Security CloudとSalesforceのクラウド との間をAPI連携することで、Salesforceのプラットフォー ムのパフォーマンスを低下させることなく、クラウド上で共有 されているファイルとURLリンクの安全性を検証し、確保する ことができるソリューションです。CPSFは、Salesforce社と 共同で設計・開発されているため、シームレスな統合を実現し ています。 ”

ヤフー株式会社 CS本部
クラウドオペレーション リーダー
徳山 敦 氏