詳細情報:
OAuth ポリシーの設定: 外部クライアントアプリケーションの OAuth 利用状況の管理
このセキュリティ設定により、Salesforce システム管理者は、個々の外部クライアントアプリケーションインスタンスを監視、インストール、ブロックして、組織データにアクティブにアクセスできるサードパーティインテグレーションを規制するための一元化されたインターフェースを利用できます。
コントロール名
外部クライアントアプリケーション: OAuth ポリシーの設定: 外部クライアントアプリケーションの OAuth 利用状況の管理
推奨設定
外部クライアントアプリケーションの OAuth 利用状況の管理。
制御の概要
このセキュリティ設定により、Salesforce システム管理者は、個々の外部クライアントアプリケーションインスタンスを監視、インストール、ブロックして、組織データにアクティブにアクセスできるサードパーティインテグレーションを規制するための一元化されたインターフェースを利用できます。
設定されていない場合のセキュリティリスク
外部クライアントアプリケーションの OAuth 使用状況が監視されていないと、有効なセッションライフサイクルとインテグレーション権限が認識されないために、不正なアプリケーション活動やデータの持ち出しが発生し、検出されない可能性があります。
脅威のシナリオ
以前に承認されたが現在は安全でないサードパーティアプリケーションは、システム管理者が有効な OAuth フットプリントを監査または取り消すメカニズムを持たないため、ビジネスユーティリティの終了後も、プログラムで機密レコードを収集し続けます。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
アプリケーションの使用状況を積極的に管理しないと、未管理の攻撃対象になり、侵害された外部サービスが定期的なセキュリティレビューを受けることなく Salesforce 環境への永続的な接続を維持できます。
より高いリスク
外部アプリケーションにフルデータアクセスや更新トークン機能などの広範な権限が付与され、自動セッション有効期限や IP ベースの制限が適用されない場合。
低リスク
本番環境に外部クライアントアプリケーションをインストールする前に、会社がリアルタイムイベント監視を使用して異常な API トラフィックパターンを警告し、厳格な承認プロセスを適用する場合。
ビジネスと統合に関する考慮事項
使用量管理を実装して、会社がデータ処理契約に準拠するようにします。ただし、広く使用されているインテグレーションを事前に通知せずにブロックすると、重要なビジネスプロセスが中断する可能性があります。
推奨される修復
外部クライアントアプリケーションの [OAuth 利用状況] ページに移動して、有効なインテグレーションを確認し、不要なアプリケーションをアンインストールして、疑わしいクライアントや未承認のクライアントが組織にアクセスすることをブロックします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ正常性レビューでは、すべてのサードパーティアクセスが明示的に追跡され、現在のビジネス要件に合わせて調整されるように、OAuth 使用状況の継続的な監視を強固なセキュリティ体制を維持するために強く推奨される標準として特定します。
