API (OAuth 設定の有効化): 接続アプリケーションに適用する OAuth 範囲の選択

コントロール名

接続アプリケーション: API (OAuth 設定の有効化): 接続アプリケーションに適用する OAuth 範囲を選択します。

推奨設定

Selected OAuth Scopes (選択した OAuth 範囲) - 接続アプリケーションに適用する OAuth 範囲を選択します。

制御の概要

OAuth 範囲は、接続アプリケーションがユーザーの代わりに実行できるデータとアクションを正確に定義する「トークンの権限」です。Salesforce システム管理者は、特定の範囲を選択することで、インテグレーションレイヤーで [最小権限の原則] を適用し、アプリケーションが認証された場合でも、事前定義された Salesforce リソースのサブセット (API アクセスのみ、ID 情報のみなど) に制限されるようにします。

設定されていない場合のセキュリティリスク

詳細な範囲が有効になっていない場合 (またはデフォルトで「フルアクセス」が使用されている場合)、接続アプリケーションは、アプリケーションが実際に必要とするかどうかに関係なく、承認ユーザーの権限セットをすべて継承します。これにより、特定のタスク (メールの送信など) の単純なインテグレーションを使用して、レコードの削除、データベース全体のエクスポート、システムメタデータの変更を行う可能性があるというセキュリティギャップが生じます。

脅威のシナリオ

攻撃者はユーザーをだまして、full_access などの広範な範囲が許可された接続アプリケーションを承認します。認証されると、攻撃者は結果のトークンを使用して、ユーザーの手動インターフェースを完全に迂回して、REST API を介して PII および機密の CRM データをプログラムで盗み出します。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

ログイン情報が盗まれた場合の「爆風半径」が指数関数的に大きくなります。インテグレーションパートナーが侵害された場合、権限が過剰な OAuth トークンによって攻撃者が組織を横方向に移動することができ、データが大量に流出する可能性があります。

より高いリスク

fullまたはweb範囲が割り当てられていると、Salesforce 環境へのアクセスがほぼ無制限になるため、リスクが非常に高くなります。接続アプリケーションがシステム管理者または高権限インテグレーションユーザーに関連付けられている場合、トークンはこれらの広範な管理権限を継承するため、リスクはさらに高まります。

低リスク

アプリケーションが 1 つの特定の範囲 (api (API を使用したユーザーデータの管理) など) に制限され、専用のインテグレーションユーザーとペアになっている場合。ユーザーのプロファイル権限とアプリケーションの OAuth 範囲を同時に制限することで、インテグレーションの機能を制限します。

ビジネスと統合に関する考慮事項

狭い範囲を適用するには、インテグレーションを破損する「権限がありません」エラーを回避するために、サードパーティアプリケーションの技術要件を深く理解する必要があります。範囲を過度に制限すると、ベンダーのアプリケーション機能の進化に伴って頻繁に手動更新が必要になる可能性があるため、セキュリティと俊敏性のバランスを取る必要があります。

推奨される修復

• Audit Existing Scopes (既存の範囲の監査): [設定] > [接続アプリケーションの OAuth 利用状況] ですべての有効な接続アプリケーションを確認する
• Apply Least Privilege (最小権限の適用): 接続アプリケーション設定を編集して広範な範囲を削除し、最小限必要な範囲 (通常はapi、openid、refresh_token) に置き換えてから、既存のトークンを循環または取り消して新しいポリシーを適用します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Review では、コンテキストセキュリティギャップとして識別されます。範囲を選択すれば、1 つの統合アプリケーション内でロールベースの詳細なデータアクセスが可能になります。