詳細情報:
ゲストユーザーアクセス: 組織の共有のデフォルトの外部アクセス制御
このコントロールは、組織のすべての外部ユーザーのレコード表示の最も制限の厳しいベースラインを設定し、共有ルールで承認されていない限り、デフォルトでデータが共有されないようにします。
コントロール名
ゲストユーザーアクセス: 組織の共有のデフォルトの外部アクセス権
推奨設定
[共有設定] > [組織の共有] [デフォルトの編集] > [デフォルトの外部アクセス権] を [非公開] に設定します。
制御の概要
このコントロールは、組織のすべての外部ユーザーのレコード表示の最も制限の厳しいベースラインを設定し、共有ルールで承認されていない限り、デフォルトでデータが共有されないようにします。
設定されていない場合のセキュリティリスク
外部アクセス権が公開レベルに設定されている場合、認証されていないゲストまたは外部パートナーは、最小権限の原則をスキップして、所有していないレコードを表示または変更できます。
脅威のシナリオ
匿名インターネットユーザーが公開ポータルに移動して、すべての内部顧客取引先責任者またはサポートケースのリストを正常に参照します。これは、基盤となるオブジェクト共有が一般公開されたままになっているためです。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
外部のデフォルトを許可なく維持すると、機密データが意図せずに開示され、法的責任やデータプライバシー規制違反につながる可能性があります。
より高いリスク
機密データを含むオブジェクト (財務情報や個人識別情報など) の組織の共有設定が外部ユーザーコミュニティの公開/参照・更新に設定されている場合。
低リスク
共有モデルが開いている場合でも外部プロファイルがデータにアクセスできないように、会社がオブジェクトレベルの制限的な権限をすでに実装している場合。
ビジネスと統合に関する考慮事項
非公開共有モデルに移行するには、既存のビジネスプロセスを徹底的に監査して、正当な外部ユーザーが作業を実行するために必要な共有ルールを引き続き使用していることを確認する必要があります。
推奨される修復
[設定] の [共有設定] に移動し、[組織の共有設定] セクションで [編集] をクリックし、すべての関連オブジェクトの [デフォルトの外部アクセス権] 列を [非公開] に更新します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、非公開の外部共有モデルが基本的なセキュリティ要件として識別され、広範なデフォルト設定から継承するのではなく、すべての外部データ表示が明示的に許可されることが義務付けられます。
