ネットワークアクセスコントロール

コントロール名

Network Access - Trusted IP Ranges (ネットワークアクセス - 信頼済み IP 範囲)

推奨設定

[設定]> [ネットワークアクセス]> [新規]> [開始 - 終了 IP アドレス]。

制御の概要

信頼済み IP 範囲を定義します。

設定されていない場合のセキュリティリスク

Salesforce ネットワークアクセスで信頼済み IP 範囲を設定しないと、ユーザーがすべての場所またはネットワークからグローバルにログインを試みることになり、重大なセキュリティの脆弱性が生じます。Salesforce は引き続き標準ログイン情報を必要としますが、IP 制限がないため、フィッシングやクレデンシャルスタッフィングによってパスワードが侵害された場合、攻撃者は「信頼済みネットワーク」レイヤーを迂回して、未承認の外部環境から機密企業データにアクセスすることができます。

脅威のシナリオ

主な脅威シナリオには、悪意のある人物が標的を絞ったフィッシングキャンペーンで高権限ユーザーのログイン情報を取得するログイン情報ハーベスト攻撃が含まれます。信頼済み IP 範囲が定義されていない場合、攻撃者は海外のサーバーやパブリックネットワークなど、認証されていないリモートの場所から Salesforce に正常にログインでき、認証されていない IP のログイン要求がトリガーされるセキュリティレイヤーを回避できます。攻撃者が内部に入ると、顧客の機密データをエクスポートしたり、重要な設定を変更したり、悪意のあるサードパーティインテグレーションをインストールしたりできます。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

プラットフォームに保存されている機密データと、データにアクセスできるユーザーまたはインテグレーションユーザーに応じて異なります。

より高いリスク

機密データはカスタム項目に保存され、追加のアクセス制御の制限は適用されません。また、デバイスの強制有効化などのデフォルトでの Salesforce のセキュリティ保護は免除されます。

Low or No Risk When (低リスクまたは無リスクの場合)

この制御は、次のいずれか 1 つ以上が実装されている場合は、低リスクとみなすことができます。

• MFA が設定されている
• シングルログアウトが設定されている
• IP ログイン制限がプロファイルレベルで有効になっている

ビジネスと統合に関する考慮事項

顧客はインテグレーションユーザーに関連する IP アドレスを評価する必要があります。

推奨される修復

インテグレーションユーザーと、組織に接続されている接続済みまたは外部アプリケーションネットワークを考慮します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Review では、信頼済み IP アドレスの一部として IP 範囲が設定されているかどうかを調べることで、ネットワーク設定を識別します。