詳細情報:
外部クライアントアプリケーション設定: REST API の秘密のマスキング
このセキュリティ設定により、プログラムによる REST API コールを介してプレーンテキストの OAuth コンシューマーの秘密を照会または取得する機能がブロックされます。
コントロール名
外部クライアントアプリケーション設定: REST API の秘密のマスキング
推奨設定
REST API を介した外部クライアントアプリケーションのコンシューマーの秘密へのアクセスを許可 - オフ。
制御の概要
このセキュリティ設定により、プログラムによる REST API コールを介してプレーンテキストの OAuth コンシューマーの秘密を照会または取得する機能がブロックされます。
設定されていない場合のセキュリティリスク
このアクセスを有効にすると、十分な API 権限を持つ認証済みユーザーまたはアプリケーションがプログラムでこれらの価値の高いログイン情報を抽出できるようになり、認証の秘密が大量に公開される可能性があります。
脅威のシナリオ
攻撃者は、管理者権限または開発者権限を持つユーザーアカウントを侵害し、REST API を使用してすべてのコンシューマーの秘密を収集するスクリプトを実行して、統合システムへの永続的な不正アクセスを取得します。
リスクの影響に関する考慮事項
これらの秘密が公開されると、未承認のアクターが標準ログインプロトコルを迂回して信頼できる外部アプリケーションになりすまし、システム間で共有されるデータが完全に侵害される可能性があります。
より高いリスク
1 つのインテグレーションが侵害されると他のすべてのアプリケーションの秘密が盗難される可能性があるため、組織では REST API に幅広くアクセスできる多くのサードパーティインテグレーションツールを使用しています。
低リスク
すべての API アクセスに厳格な IP アドレス制限を実装していて、攻撃者が抽出スクリプトを実行できる期間を制限している存続期間の短いセッショントークンを使用している場合。
ビジネスと統合に関する考慮事項
このアクセス権を無効にすると、カスタム管理ツールまたは自動監視スクリプトで、外部アプリケーションで使用されるコンシューマーの秘密をプログラムで検証または監査できなくなります。
推奨される修復
[設定] の [外部クライアントアプリケーション] 設定に移動し、REST API を介したコンシューマーの秘密へのアクセスを許可する切り替えがオフに設定されていることを確認します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、REST API を介した秘密のアクセスの制限が必須のアーキテクチャ標準として特定され、機密性の高いログイン情報が暗号化されたままで、安全な Salesforce ユーザーインターフェースを介してのみアクセスできるようにします。
