Lightning ローダー API バージョン管理

コントロール名

Lightning ローダー API バージョン

推奨設定

• API バージョンでセキュリティ強化を使用 - コンポーネントが正しく動作した最新の API バージョンを選択します。

[設定]> [セッション設定]> [Lightning Locker API バージョン]。

制御の概要

最新のLightning Locker APIバージョンの有効化は、Salesforceによって提供される最新のセキュリティ パッチとアーキテクチャの機能強化によって組織内のすべてのLightningコンポーネントが管理されるようにするためのセキュリティ制御です。システム管理者は、[セッションの設定] で現在のバージョンを選択することで、最新のブラウザーレベルの保護 (洗練された DOM 分離やクロスサイトスクリプティング (XSS) の緩和など) に準拠するようにコンポーネントを強制し、従来のコンポーネントでも最新の多層防御戦略を活用できるようにします。

設定されていない場合のセキュリティリスク

最新のLightning Locker APIバージョンを有効にしないと、組織は既知のセキュリティの脆弱性やXSS(クロス サイト スクリプティング)のリスクにさらされることになります。

脅威のシナリオ

Lightning Locker APIの古いバージョンを実行している環境では、脅威アクターまたは悪意のある管理パッケージによって、最新バージョンでは厳格にブロックされているパッチが適用されていない既知の脆弱性が悪用される可能性があります。攻撃者は、これらの古い制限の緩いセキュリティルールを利用して任意の JavaScript を実行し、DOM の分離をスキップして、他のコンポーネントから機密データを黙ってスクレイピングしたり、検出されずにユーザーのセッションを乗っ取ったりすることができます。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

主なリスクへの影響は、組織が既知のパッチ適用済みのセキュリティ上の欠陥に対して脆弱になると同時に、従来の分離ルールが最新のブラウザーセキュリティ標準と同期しなくなるため、パフォーマンスが低下したり、インテグレーションが失敗する可能性が高くなることです。

より高いリスク

権限のないスクリプトの実行を許可したり、盗取したデータを悪意のある外部ドメインに送信する明確なパスを提供したりする権限のあるコンテンツセキュリティポリシー (CSP) または CORS 設定を使用すると、データ漏洩のリスクが大幅に高まります。

Low or No Risk When (低リスクまたは無リスクの場合)

最新のLightning Locker APIバージョンがまだ有効になっていない場合のリスクを最小限に抑えるために、組織は厳格なコンテンツ セキュリティポリシー(CSP)を実装して、不正なスクリプトの実行を防止し、信頼できないドメインへのデータの持ち出しをブロックする必要があります。

ビジネスと統合に関する考慮事項

最新のLightning Locker APIバージョンを実装するには、Sandboxで徹底的な回帰テストを行い、カスタム コンポーネントとサードパーティ管理パッケージが更新されたセキュリティ制限(より厳格なHTMLサニタイズやブロックされたJavaScript APIなど)と互換性が保たれていることを確認する必要があります。互換性がないと、機能停止やランタイム エラーが発生する可能性があります。

推奨される修復

最新の API バージョンを有効にします。Lightning Lockerは、APIの更新ごとにセキュリティを強化します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

N/A - 現在、セキュリティ状態レビューツールでは検査されません。