楽天情報流出、クラウドミス5年気づかず　ECに冷や水

米国では子供服ECサイトを展開するハナアンダーソンがセールスフォースが展開するECプラットフォームを通じたマルウェア感染で顧客情報を流出し昨年から問題になっていますが、サービス提供者と利用者間で仕組みの理解に関してギャップがあるとどうしてもこういった問題が出てしまいます（両社で担当者が変わってしまうなど）

先週のクラウドセキュリティ:SFDCとハンナ・アンダーソン、CCPA違反の疑いで初の訴訟に。
https://news.yahoo.co.jp/byline/ohmototakashi/20200210-00162483/

セキュリティやプライバシーの話をするとよく出てくる話ですが、先ずは自社で何故データを持つ必要があるかを先に議論する必要があります。ソリューション前提で話を進めていくと何があった際に対処が難しくなります。特にDXを検討している企業は先ず社内から考え始める必要がありますね。

サイバーセキュリティにおいて重要なのは、導入しようとしているシステム(クラウドを含む)が、十分なセキュリティ機能を持っているかということと同時に、それらの機能が適切に設定されているかということにあります。ホストの設定値については、推奨される設定値や基準があるので、それに従って設定ができているか確認すればいいのですが、アプリケーションについては、そのようなベンチマークが存在しないことが多いので、ソリューションベンダーが十分な対策を施すことが求められると同時に、それらをユーザーに周知させることが重要です。今回はソリューションベンダーとユーザー双方の取り組みが不足していたと言えるのではないでしょうか。

コメント読むとみなさん好きなように書いてますね。
Sales Force が途中で仕様変更してて、defaultの設定がリスク回避側の設定になってない点をおかしいとのコメントは見当たらないけど、楽天だけを一方的に責めて良いのかな？