いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ

【ITニュース解説】SaaS giant Workiva discloses data breach after Salesforce attack

2025年09月04日に「BleepingComputer」が公開したITニュース「SaaS giant Workiva discloses data breach after Salesforce attack」について初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

ITニュース概要

クラウドサービス大手のWorkiva社がデータ漏洩を発表。同社が利用する外部の顧客管理システムSalesforceに攻撃者が不正アクセスし、顧客データの一部が盗まれたことが原因である。

出典: SaaS giant Workiva discloses data breach after Salesforce attack | BleepingComputer公開日:

ITニュース解説

財務報告などを支援するクラウドサービスを提供する大手企業Workiva社で、顧客データの一部が外部に流出する情報漏洩インシデントが発生した。この事件の特筆すべき点は、Workiva社のシステムが直接ハッキングされたのではなく、同社が業務で利用していた第三者のサービスが攻撃の標的となった点にある。これは「サプライチェーン攻撃」と呼ばれるサイバー攻撃の一形態であり、現代の複雑なIT環境が抱える深刻なリスクを浮き彫りにした事例である。

まず、この事件を理解するために、いくつかの重要なキーワードを整理する必要がある。Workiva社は、企業が財務諸表やコンプライアンス関連の報告書を作成・管理するためのプラットフォームを、インターネット経由で提供する「SaaS」企業である。SaaSとは「Software as a Service」の略で、利用者はソフトウェアを自身のコンピュータにインストールすることなく、Webブラウザなどを通じてサービスを利用できる形態を指す。Google WorkspaceやMicrosoft 365などもSaaSの代表例であり、今日の多くの企業活動はこうしたクラウドサービスによって支えられている。次に、攻撃の舞台となったのが「Salesforce」である。Salesforceは、顧客情報を一元管理し、営業活動やマーケティング、カスタマーサポートを効率化するための「CRM」システムを提供する世界的なリーディングカンパニーだ。CRMは「Customer Relationship Management」の略で、日本語では「顧客関係管理」と訳される。Workiva社も多くの企業と同様に、自社の顧客情報を管理するためにSalesforceのCRMサービスを利用していた。今回の事件で攻撃者が狙ったのは、Workiva社のメインシステムではなく、このSalesforce上に構築されたWorkiva社の顧客管理環境だった。攻撃者は何らかの手段でSalesforceシステムに不正にアクセスし、そこに保管されていたWorkiva社の顧客に関する情報を盗み出した。流出したデータには、顧客の氏名、勤務先、メールアドレス、電話番号、請求先住所などが含まれていたことが報告されている。一方で、Workiva社が提供する本来のプラットフォーム、つまり顧客が財務データなどの機密情報を保管している領域へのアクセスはなかったと強調されており、最も重要なデータの保護には成功した形だ。

この一件は、システムエンジニアを目指す者にとって、複数の重要な教訓を含んでいる。第一に、サプライチェーン攻撃の現実的な脅威である。自社のセキュリティ対策をどれだけ強固にしても、業務で利用している外部のSaaSやクラウドサービス、あるいは取引先のシステムに脆弱性があれば、そこを踏み台にされて情報が漏洩するリスクが常にある。現代のシステム開発や運用は、自社だけで完結することは稀であり、多数の外部サービスやAPI、オープンソースライブラリなどを組み合わせて構築されるのが一般的だ。そのため、自社が直接管理する範囲だけでなく、連携する全ての要素、つまりサプライチェーン全体のセキュリティを意識する必要がある。第二に、サードパーティリスク管理の重要性だ。外部サービスを選定する際には、機能や価格だけでなく、そのサービスがどのようなセキュリティ対策を講じているか、セキュリティに関する国際認証などを取得しているか、過去に重大なインシデントを起こしていないかなどを評価することが不可欠となる。また、サービス利用契約を結ぶ際には、万が一インシデントが発生した場合の責任分界点や通知義務などを明確にしておくことも重要である。システムエンジニアは、単に技術を選定するだけでなく、その技術がもたらすビジネス上のリスクを評価する視点も求められる。第三に、多層防御というセキュリティの基本原則の有効性である。今回の事件では、CRMシステムから一部の顧客情報は漏洩したものの、Workivaのメインプラットフォームに保管されていた顧客の最も重要な財務データは守られた。これは、顧客管理システムとサービス提供の基幹システムが論理的あるいは物理的に分離され、それぞれに適切なアクセス制御や監視体制が敷かれていた結果と考えられる。このように、システム全体を一つの防御壁で守るのではなく、データの重要性や機能に応じて複数の防御層を設け、仮に一つの層が突破されても被害を最小限に食い止めるという「多層防御」の考え方は、セキュリティ設計の基本である。最後に、インシデント発生後の対応、すなわちインシデントレスポンスの重要性も挙げられる。Workiva社はインシデントを検知後、規制当局への報告や影響を受けた顧客への通知を迅速に行っている。サイバー攻撃を100%防ぐことが困難である以上、万が一インシデントが発生した際に、いかに迅速に状況を把握し、被害の拡大を防ぎ、関係者に透明性をもって情報提供できるかが、企業の信頼を維持する上で極めて重要となる。このWorkiva社の事例は、単なる一企業のデータ漏洩事件ではなく、相互に連携し合う現代のITサービスが本質的に抱えるリスクと、それに対処するためのセキュリティの考え方を学ぶ上で、非常に示唆に富んだケースと言えるだろう。