Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む
Salesforce 組織の設定および管理
目次
絞り込み条件 (0)追加
絞り込み条件を選択

          結果がありません
          結果がありません
          検索のヒントをいくつかご紹介します

          キーワードの入力ミスがないか確認する。
          より一般的な検索語を使用する。
          絞り込み条件を減らして、検索範囲を広げる。

            Salesforce ヘルプ全体を検索
            Salesforce ヘルプ全体を検索
            コンテンツセキュリティポリシー保護

            詳細情報:

            1. Salesforce ヘルプ
            2. ドキュメント
            3. Salesforce 組織の設定および管理

            コンテンツセキュリティポリシー保護

            Salesforce ClassicでInternet Explorerを使用してテンプレートを表示するときにユーザーがセキュリティチェックをスキップしないようにし、プラットフォーム内で不正なスクリプトやリソースが実行されないようにするための厳格なフレームワークを適用します。

            コントロール名

            コンテンツセキュリティポリシー

            推奨設定

            • Internet Explorer を使用した Salesforce Classic のメールテンプレートへのアクセス制限の上書きの無効化
            • より厳格なコンテンツセキュリティポリシーの有効化

            [設定]> [セッションの設定]> [コンテンツセキュリティポリシー]> [厳格なコンテンツセキュリティポリシーの有効化] | [Internet Explorer を使用した Salesforce Classic のメールテンプレートへのアクセス制限の上書き] を無効にします。

            制御の概要

            [メールテンプレートへのアクセス制限の上書きを無効化] を選択すると、ユーザーが Internet Explorer を使用して Salesforce Classic でテンプレートを表示するときにセキュリティチェックをスキップできなくなります。[より厳格なコンテンツセキュリティポリシーを有効化] を選択すると、プラットフォーム内で不正なスクリプトやリソースが実行されないように厳格なフレームワークが適用されます。これらを組み合わせることで、ユーザーのブラウザーやインターフェースの選択に関係なく、実行ベースの攻撃から機密コンテンツを確実に保護できます。

            設定されていない場合のセキュリティリスク

            これらの保護を無効にしておくと、メールテンプレートのセキュリティを迂回してユーザーのセッション内で悪意のあるコードを実行する可能性のある従来の Internet Explorer の悪用に対する「バックドア」が基本的に開いたままになります。さらに、厳格な CSP を使用しない場合、高度なクロスサイトスクリプティング (XSS) 攻撃をブロックするために必要な最新のセキュリティ保護が組織に欠けるため、不正なスクリプトがセッションを乗っ取ったり、機密レコードデータを黙ってスクレイピングしたりすることが非常に容易になります。

            脅威のシナリオ

            攻撃者は従来のブラウザの脆弱性を利用して、メールテンプレートの制限を迂回し、Salesforce Classic インターフェイス内で悪意のあるペイロードを実行します。厳格な CSP がゲートキーパーとして機能しない場合、このスクリプトはセッショントークンや機密レコードデータを外部ドメインに持ち出して自由に「電話連絡」できるため、単純なページビューをサイレントの自動データ侵害に効果的に変えることができます。

            推定 CVSS スコア範囲

            重大 (9.0 ~ 10.0)。

            リスクの影響に関する考慮事項

            攻撃者は従来のブラウザーの悪用やクロスサイトスクリプトを利用してセッションを乗っ取ったり、会社の機密情報を盗取したりする可能性があるため、リスクの影響はデータの整合性と機密性の重大な侵害に焦点を当てています。

            より高いリスク

            上記の設定以外にも、Lightning Web Security(LWS)またはLightning Lockerを無効にすると、侵害された1つのコンポーネントがUI全体のデータにアクセスするのを防ぐ重要な名前空間の分離が排除されるため、リスクが大幅に高まります。さらに、CSP の信頼済み URL で「安全でないインライン」スクリプトを許可したり、IP セッションのロックやクリックジャック保護を実装できなかったりするなどの設定ミスにより、セッションハイジャックや「ブラウザー内人間」攻撃が標準認証を迂回する環境が構築されます。さらに、権限が多すぎるゲストユーザープロファイルや広範な「すべてのデータの参照」権限では、軽微なスクリプトインジェクションが自動化されたデータ侵害に発展してしまう可能性があります。

            Low or No Risk When (低リスクまたは無リスクの場合)

            すべてのユーザーをLightning Experienceおよび最新のブラウザーに移行すると、従来のSalesforce ClassicおよびInternet Explorerの攻撃ベクトルを効果的に廃止できるため、主要な抑止力として機能します。さらに、多要素認証 (MFA) と信頼済みまたは LOgin の IP 範囲制限を適用することで、クロスサイトスクリプトを介してセッションが侵害された場合でも、未承認のデバイスや場所から簡単に武装できないようにします。

            ビジネスと統合に関する考慮事項

            これらの制御を実装するには、従来のブラウザーの使用状況とサード パーティの連動関係を総合的に監査する必要があります。これは、CSPとテンプレートの制限を厳格にすると、カスタムLightningコンポーネント、外部インテグレーション、従来のワークフローが中断される可能性があるためです。

            推奨される修復

            [セッションの設定] を更新して、より厳格なコンテンツセキュリティポリシーを有効にします。

            Security Health Review Guidance (セキュリティ状態レビューガイダンス)

            Security Health Reviewでは、Lightningページへのリソースの読み込み方法に関するセキュリティ標準に準拠するために、より厳格なCSPを含むセッション設定が検査されます。

            関連項目:

             
            読み込み中
            Salesforce Help | Article