詳細情報:
ゲストユーザーアクセス: ゲストアクセス API のサイト設定
このセキュリティ設定は、認証されていない訪問者が、Experience Cloud サイトの基盤となる Salesforce Connect および公開 REST エンドポイントを操作できるかどうかを決定する主ゲートとして機能します。
コントロール名
ゲストユーザーアクセス: ゲストアクセス API のサイト設定
推奨設定
[デジタルエクスペリエンス]> [すべてのサイト]> [ワークスペース]> [管理]| [設定]> [公開 API へのアクセスをゲストユーザーに許可] をオフ/無効に設定します。
制御の概要
このセキュリティ設定は、認証されていない訪問者が、Experience Cloud サイトの基盤となる Salesforce Connect および公開 REST エンドポイントを操作できるかどうかを決定する主ゲートとして機能します。
設定されていない場合のセキュリティリスク
このアクセス権を有効にすると、匿名アクターがサイトのメタデータを照会し、安全でないオブジェクトレベルの権限によって誤って公開されたレコードデータの抽出を試みるためのオープンプログラム (API) チャネルが提供されます。
脅威のシナリオ
攻撃者は自動スクリプトを使用して公開 API エンドポイントを攻撃し、カスタムオブジェクトの内部構造を検出し、非公開共有モデルで厳密に保護されていないすべてのレコードを計画的にダウンロードします。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
匿名 API アクセスを許可すると、大量のデータのスクレイピングや知的財産の盗難の可能性が大幅に高まり、厳しい規制の罰則や競争優位性の喪失につながる可能性があります。
より高いリスク
機密ビジネスロジックを含むオブジェクトへの参照アクセス権がゲストユーザープロファイルに付与されている場合、またはサイトで、認証されていない使用のために強化されていないカスタムApexコントローラが使用されている場合。
低リスク
サイトは純粋に静的であり、機密情報や機密情報を保存する標準オブジェクトやカスタムオブジェクトを使用しません。
ビジネスと統合に関する考慮事項
この設定を無効にすると、特定の外部検索エンジンまたはサードパーティ Web コンポーネントが、リアルタイム API クエリに依存する公開サイトコンテンツに正しくインデックス付けされて表示されない場合があります。
推奨される修復
サイトワークスペースの [管理] セクションに移動して [設定] を選択し、[公開 API へのゲストユーザーのアクセスを許可] チェックボックスがオフになっていることを確認します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、公開 API アクセスの制限が必須アーキテクチャ標準として識別され、データがオープンで監視されていないプログラム的 (API) インターフェースではなく、制御されたユーザーインターフェースコンポーネントを介してのみ公開されるようにします。
