クロスオリジンセキュリティヘッダー

コントロール名

クロスオリジンセキュリティ

推奨設定

• クロスオリジンオープナーポリシー (COOP) の有効化
• クロスオリジン埋め込みポリシー (COEP) の有効化

[設定] > [セッションの設定] > [クロスオリジンオープナーポリシー (COOP) を有効化] | [クロスオリジン埋め込みポリシー (COEP)]。

制御の概要

Salesforce セッション設定でのクロスオリジンオープナーポリシー (COOP) とクロスオリジン埋め込みポリシー (COEP) の有効化は、ページの閲覧コンテキストを外部ウィンドウから分離し、すべての埋め込みリソースが CORS ヘッダーを介して明示的にオプトインするように要求することで、「クロスオリジン隔離」環境を確立するセキュリティ制御です。これにより、悪意のあるクロスオリジン文書が Salesforce ページを操作したり、Spectre などのサイドチャネル攻撃を使用してブラウザーのメモリから機密データを漏洩したりすることがなくなります。

設定されていない場合のセキュリティリスク

クロスオリジンオープナーポリシー (COOP) とクロスオリジンエンベッダーポリシー (COEP) を有効にしないと、ブラウザーセッションが Spectre スタイルのサイドチャネル攻撃にさらされます。この攻撃では、悪意のあるサイトがセッショントークンやレコードの詳細などの機密データをブラウザーのプロセスメモリから直接読み取る可能性があります。

脅威のシナリオ

ユーザーが Salesforce セッションが有効な別のブラウザータブで悪意のある Web サイトにアクセスすると、攻撃者はプロセスレベルの分離の欠如を悪用できます。Spectre などのサイドチャネル技術を使用すると、悪意のあるサイトは、セッショントークンや非公開レコードの詳細などの機密データをブラウザーの共有メモリから直接、サイレントに読み取ることができます。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

これらの制御を実装しないと、悪意のあるクロスオリジンウィンドウによるデータの持ち出しに対して脆弱になるため、運用上の大きなリスクが生じます。また、逆に、適切なテストを行わずに突然有効化すると、重要なサードパーティインテグレーション、iframe、OAuth ベースの認証フローが破損する可能性があります。

より高いリスク

サイドチャネル攻撃のリスクは、堅牢なコンテンツセキュリティポリシー (CSP) の欠如とクロスオリジンリソースポリシー (CORP) ヘッダーの欠如により、悪意のあるスクリプトや未承認のサブリソースの読み込みを制限できないことで大幅に悪化します。

さらに、厳格な CORS 設定と監視されていない「信頼済み URL」がないため、外部ドメインが独自の閲覧コンテキストで Salesforce ページを簡単に読み込むことができ、データ漏洩攻撃の攻撃対象領域がはるかに大きくなります。

Low or No Risk When (低リスクまたは無リスクの場合)

COOP と COEP が有効になっていない場合にクロスオリジンデータ漏洩のリスクを最小限に抑えるには、厳格なコンテンツセキュリティポリシー (CSP) を実装して、外部スクリプトとリソースの読み込みを検証済みの信頼済みドメインのみに制限する必要があります。

さらに、短いセッション タイムアウトを適用し、MFA(多要素認証)を要求し、Salesforce Shield Event Monitoringを使用することで、サイド チャネル攻撃のウィンドウを減らし、疑わしいデータ アクセス パターンをリアルタイムで検出することで、重要な多層防御を実現できます。

ビジネスと統合に関する考慮事項

組織が外部コンテンツやサードパーティウィンドウをどのように操作しているかを評価します。これらのヘッダーは「クロスオリジン分離」状態を実現するために使用され、Spectre スタイルの攻撃から保護されますが、既存の機能を破壊する可能性もあります。

推奨される修復

[セッションの設定] で COOP と COEP を有効にします。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Review (セキュリティ状態レビュー) では、セッション設定を調べて、業界のベストプラクティスに従って COOP と COEP が有効になっていることを確認します。