サードパーティ製アプリを起因とするプライバシーリスクを軽減
侵害を防止し、被害を軽減するための戦略
サードパーティ製アプリの使用は、常に一定レベルのセキュリティおよびプライバシーリスクを伴います。攻撃者は常に機密データへの侵入口となるソフトウェアの脆弱性を狙っています。SaaSサービスの利用や依存度が高まり、アプリとの連携が増えたことで攻撃者が狙うことができる脆弱性が増えたことから、この問題はさらに深刻化しています。
2025年8月に数百もの組織が影響を受けたSalesloft Driftの情報漏洩は、サードパーティ製SaaSアプリとその連携がもたらす深刻なプライバシーリスクが浮き彫りになりました。
この攻撃では、攻撃者がSalesloft Driftの営業支援プラットフォームに侵入し、OAuth tokenの窃取により、複数の組織が使用する統合Salesforceインスタンスにアクセスしました。影響を受けた組織は速やかにアクセスを遮断しましたが、時すでに遅く、攻撃者はそれらの組織のSalesforceインスタンスから既にカスタマーサポートの事例のテキストフィールドを含めたデータを持ち出した後でした。数百の組織が影響を受けたと推定されていますが、公に報告されたのはごく一部です。
このSalesloft Driftの事件では、顧客データの流出自体が被害でしたが、攻撃者はさらにその情報を悪用する可能性もあります。盗まれた情報は、ソーシャルエンジニアリングスキームに使われることがあります。また、この攻撃では、他の連携されたアプリケーションへのアクセスを可能にするデジタルクレデンシャルとトークンが盗み出されています。
このような脆弱性は、さまざまな機密データをより危険な状態にさらします。Salesloft Driftの情報漏洩では、顧客の連絡先情報やサポート情報が盗み出されましたが、場合によっては企業の営業秘密、財務情報、医療情報など、さらに機密性の高いデータが流出する可能性もあります。たとえば、2025年に発生したDiscordのサードパーティカスタマーサポートベンダーが侵害された事例では、Discordの顧客名、メールアドレス、クレジットカード番号、アップロードされた政府発行IDの画像などが盗まれました。
企業は、サードパーティ由来のデータ侵害に即座に対応するだけでなく、長期的な影響にも対処する必要があります。規制違反の罰金、訴訟、顧客信頼の喪失などに直面する可能性があり、これが収益に直接影響を与えることもあります。
プライバシー担当者として、サードパーティ製アプリやソフトウェア連携がもたらすリスクにより適切に対処するにはどうすればよいのでしょうか?いくつかのベストプラクティスを実施することで、脆弱性を減らし、このような攻撃が発生した場合でも素早く解決することができます。
サードパーティ製アプリのリスクを理解する
プライバシー担当者は、データ漏洩の潜在的な影響をよく理解しています。組織は、連邦取引委員会(FTC)や保健福祉省(HIPAA違反の場合)、米国の州司法長官、または世界中のデータ保護当局(DPA)から規制調査や罰金を受ける可能性があります。
それだけでなく、データ漏洩は企業の評判、顧客の信頼、収益にも影響する可能性があります。データ漏洩が発生した場合、顧客により契約違反による救済や補償が求められることがあります。最悪の場合、信頼を失い、取引先や顧客を他社に奪われてしまうこともあります。
特に、サードパーティ製アプリや連携機能への攻撃はリスクをさらに高めます。自社システムにさまざまな保護策を講じることは比較的簡単ですが、サービスプロバイダーが同等の保護を提供しているかを確認するのはより難しい課題です。このため、EUのデジタルオペレーショナルレジリエンス法(DORA)などの規制では、対象事業体に対してサービスプロバイダーやそのサプライチェーンに対する十分なデューデリジェンスを実施するよう義務付けています。さらに、EUのDPAおよび米国FTCの多くの執行例でも、サービスプロバイダーのシステム上で侵害が発生した場合でも、事業体が責任を負う立場にあるとされています。
サードパーティ製アプリのプライバシーリスクを減らす
サードパーティによるプライバシーリスクを軽減し、万一の侵害による被害を最小化するためには、4つのベストプラクティスがあります。これらは一度行えば終わりではなく、ベンダーの評価、対応計画の改善、通知義務の確認、変化への適応を継続的に行う必要があります。
1. すべてのSaaS提供者を無条件に信頼しない。
新しいSaaSアプリを採用する前に、IT部門およびセキュリティ部門と協力してベンダーの徹底的なデューデリジェンスを実施します。ベンダーが認証を取得しているか、データの安全性を保護しているか、十分なデータ・ハイジーン(衛生)を維持するための措置を講じているかを確認してください。最も重要なことは、自分たちのチームがアプリの正しい設定方法を理解していることを確認することです。
認証:ベンダーが、SOC 2やISO 27701、さらにPCI DSS 4.0、HIPAA、またはFedRAMPなど、業界に応じた認証を取得しているかを確認します。
データ使用とセキュリティ:自分たちのデータがどのように扱われるか、どのように保護されるかを確認します。要件を満たしていないベンダーとは取引を停止するなどの対応も必要です。例えば、自社データをAIモデルのトレーニングに使用しないことの保�証や、他社データと分離して暗号化保存されているかなどを求めることができます。
データ・ハイジーン(衛生):収集される機密データは必要最低限であり、保存期間も必要最小限であることを確認します。「データ最小化」は、EU一般データ保護規則(GDPR)などのデータプライバシー規制の中核的な原則です。ベンダーはまた、規制に準拠するために必要なデータ、必要な期間に限り保持するよう努める必要があります。データの収集と保持を制限することで、侵害時のデータ露出を最小限に抑えることができます。例えば、Discordの侵害事件で流出したデータの一部(運転免許証の画像など)は、トークンに置き換えた後、削除するべきでした。
設定:ITチームが新しいSaaSアプリの設定方法を理解していることを確認します。特に、他のアプリとの連携方法を評価します。併せて権限の細かさも評価します。攻撃者に1つのアカウントやアプリを侵害された場合も、それが複数システムへのアクセス権を簡単に取得できる状態にならないようにします。
2. セキュリティ部門や他部門と協力して対応計画を策定する。
SaaSアプリには常に脆弱性が存在するため、攻撃さ�れる可能性があります。事前に迅速に対応できるチームと計画を用意しておくことが重要です。
危機対応チーム:前にも書いた通り、プライバシーとセキュリティチームは、プライバシー優先のセキュリティプログラムの一環として共に活動すべきです。そのプログラムには、IT、サイバーセキュリティ、運用、プライバシー担当だけでなく、法務や広報の担当者も含めた危機対応チームを設ける必要があります。危機が起きる前にこうした連携を整えておくことで、役割や責任を慌てて決める事態を避けられます。
対応マニュアル:対応マニュアルを文書化して、すべてのチームメンバーが事象が発生した時の自分の役割を正確に把握しておくことが重要です。対応マニュアルには以下の内容が含まれている必要があります:
事実調査:漏えいの「誰が、何を、どこで、いつ」を特定します。これらのプロセスには、インシデントが実際に発生したことの確認、インシデントの時系列の文書化、侵入経路の特定(例:サードパーティの脆弱性によるものかどうかの判断)、および影響を受けたシステムとデータの特定が含まれます。営業秘密の盗難には、顧客の個人情報の喪失とは異なる対応が必要です。同様に、大規模なデータ漏洩では、小規模なデータ漏�洩とは異なる対応が必要です。
封じ込めと復旧:影響を受けたシステムの隔離、侵害された認証情報の無効化、さらなるデータ損失の防止のための手順を定義します。その後、セキュリティチームが漏洩の根本原因に対処し、必要に応じてデータを復元します。これらの計画の各段階は事前にテストしておくことが重要です。実際にインシデントが発生した場合に設計した対応手順をスムーズに実行できる状態にしておきましょう。
3. 通知義務を理解する。
顧客データが漏洩するような侵害が発生した場合は、会社に適用される無数の法律に従って顧客に連絡する必要があります。顧客の所在地によっては、米国の複数の州法に準拠する必要があり、それぞれに異なる通知要件があります。EU域内に顧客があり、個人データを管理している場合、GDPRでは、個人情報の盗難、財務的損失、差別、その他の損害につながるリスクが高い場合に、顧客に通知するよう義務付けています。
上場企業は、重大なデータ侵害が発生した場合、SEC(米国証券取引委員会)への通知も必要です。B2B企業の場合、顧客契約書に特定の通知義務(例:侵害発生から24~72時間以内の通知義務)が組み込まれていることがあります。
サードパーティ製アプリケーションが原因で侵害が発生した場合、各当事者の通知義務を理解する必要があります。これらの義務は、どの組織がデータを管理・処理しているかによって異なります。
これらすべての通知義務を満たすことは非常に複雑であるため、これを軽減するために、すべての顧客に対して最も厳しいルール(例:侵害による被害の可能性の大小に関わらず24時間以内に全員に通知する)を適用するポリシーを設定することが考えられます。あるいは、通知の複雑さを少しでも軽くするために、法域ごとの通知設定をすることもできます。どちらのアプローチにも利点と欠点があり、顧客の信頼に影響を与える可能性があります。侵害による被害を受ける可能性が低い顧客に通知を出した場合、その顧客の貴社に対する信頼は高まるでしょうか、低減するでしょうか?法的義務がないことから特定の顧客に漏洩を通知しないことに決めた場合はどうなるでしょうか?
法的要件について考えるだけでなく、顧客の立場に立って考えましょう。顧客がいつ、何を知りたいのかを考え、通知の決定が顧客との関係にどのような影響を与えるかを考慮しましょう。
4. 適応力を持つ。
SaaSアプリケーション、ソフトウェア連携、犯罪手口、プライバシー規制は常に進化しています。綿密な計画を策定している企業でも、予期せぬ事態に備える必要があります。重要なのは、迅速な対応力、そしてインシデントから学習し、それに応じて戦略を適応させる能力です。
SaaSアプリのセキュリティを強化
攻撃者は依然として、SaaSアプリを標的にして顧客や企業の機密データにアクセスしようとしています。攻撃を完全に防ぐことは難しいかもしれませんが、侵害の可能性を最小限に抑え、企業やパートナー、顧客への被害を最小限に抑えることは可能です。
Cloudflareは、SaaSアプリケーションとその連携のセキュリティ向上を支援します。Salesloft Driftの事件を受けて、潜在的な侵害の検知と対応を改善するため、SaaS接続を単一のプロキシで集約するソリューションに取り組んでいることを発表しました。
クラウドサービスプロバイダーとして、私たちは常に自社サービスのセキュリティ強化、サードパーティサービスプロバイダーの監視、およびお客様の信頼構築とその維持に努めています。また、Salesloft Driftの侵害以来、当社はインシデントの透明性を確保することに尽力しており、常に学習して対応しています。同時に、透明性レポートの発行、令状のカナリアの投稿、プライバシー強化技術の開発、基準の確立など、さまざまな活動にも取り組んでいます。これらはすべて、より良くよりプライベートで安全なインターネットの構築を支援することを目的としています。
同時に、当社のコネクティビティクラウドは、セキュリティリスクへの対応やあらゆるプライバシー規制への準拠を支援しつつ、複雑さを管理できる環境を提供します。すべてのアプリと環境で堅牢で一貫性のあるセキュリティを確立し、あらゆるプライバシー法や基準に適合するために必要な制御を、単一の統合プラットフォームから実現できます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
「コネクティビティクラウドがセキュリティコンプライアンスを合理化する仕組み」ホワイトペーパーで、さまざまな規制へのコンプライアンスを合理化するために統合プラットフォームが重要な理由をご覧ください。
著者
Emily Hancock — @emilyhancock、
Cloudflare最高個人情報責任者
記事の要点
この記事では、以下のことがわかるようになります。
サードパーティ製SaaSアプリが新たなプライバシーリスクをもたらす仕組み
サードパーティのリスクを軽減するための4つのベストプラクティス
プライバシーチームとセキュリティチームが協力してリスク軽減とインシデント対応を行う必要がある理由