Experience Cloud サイトの保護

クリックジャック保護の有効化、ユーザーの認証、データの暗号化、CSP と Lightning Locker を使用したコンポーネントの悪意のあるリソースや脆弱性の保護により、Experience Cloud サイトのセキュリティを強化できます。これらのオプションを使用すると、必要な外部ソースを使用しながらサイトのセキュリティを維持できます。また、さまざまな設定と権限を使用して、データと顧客データを保護し、サイトを公開してゲストユーザーと共有できます。

• Experience Cloud サイトでの CRM データの共有
  Experience Cloud サイトでの CRM データの共有は、気が遠くなりそうな作業に見えるかもしれません。社内 Salesforce 組織のさまざまなデータ共有レイヤーを検討し、ポータルまたはコミュニティの実装に含まれるセキュリティレイヤーを追加する必要があります。次の早見表には、Experience Cloud サイトのデータ共有を設定するときに必要なリソースがすべて記載されています。
• Experience Cloud サイトのクリックジャック保護の有効化
  クリックジャックは、ユーザーをだまして安全なものをクリックしていると思わせて、ボタンまたはリンクなどをクリックさせる攻撃の一種です。Experience Cloud サイトページを参照する非表示の iframe を作成することで、ハッカーは別の Web ページにあるように見える要素をユーザーがクリックするように誘導できます。実際にはその表示要素がクリックを処理するのではなく、クリックが乗っ取られて、その上にある非表示のサイト iframe の要素がクリックを受け取ります。クリックジャックは、データ侵入、認証されていないメール、ログイン情報の変更、その他の悪意のあるサイト固有の結果をもたらす可能性があります。ただし、クリックジャック保護を使用すると、ブラウザーでページを参照するフレームを許可するかどうかを制御することで、サイトを保護できます。
• Experience Cloud サイトユーザーの認証
  Experience Cloud サイトの顧客と従業員を認証する方法は複数あります。顧客とは、コミュニティライセンス、カスタマーポータルライセンス、External Identity ライセンス、またはパートナーポータルライセンスを使用するユーザーです。デフォルトでは、Salesforce で Experience Cloud サイトに割り当てられているユーザー名とパスワードを使用してログインできます。Salesforce 組織の従業員とは、すべての Salesforce ライセンス機能を使用するユーザーです。これらのユーザーは、従業員のログインフローに従い、各自の Salesforce ユーザー名およびパスワードを使用します。これらのデフォルトの設定の他に、サイトにアクセスするすべてのユーザーの認証と承認を行うために SAML、サードパーティの認証プロバイダー、または Oauth を設定できます。ログイン検出を使用するようにセルフ登録を設定して、ユーザーの認証を容易にすることもできます。
• Experience Cloud サイトデータの暗号化
  ファイル、添付ファイル、およびサポートされる項目を暗号化することで、Experience Cloud サイトに一定のセキュリティを追加できます。
• エクスペリエンスビルダーサイトの CSP および Lightning Locker
  エクスペリエンスビルダーサイトでは、コンテンツセキュリティポリシー (CSP) と Lightning Locker を使用して、悪意のある攻撃やカスタムコードの脆弱性からサイトを保護しています。CSP は、サイトのページに読み込むコンテンツのソースを制御する W3C 標準であり、クロスサイトスクリプティング (XSS) 攻撃から保護するために役立ちます。Lightning Locker は、サードパーティの Lightning コンポーネントやカスタムコードがブラウザーの同じページで安全に実行できるようにする、Salesforce アーキテクチャレイヤーです。異なるセキュリティレベルを使用して、サイトのセキュリティ上の選択とリスク許容度を最適化できます。
• Experience Cloud の Cookie
  Experience Cloud では、機能の向上と処理時間の短縮のために Cookie を使用しています。Cookie は、ユーザーの設定を保存することで、Experience Cloud サイトのユーザーエクスペリエンスとパフォーマンスを向上させることができます。