詳細情報:
ゲストユーザーアクセス: ゲストユーザーのサイト設定
このセキュリティ設定により、認証されていない訪問者が Experience Cloud サイト内の登録済みユーザー、メンバー、寄稿者の完全なリストにアクセスできなくなります。
コントロール名
ゲストユーザーアクセス: ゲストユーザーのサイト設定
推奨設定
[デジタルエクスペリエンス]> [すべてのサイト]> [ワークスペース]> [管理]| [設定]> [ゲストユーザーがこのサイトの他のメンバーを表示できるようにする] をオフ/無効に設定します。
制御の概要
このセキュリティ設定により、認証されていない訪問者が Experience Cloud サイト内の登録済みユーザー、メンバー、寄稿者の完全なリストにアクセスできなくなります。
設定されていない場合のセキュリティリスク
この設定が有効になっている場合、匿名ユーザーはすべてのコミュニティメンバーの名前、役職、プロファイルの詳細を計画的に列挙できるため、顧客またはパートナーディレクトリが不正に開示される可能性があります。
脅威のシナリオ
悪意のあるアクターは、自動スクリプトを使用して有効なユーザー名と ID の詳細をサイトに取得し、その情報を使用してユーザーを標的としたフィッシング攻撃やクレデンシャルスタッフィングキャンペーンを開始します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
メンバー名簿を公開すると、ユーザーのプライバシーが大幅に侵害され、競合情報の収集やソーシャルエンジニアリングによる価値の高い取引先の侵害につながる可能性があります。
より高いリスク
メンバープロファイルに機密性の高い専門家の詳細、連絡先情報、または独自の所属が含まれる専門家やパートナーのネットワークサイトでは、リスクが高くなります。
低リスク
サイトプロファイルがすでに汎用情報のみの表示に制限されていて、本名やメールアドレスが含まれていない場合。
ビジネスと統合に関する考慮事項
この機能を無効にすると、匿名訪問者がログインする前にコミュニティに参加している他のユーザーを確認できなくなるため、公開コラボレーション用に構築されたサイトのユーザーエクスペリエンスに影響する可能性があります。
推奨される修復
サイトワークスペースの [管理] セクションに移動して [設定] を選択し、[ゲストユーザーが他のメンバーを表示できるようにする] チェックボックスがオフになっていることを確認します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、メンバーディレクトリのマスキングが必須のプライバシー制御として識別され、ユーザー ID データが正当なビジネスニーズを持つ認証済み参加者にのみ表示されるようにします。
