詳細情報:
API (OAuth 設定の有効化): デジタル署名の使用 - 選択済みのコントロール
このセキュリティ設定では、検証済みの非公開鍵を使用して認証要求に署名するよう接続アプリケーションに要求することで、非対称暗号化の使用を義務付けます。
コントロール名
接続アプリケーション: API (OAuth 設定の有効化): デジタル署名の使用 - 選択済み
推奨設定
[デジタル署名 - 選択済み] を使用します。
制御の概要
このセキュリティ設定では、Salesforce Platform にアップロードされた公開証明書に対して検証される非公開鍵を使用して認証要求に署名することを接続アプリケーションに要求することで、非対称暗号化の使用を義務付けます。
設定されていない場合のセキュリティリスク
アプリケーションアクセス検証用のデジタル署名がない場合、偽造された ID アサーションによって不正なアプリケーションの偽装が可能になる脆弱性が発生し、標準のログイン情報ベースのセキュリティがバイパスされる可能性があります。
脅威のシナリオ
悪意のあるアクターがクライアントの秘密を傍受または推測し、信頼済みインテグレーションになりすまして、一意のデジタル証明書によって提供される暗号証明のセカンダリレイヤーを使用せずに管理 API コールを実行しようとします。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
デジタル署名を適用しない場合、静的ログイン情報は有効期間の短い署名済みアサーションよりも侵害や再利用が非常に容易になるため、組織のデータ層への永続的な不正アクセスが容易になります。
より高いリスク
インテグレーションに管理範囲が付与されている場合、またはネットワークを介して送信される共有秘密のみに依存する従来の認証フローを組織が使用している場合。
低リスク
組織が、短い有効期限を適用し、ハードウェアセキュリティモジュールを使用して非公開鍵を保護する堅牢な証明書ライフサイクル管理プロセスを実装している場合。
ビジネスと統合に関する考慮事項
デジタル署名に移行するには、外部アプリケーションに有効な X.509 証明書があり、OAuth JWT ベアラーフロー中に RSA または ECDSA 署名を実行できる必要があります。
推奨される修復
接続アプリケーションの [API (OAuth 設定の有効化)] セクションに移動し、[デジタル署名を使用] を選択して、ID 検証に使用する対応する公開証明書をアップロードします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、偽装を防止し、すべてのインテグレーション要求の整合性を確保するために、静的な共有秘密を証明書ベースの認証に置き換えるためにデジタル署名の適用が強く推奨されます。
