詳細情報:
レポートの数式の無効化
レポートのエクスポートから Excel 数式を除外する組織全体の設定。ユーザーが機密データをスプレッドシートとしてダウンロードするときに悪意のある数式インジェクション攻撃を防ぎます。
コントロール名
Report Management (レポート管理) - レポートの数式を無効にします。
制御の概要
レポートのエクスポートから Excel 数式を除外する組織全体の設定。ユーザーが機密データをスプレッドシートとしてダウンロードするときに悪意のある数式インジェクション攻撃を防ぎます。
説明
有効にすると、Salesforce はレポートを静的値のみ (no =FORMULATEXT()、VBA マクロなし) としてエクスポートし、攻撃者が Excel/LibreOffice で開くと実行されるカスタム数式項目に実行可能コードを埋め込むことをブロックします。
推奨設定
[レポート/ダッシュボード設定] の [レポート出力の数式の挿入を回避するためにレポートの数式を無効化] を有効にします。
セキュリティへの影響
正当なビジネスレポートを使用して数式ベースのマルウェア配布の主要なベクトルを排除します。安全な静的エクスポートを強制し、下流の受信者が自動コード実行されないようにします。
ビジネスへの影響
Excel マクロのセキュリティリスクを排除しながら、レポートのエクスポート機能を維持します。ユーザーワークフローの変更は不要です。安全なデータ共有のためのコンプライアンス要件をサポートします。
設定されていない場合のセキュリティリスク
ユーザーレポートには、Excel にエクスポートしたときに数式インジェクションの脆弱性が存在する可能性があり、信頼できるビジネスドキュメントを介してマルウェアを配信できます。
脅威のシナリオ
数式インジェクション攻撃や情報開示攻撃のリスクが高まる。レポートのエクスポート権限を持つ侵害されたユーザーは、悪意のある数式(=CMD('net user hacker password!/add')を埋め込んだり、数式項目に=HYPERLINK("javascript:malware()"))を埋め込んだりして、役員や財務チームがエクスポートされたCSVをExcelで開くときに実行される。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
すべてのレポートエクスポートは潜在的なマルウェアベクトルになり、影響はユーザー数とレポート配信頻度に応じて拡大します。正当な複雑な数式は静的集計項目として再実装する必要があります。
より高いリスク
外部ユーザーがレポートをエクスポートする場合、カスタム数式項目に動的計算が含まれる場合、メール/Experience Cloud で配布されるレポートが含まれる場合、Excel を多用する財務/営業チームなどです。
低リスク
レポートは Salesforce UI でのみ参照でき、カスタム数式項目はありません。内部ユーザーのみ、PDF エクスポート設定が確立されています。
ビジネスと統合に関する考慮事項
レポート頻度の高いユーザーへの変更の伝達、有効化前の既存の数式項目の監査、Sandbox エクスポートでの重要なレポートのテスト。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
そうに違いない
影響を受けるユーザー
数式項目を使用するレポートビルダー、Excel へのエクスポートを行うエンドユーザー、エクスポートパターンを監視するセキュリティチーム、安全なデータ共有制御を検証するコンプライアンス担当者。
