詳細情報:
接続アプリケーションのセッションポリシーの管理: 接続アプリケーションの高保証が必要
このセキュリティ設定では、特定の接続アプリケーションにアクセスするユーザーは、高保証に分類されたセッションセキュリティレベルを保持する必要があります。
コントロール名
接続アプリケーション: 接続アプリケーションのセッションポリシーの管理: 接続アプリケーションの高保証が必要
推奨設定
高保証セッションが必要 - [このアプリケーションをブロック | セッションレベルを高保証に上げる] が選択されています。
制御の概要
このセキュリティ設定では、特定の接続アプリケーションにアクセスするユーザーは、高保証 (通常は多要素認証で実現) に分類されたセッションセキュリティレベルを所有している必要があります。
設定されていない場合のセキュリティリスク
接続アプリケーションの高保証セッションの要件が満たされていない場合、攻撃者がセカンダリ認証要素なしで機密アクションを実行したり、保護されたデータにアクセスしたりする脆弱性につながります。
脅威のシナリオ
アプリケーションがセッションを検証するために追加の ID チャレンジをトリガーしないため、ユーザーのプライマリパスワードが侵害された攻撃者は、接続アプリケーションインテグレーションとそのデータにフルアクセス権を取得します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
高い保証レベルを適用しないと、SalesforceセッションをプライマリTrustアンカーとして使用している統合システムから不正なラテラル移動やデータの持ち出しが発生しやすくなります。
より高いリスク
接続アプリケーションに管理範囲が付与されている場合、または重要な組織のメタデータとセキュリティ設定を変更できる場合。
低リスク
会社がグローバルログインレベルでユニバーサル多要素認証をすでに適用している場合、またはすべてのユーザーセッションで証明書ベースの認証を使用している場合。
ビジネスと統合に関する考慮事項
高保証は機密データを処理するアプリケーションにとって安全な標準ですが、重要でないタスク中のユーザーの摩擦を最小限に抑えるために、低リスクの参照のみのツールには標準セキュリティレベルが適している場合があります。
推奨される修復
[接続アプリケーションを管理] に移動して、特定のアプリケーションを選択し、[セッションポリシー] で [高保証セッションが必要] のチェックボックスをオンにします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、1 つのログイン情報侵害が完全なシステム侵害に繋がらないように、機密データを処理するすべてのインテグレーションで高保証適用を強く推奨する標準として特定します。
