詳細情報:
ApexClassCheckforIP チェックを True Control に設定
Apex クラスを呼び出すときに、OmniStudio Integration Procedure 内で IP 制限検証を適用します。
コントロール名
OmniStudio - オブジェクトおよび項目レベルセキュリティ ([ApexClassCheckforIP Check Configured (ApexClassCheckforIP チェックを設定済み)] を [True] に設定)。
制御の概要
Apexクラスを呼び出すときにOmniStudio Integration Procedure内でIP制限の検証を適用し、ローコード オーケストレーション レイヤーを使用しても、バックエンド コードが組織レベルの信頼済みIP範囲に準拠するようにします。
説明
カスタム設定で有効化すると、OmniStudioはインテグレーション手順、DataRaptor、またはその他のバックエンド コール内でApexクラスの実行を許可する前に、ログインIP範囲とネットワーク アクセスIPフィルタに対して実行ユーザーのIPをチェックします。
推奨設定
[設定] > [カスタム設定] > [OmniStudio グローバルセキュリティ設定] で [ApexClassCheckforIP Check Configured (ApexClassCheckforIP チェック)] を [True] に設定します。
セキュリティへの影響
OmniStudioワークフローを介したIPベースの信頼できるアクセス バイパスを防止します。信頼できないIPから侵害されたアカウントは、正当なIntegration Procedureコールを装った機密Apexロジックを実行できません。
ビジネスへの影響
カスタムのローコード開発と従来のApex開発で一貫したIPセキュリティ ポリシーを維持します。Vlocity/OmniStudio 実装でのネットワークアクセス制御のコンプライアンス要件をサポートします。
設定されていない場合のセキュリティリスク
OmniStudio Integration Procedureを使用するすべてのユーザーのオブジェクト、項目レベル、Apexクラスの権限を厳密に検証する高度なセキュリティ チェックを適用しないと、IP制限を回避できます。
脅威のシナリオ
侵害された外部/パートナー アカウントは、OmniStudio Integration Procedureを使用して機密Apexクラスを呼び出すことでIP許可リストをバイパスします。信頼されていないネットワークからの攻撃者は、ローコードUIフローを介して特権バックエンド操作を実行します。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
IP 制限によって本番データへのアクセスが保護される場合に不可欠です。[ネットワークアクセス] 設定で VPN IP 範囲が適切に設定されていない限り、正当なリモートワーカーをブロックする可能性があります。
より高いリスク
OmniStudio Integration Procedureは、PII/財務/PHIデータを処理するApexクラス、厳格なIP許可リストの適用、外部/Experience Cloudユーザーの有効化、または複雑なマルチクラウドIPフィルタリングをコールします。
低リスク
IP制限は設定されていません。内部ユーザーは企業ネットワークにのみアクセスするか、OmniStudio をバックエンド Apex インテグレーションなしで参照のみ/表示の目的で使用します。
ビジネスと統合に関する考慮事項
IP 制限のある本番 OmniStudio リリースで必要です。有効化する前に、すべてのネットワークアクセス IP 範囲に正当なリモートアクセスパターンが含まれていることを確認します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
そうに違いない
影響を受けるユーザー
Integration Procedure を作成する OmniStudio 開発者、IP 許可リストを管理するセキュリティシステム管理者、本番にアクセスするリモート/ハイブリッドワーカー、OmniStudio ポータルを使用する外部パートナー。
