詳細情報:
AdvancedOmnistudioAccessCheck が「True」に設定されている
すべての OmniStudio コンポーネントに厳格な Salesforce セキュリティモデルを適用する組織全体の設定。
コントロール名
Omnistudio - オブジェクトおよび項目レベルセキュリティ (AdvancedOmnistudioAccessCheck が「True」に設定)。
制御の概要
厳格なSalesforceセキュリティ モデル(オブジェクト権限、項目レベル セキュリティ、Apex共有ルール)をVlocity Card、FlexCard、Integration Procedure、DataRaptorなどのすべてのOmniStudioコンポーネントに適用する組織全体の設定。
説明
有効にすると、OmniStudio ランタイムはコンポーネントロジックで FLS/CRUD をスキップするのではなく、データアクセス/表示の前にすべてのユーザーの権限を検証します。これは、OmniStudio UI を使用する内部ユーザーと外部 Experience Cloud ポータルの両方に適用されます。
推奨設定
[設定] > [カスタム設定] > [OmniStudio グローバル設定] で [AdvancedOmnistudioAccessCheck Configured を "True" に設定] を選択します。
セキュリティへの影響
コンポーネントが標準の Salesforce ページと同じ権限モデルに従うようにすることで、OmniStudio UI を介した権限のエスカレーションを防止します。FlexCard/DataRaptor が共有ルールを無視した一般的なバイパスパターンを排除します。
ビジネスへの影響
ローコードの OmniStudio 開発とエンタープライズセキュリティガバナンスを連携させます。カスタムおよび標準機能全体で統一された権限の適用を示すコンプライアンス監査をサポートします。
設定されていない場合のセキュリティリスク
OmniStudioを使用するすべてのユーザーのオブジェクト、項目レベル、Apexクラスの権限を厳密に検証する高度なセキュリティ チェックの適用の欠如により、権限バイパスの脆弱性が生じます。
脅威のシナリオ
項目およびオブジェクトデータが公開されるリスクが高くなります。外部ポータルユーザーにはアクセスしてはならない PII 項目が表示され、内部ユーザーには共有境界外のレコードが表示されたり、OmniStudio 駆動のレポート/API で取引先データが侵害されたりします。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
既存の OmniStudio アプリケーションは、有効化 (制限されたデータにアクセスするコンポーネント) 時に破損する可能性があります。包括的なテストが必要です。ストレージとパフォーマンスへの影響は最小限です。
より高いリスク
OmniStudio は Experience Cloud ポータルを強化し、PII/PHI/財務データを処理し、複雑な共有モデル (テリトリー/所有者/ルール) を使用するか、外部/パートナーユーザーを有効にします。
低リスク
内部ユーザーのみ、共有ルールのないシンプルなオブジェクトモデル、データ変更のない表示のみのダッシュボードに使用される OmniStudio。
ビジネスと統合に関する考慮事項
まず Sandbox で有効にして、すべての OmniStudio ページを体系的にテストします。必要に応じて、リリース後に権限セットとプロファイルを更新します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
そうに違いない
影響を受けるユーザー
OmniStudio 開発者、Experience Cloud 管理者、ローコードセキュリティを検証するセキュリティアーキテクト、OmniStudio 搭載のアプリケーションにアクセスするエンドユーザー。
