詳細情報:
接続アプリケーションの信頼済み IP 範囲の設定: 接続アプリケーションの信頼済み IP 範囲
この制御は、検証済みの「許可リスト」IP アドレスの特定のリストに起因する認証要求のみを受け付けるように接続アプリケーションへのアクセスを制限します。
コントロール名
接続アプリケーション: 接続アプリケーションの信頼済み IP 範囲の設定: 接続アプリケーションの信頼済み IP 範囲
推奨設定
ユーザーがログインできる信頼済み IP アドレスの範囲を指定します。
制御の概要
この制御は、検証済みの「許可リスト」IP アドレスの特定のリストに起因する認証要求のみを受け付けるように接続アプリケーションへのアクセスを制限します。
設定されていない場合のセキュリティリスク
IP 制限がない場合、侵害された OAuth トークンまたはクライアントの秘密を世界中のどこからでも使用できるため、攻撃者は企業ネットワークの境界を完全に迂回できます。
脅威のシナリオ
攻撃者がインテグレーションのクライアントの秘密を盗み、別の国の不正なサーバーからそれを使用してプログラムでデータをスクレイピングします。アプリケーションが既知のデータセンター IP からのトラフィックのみを受け入れた場合、このデータはブロックされていました。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
IP フェンスがない場合、攻撃対象領域が非常に大きくなり、自動化された地理ベースのブルートフォース攻撃やトークンリプレイ攻撃を阻止することはほぼ不可能になります。
より高いリスク
接続アプリケーションは、「すべてのデータの編集」権限を持つ「システム管理者」または高権限インテグレーションユーザーに関連付けられます。
低リスク
インテグレーションユーザーもプロファイルレベルの IP 範囲によって制限されるため、攻撃者が VPN または企業ネットワークに接続する必要がある「二重の壁」が構築される場合のリスクは低くなります。
ビジネスと統合に関する考慮事項
IP 範囲を実装するには、サードパーティベンダー (MuleSoft、Workday、AWS など) の静的 IP の正確なリストを維持する必要があります。これらのベンダーのインフラストラクチャが変更されると、インテグレーションが誤って中断される可能性があるためです。
推奨される修復
接続アプリケーションに移動して [ポリシーを編集] をクリックし、[IP 制限の緩和] セクションで [IP 制限を適用] を選択し、ユーザープロファイルまたは組織の共有設定で特定の範囲が定義されていることを確認します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、IP 信頼済み範囲を重要な「ネットワークゲートキーパー」として識別するため、有効なログイン情報があっても、インテグレーションが事前承認および管理された場所からコールする場合にのみ「信頼済み」になります。
