Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

パートナーのサードパーティ接続に関する推奨セキュリティ設定

公開日: Nov 25, 2025
説明

Salesforce にとって、信頼は最も大切な価値であり、お客様のデータの保護は最優先事項です。 パートナーが開発または配布したアプリケーションに潜在的なセキュリティ上の問題が検出された、または通知された場合、Salesforce は問題を調査する間、影響を受けるすべてのアプリケーションおよび関連する機能やサービスへのアクセスを停止するなど、予防措置を講じることがあります。

 

注意: この文脈における「アプリケーション」とは、Salesforce に接続するすべてのアプリケーションおよびインテグレーションを指します。Salesforce は、パートナーがサードパーティのインストール済みアプリケーションを保護するために、以下のすべての推奨事項に従うことを要求します。

 

定期的な全アプリケーションのレビュー

すべてのアプリケーションを定期的に徹底的にレビューし、悪意のあるアクティビティや脆弱性の兆候がないか確認する。

 

推奨セキュリティ管理策の実装

接続アプリケーション、API 利用、およびパートナービジネス組織、パッケージング組織、名前空間定義組織、外部クライアントアプリケーション定義組織が、少なくとも最新の推奨セキュリティ設定に準拠していることを確認してください。

 

接続アプリケーション/外部クライアントアプリケーションの設定:

  1. デバイスフローを無効化する。
  2. 更新トークンをローテーションする。
  3. JSON Web Token フローのクライアント証明書をローテーションする。
  4. ネイティブアプリケーションを除くすべてのアプリケーションに IP 許可リストを設定する。
  5. クライアント認証情報フローを削除する。
  6. ユーザー名/パスワードフローを削除する。
  7. 暗黙的な許可フローを削除する。
  8. Web フローを削除する。
     

接続アプリケーション/外部クライアントアプリケーションに含まれないその他の API 利用:

  1. 保護されたカスタム設定/メタデータに保存されている API キーの使用を開示し、ローテーションする。
  2. ユーザーセッション ID をパートナー自身のサーバーに返さない。
     

パートナービジネス組織、パッケージング組織、名前空間定義組織、および接続アプリケーション/外部クライアントアプリケーション定義組織:

  1. いかなるユーザーにも「すべての API クライアントを使用」権限を付与しない。
  2. すべてのユーザーに MFA (多要素認証) を要求する。
  3. 組織へのアクセスに IP 許可リストを要求する。
  4. 上記の基準 1 と 2 を満たさない接続アプリケーション/外部クライアントアプリケーションをこれらの組織にインストールしない。
  5. ゲストユーザーアクセスを許可するサイトをこれらの組織でホストしない。
  6. これらの組織にサードパーティの管理パッケージをインストールしない。
  7. すべてのユーザーパスワードをローテーションする。
     

Salesforce のお客様向けの有効な IP 範囲の公開

アプリケーションの外部 IP 範囲を直ちに公開し、Salesforce のお客様がインテグレーションに使用するプロファイルの有効な IP 範囲に追加できるようにしてください。

 

シークレットの定期的なローテーションによるセキュリティの維持

コンシューマーシークレット、OAuth アプリケーションのクライアント ID とクライアントシークレットトークンが定期的に変更および/またはローテーションされていることを直ちに確認してください。アプリケーションが侵害された場合は、これらを直ちに変更する必要があります。

 

API 利用状況の監視

接続アプリケーションから発信される、極めて異常な API リクエスト量、時間帯、または地理的位置に対して、リアルタイムのアラートを設定してください。

 

インシデントへの適切な対応

アプリケーションが侵害された場合は、パッケージング組織、アプリケーション定義組織、パートナービジネス組織スペース、および名前空間を保護し、接続アプリケーションの安全でないフローとプロトコルを無効化し、すべてのユーザーパスワードとすべてのシークレットをローテーションし、IP アクセス制御を強制することで、直ちにセキュリティインシデントに対処してください。

 

報告

アプリケーションやそのコンシューマーシークレットに影響を与える不審なアクティビティやセキュリティインシデントは、さらなる調査のために、直ちに security@salesforce.com にメールで当社のセキュリティチームに報告する必要があります。

 

パッケージアプリケーションのセキュリティ

ISV パッケージのセキュリティ要件」を確認し、アプリケーションが準拠していることを確認してください。

ナレッジ記事番号

005225370

 
読み込み中
Salesforce Help | Article