詳細情報:
カスタムプロファイルとロールを使用した認証の制御
このコントロールでは、Salesforce システム管理者が標準「External Identity User」プロファイルをコピーしてカスタムバージョンを作成する必要があります。
コントロール名
カスタムプロファイルとロールを使用した認証の制御
推奨設定
「External Identity User」をコピーしてカスタマイズします。
制御の概要
この制御では、システム管理者が標準「External Identity User (外部 ID ユーザー)」プロファイルをコピーしてカスタムバージョンを作成し、特定のコミュニティに必要な絶対最小権限のみを有効にする必要があります。
設定されていない場合のセキュリティリスク
権限が多すぎるアクセス制御では、許可されていないユーザーに不要なデータアクセス権が付与されます。
脅威のシナリオ
標準またはデフォルトの External Identity ユーザープロファイルが割り当てられた Experience Cloud (コミュニティ) ユーザーは、機密の PII をスクレイピングするか、内部メンバーによるスピアフィッシングの偵察を実行します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
カスタマイズされていないプロファイルに依存すると、許可が過剰になり、機密データが何千人もの外部ユーザーに誤って公開されて、プライバシーの重大な侵害やデータレジデンシー法への違反につながります。
より高いリスク
標準プロファイルは、トラフィックの多い公共ポータルや、会社がすべてのオブジェクトで「非公開」外部共有モデルを適用していない場合に使用されます。
低リスク
カスタムプロファイルを権限セットグループと組み合わせることで、特定のアクセス権を再度追加し、基本プロファイルをほぼゼロの権限に「ロック」できます。
ビジネスと統合に関する考慮事項
プロファイルをカスタマイズするには、標準権限を削除してもパスワードのリセットやセルフ登録などの重要な機能が壊れないように、コミュニティユーザーの「ジャーニー」を完全にマッピングする必要があります。
推奨される修復
[プロファイル] に移動し、[External Identity User (外部 ID ユーザー)] プロファイルをコピーして、その特定の機能に従って名前を付け、必須ではないすべてのオブジェクト、項目、およびシステム権限を計画的に無効にします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、セキュアな外部境界を作成するための基本的なステップとして、カスタムの「コピー」プロファイルの使用を特定し、ゲストユーザーまたはカスタマーユーザーがデフォルトの Salesforce 「標準」権限を継承しないようにします。
