詳細情報:
API (OAuth 設定の有効化): OAuth 設定の有効化
Salesforce 接続アプリケーションで OAuth 設定を有効にすると、アプリケーションでセキュアなトークンベースの認証プロトコルと詳細な範囲を使用できます。
コントロール名
接続アプリケーション: API (OAuth 設定の有効化): OAuth 設定の有効化
推奨設定
[OAuth 設定 - 選択済み] を有効にします。
制御の概要
Salesforce 接続アプリケーションで OAuth 設定を有効にすると、アプリケーションは安全性の低い従来のログイン情報共有方法に依存することなく、セキュアなトークンベースの認証プロトコルと詳細な範囲を使用できます。
設定されていない場合のセキュリティリスク
接続アプリケーションは OAuth 2.0 を使用できないため、従来のセッション ID やハードコードされたログイン情報などの安全性の低い方法を使用する必要があります。標準化された認証がないため、詳細なアクセス制御を適用できず、インテグレーションに保護レイヤーの範囲、更新トークンポリシー、多要素認証が適用されません。
脅威のシナリオ
攻撃者は中間者攻撃によって静的ログイン情報を取得できます。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
OAuth 設定が有効になっていないと、管理の表示と取り消しの制御 (OAuth セッションなど) が失われます。
より高いリスク
公開アプリケーションから機密データにアクセスする必要がある場合、OAuth 保護がないため、傍受されたログイン情報はユーザーのフル権限に無制限にアクセスできます。
低リスク
アプリケーションが API 以外の機能 (SAML ベースのシングルサインオンなど) で厳密に使用され、認証が個別のセキュアな ID プロバイダーハンドシェイクで処理される場合。
ビジネスと統合に関する考慮事項
従来のシステムでは設定が簡単ですが、この設定を無効にすると、ヘッドレス ID や REST API などの最新のスケーラブルな Salesforce 機能が使用できなくなるという重大な技術的障壁が生じます。
推奨される修復
接続アプリケーション内で [OAuth 設定] を有効にして、認証コードまたは JWT ベアラーフローを使用してセキュアなハンドシェイクを確立し、すべての API トラフィックが詳細な範囲と PKCE で管理されるようにします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、接続アプリケーションの基本設定が必須であるため、この設定をお勧めします。
