詳細情報:
API (OAuth 設定の有効化): Web サーバーフローの秘密が必要
この制御では、クライアントアプリケーションが認証コードをアクセストークンと交換するときに、クライアントの ID を検証するための暗号強度の高いクライアントの秘密を提供する必要があります。
コントロール名
接続アプリケーション: API (OAuth 設定の有効化): Web サーバーフローの秘密が必要
推奨設定
Web サーバーフローの秘密が必要。
制御の概要
この制御では、クライアントアプリケーションが認証コードをアクセストークンと交換するときに、クライアントの ID を検証するための暗号強度の高いクライアントの秘密を提供する必要があります。
設定されていない場合のセキュリティリスク
Web サーバーフロー (認証コード許可) により、攻撃者が仮の認証コードを傍受しても、承認されたバックエンドサーバーを制御していることを証明することなく、有効期間の長いアクセストークンとの交換に成功する可能性があります。
脅威のシナリオ
攻撃者は、ブラウザーのリダイレクトまたはログの漏洩を介して認証コードを傍受し、独自のインフラストラクチャからトークン交換をすぐに実行して、正当なアプリケーションになりすましてユーザーのデータに正常にアクセスします。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
秘密を要求しない場合、不正なセッションの確立とデータの持ち出しが促進され、一時的な 1 回限りのコードがアカウント乗っ取りのための永続的なゲートウェイに事実上なります。
より高いリスク
アプリケーションが共有サーバーでホストされている場合、または悪意のあるローカルアプリケーションやネットワークプロキシによって認証コードが傍受される可能性を高めるカスタム URI スキームを使用している場合。
低リスク
会社が補償制御として PKCE (Proof Key for Code Exchange) を実装している場合、コード交換プロセスに第 2 動的検証レイヤーが追加されます。
ビジネスと統合に関する考慮事項
この要件を有効にすると、サードパーティクライアントが秘密の交換をバイパスするように誤って設定されていたり、クライアント側のコードに秘密への安全なアクセス権がない場合、既存のインテグレーションが破損する可能性があります。
推奨される修復
[設定] の [接続アプリケーションの OAuth 設定] に移動し、[Web サーバーフローの秘密が必要] チェックボックスをオンにします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Review では、これを基本的な「Confidential Client (機密クライアント)」要件として識別し、機密性の高い CRM データは、ログイン情報を保護できる検証済みのサーバー側アプリケーションにのみリリースされます。
