詳細情報:
メールプライバシー設定の適用
Salesforce が送信するメッセージに厳格なメールプライバシー動作を適用し、フィッシング攻撃やソーシャルエンジニアリング攻撃に役立つ可能性がある内部アドレスとメタデータの公開を制限する組織レベルの設定。
コントロール名
メールセキュリティ - 到達可能性 ([メールプライバシー設定を適用] を選択)
制御の概要
Salesforce が送信するメッセージに厳格なメールプライバシー動作を適用し、フィッシング攻撃やソーシャルエンジニアリング攻撃に役立つ可能性がある内部アドレスとメタデータの公開を制限する組織レベルの設定。
説明
有効にすると、Salesforce は、外部受信者が内部組織構造やユーザーリレーションを容易に推測できないように、BCC 受信者の非表示、ディレクトリベースの受信者ルックアップの制限、メールメタデータの内部ユーザーの詳細の表示の削減など、特定のメールプライバシーの動作を制限します。
推奨設定
[設定] > [メール管理] > [配信可能性] または [メールセキュリティ] で [メールプライバシー設定を適用] を選択します。
セキュリティへの影響
メールヘッダーと受信者処理によって公開される内部企業情報の量が減るため、攻撃者が標的型スピアフィッシングキャンペーンを作成したり、内部ユーザーリレーションを対応付けたりすることが難しくなります。
ビジネスへの影響
ユーザー向けのコアメールワークフローを大幅に変更することなく、コンプライアンスと内部コミュニケーションのプライバシーに関する期待をサポートします。主に、メッセージメタデータでの内部受信者の表示方法に影響します。
設定されていない場合のセキュリティリスク
ユーザーのメールプライバシーと保護設定を無効にすると、より多くの内部メタデータとアドレス指定の詳細が外部受信者に漏洩し、攻撃者が使用できるデータが増加します。
脅威のシナリオ
なりすましに対する保護が低下し、正当な通信を装った悪意のあるメールが受信箱に届くようになるという重大なリスク。たとえば、攻撃者は公開された内部グループメンバーシップやBCC情報を使用して、信頼できる内部送信者から送信されたように見える高度に標的化されたフィッシングメールを作成できます。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
影響が最も大きいのは、Salesforce を使用して共有メールボックスまたは配信スタイルのユーザーから外部関係者にメールを送信する場合で、それらのユーザーが広範な内部グループまたは BCC の表示権限を持っている場合です。
より高いリスク
社内に広く浸透しているロール (共有サポートユーザーや営業担当ユーザーなど) から顧客、パートナー、見込み客に送信メールを送信し、会社にはデータプライバシーやメール処理の厳しい要件が適用されます。
低リスク
ほとんどのメールトラフィックは、内部トラフィックであるか、外部メールは、同様のプライバシー制御をすでに適用している個別の厳密に制御されたメールゲートウェイを介して転送されます。
ビジネスと統合に関する考慮事項
外部関係者にメールを送信する組織には が必要です。最初に少人数のユーザーグループでテストし、必要なワークフロー (内部通知パターンなど) が中断されていないことを確認します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
そうに違いない
影響を受けるユーザー
Salesforce から送信メールを送信するユーザー、システム管理者、メールセキュリティおよびコンプライアンスチーム、Salesforce からのメッセージを受信する外部受信者。
