Loading
Salesforce 組織のセキュリティ保護
目次
絞り込み条件 (0)追加
絞り込み条件を選択

          結果がありません
          結果がありません
          検索のヒントをいくつかご紹介します

          キーワードの入力ミスがないか確認する。
          より一般的な検索語を使用する。
          絞り込み条件を減らして、検索範囲を広げる。

            Salesforce ヘルプ全体を検索
            Salesforce ヘルプ全体を検索
            コンテンツセキュリティポリシー (CSP) ディレクティブの表示制御

            詳細情報:

            1. Salesforce ヘルプ
            2. ドキュメント
            3. Salesforce 組織のセキュリティ保護

            コンテンツセキュリティポリシー (CSP) ディレクティブの表示制御

            CSP (コンテンツセキュリティポリシー) ディレクティブレンダリングを有効にすると、Salesforce 組織で Lightning ページにリソースを読み込む方法に関する最新の最も制限の厳しいセキュリティ標準を採用できます。

            コントロール名

            CSP ディレクティブの表示

            推奨設定

            • 一般的ではないブラウザーに CSP ディレクティブを適用する
            • 更新された CSP ディレクティブの採用

            [設定]> [信頼済み URL]> [新しい信頼済み URL]> [コンテンツセキュリティポリシー (CSP) 設定]> [CSP ディレクティブ] | この信頼済み URL から Lightning コンポーネント、サードパーティ API、および WebSocket 接続で読み込むことができるディレクティブを選択します。

            制御の概要

            CSP (コンテンツセキュリティポリシー) ディレクティブレンダリングを有効にすると、Salesforce 組織で Lightning ページにリソースを読み込む方法に関する最新の最も制限の厳しいセキュリティ標準を採用できます。

            この制御を有効にすると、プラットフォームは、信頼済み URL 許可リストで明示的に許可されていない外部スクリプト、画像、または iframe をブロックすることで、クロスサイトスクリプティング (XSS) やコードインジェクションを防止する厳格なブラウザーレベルルールを適用します。

            設定されていない場合のセキュリティリスク

            CSP ディレクティブレンダリングを使用しない場合、組織はクロスサイトスクリプティング (XSS) や不正なデータの持ち出しに対する堅牢なブラウザーレベルの防御策が不足しています。

            この省略により、悪意のある攻撃者が未検証のスクリプトを実行したり、Lightning ページ内に有害な外部リソースを読み込んだりして、セッション Cookie の盗難、ログイン情報の収集、または機密レコードデータのサイレント操作が発生する可能性があります。

            脅威のシナリオ

            典型的な脅威シナリオでは、攻撃者は厳格な CSP 適用の欠如を利用して、脆弱な項目または URL パラメーターに悪意のあるスクリプトを挿入し、保存済みまたは反射型のクロスサイトスクリプティング (XSS) 攻撃を実行します。

            これらの更新されたディレクティブがない場合、ブラウザーは信頼できない外部ドメインに対してスクリプトをインラインまたは「Phone Home」で実行することを許可できるため、攻撃者は被害者の有効なセッションで操作中に、秘密のレコードデータを黙って盗み出したり、ユーザー入力をリアルタイムで取得したりできます。

            推定 CVSS スコア範囲

            重大 (9.0 ~ 10.0)。

            リスクの影響に関する考慮事項

            リスクの影響には、ブラウザーレベルのデータ保護に重大な障害が含まれるため、攻撃者がユーザーのログイン情報を盗取したり、機密レコードを操作したり、広範なデータの窃取を行ったりする可能性のある不正なコードを実行してしまう可能性があります。

            より高いリスク

            LWS(Lightning Webセキュリティ)またはLightning Lockerを有効にしないことでリスクが増加します。これは、侵害された1つのコンポーネントがUI全体のデータにアクセスするのを防ぐ重要な名前空間の分離が排除されるためです。

            さらに、不要な「すべてのデータの参照」権限を付与したり、認証されていないゲストユーザー API アクセスを許可したりするなど、プロファイルと権限セットの健全性が低いと、攻撃者が基本的な XSS の脆弱性を利用して特権を迅速にエスカレーションし、組織全体のデータベースを盗み出すことができる「完全な嵐」が発生します。

            Low or No Risk When (低リスクまたは無リスクの場合)

            無効化されたCSPディレクティブの表示に関連するリスクを最小限に抑えるには、堅牢なアーキテクチャのSandboxを提供するLightning Web Security(LWS)またはLightning Lockerを活用できます。これにより、コンポーネントの名前空間が分離され、UIの他の部分で悪意のあるスクリプトがデータにアクセスするのを防ぐことができます。

            さらに、Salesforce Shield Event Monitoringを利用すると、異常なデータの持ち出しの試みをリアルタイムで検出してブロックできるため、ブラウザー レベルのコンテンツ制限が完全に適用されていない場合でも、効果的に脅威をキャッチする多層防御を実現できます。

            ビジネスと統合に関する考慮事項

            CSP ディレクティブの表示を実装するには、すべてのサードパーティのスクリプト、画像、iframe を入念に監査して、それらが [信頼済み URL] リストに追加されていることを確認する必要があります。これらの外部連動関係を許可リストに追加しないと、重要なビジネスインテグレーションと UI コンポーネントが破損します。

            推奨される修復

            組織のセキュリティ標準に準拠した CSP ディレクティブを有効にします。

            Security Health Review Guidance (セキュリティ状態レビューガイダンス)

            Security Health Review は、Lightning ページにリソースを読み込む方法に関するセキュリティ標準に準拠するように、CSP ディレクティブを含む信頼済み URL の CSP 設定を検査します。

            関連項目:

             
            読み込み中
            Salesforce Help | Article