詳細情報:
OAuth アクセスポリシー - IP 制限の適用
OAuth を使用して Salesforce API にアクセスするすべての外部アプリケーションは、会社が定義したネットワークセキュリティ境界内に収まる必要があります。
コントロール名
OAuth アクセスポリシー - IP 制限の適用
制御の概要
OAuth を使用して Salesforce API にアクセスするすべての外部アプリケーションは、会社が定義したネットワークセキュリティ境界内に収まる必要があります。
説明
インテグレーションサービスアカウントが Salesforce UI にアクセスできないようにし、専用のライセンスとプロファイルを使用してその範囲を特定の API コールに制限します。
推奨設定
「API 限定ユーザー」権限を持つインテグレーションユーザーを有効にして、API 接続のみのアクセスを制限します。
セキュリティへの影響
システムレベルの権限を人のユーザーアクセスから分離することで、UI ベースのフィッシング、手動によるデータ盗難のためのログイン情報の再利用、およびラテラル移動のリスクを排除します。
ビジネスへの影響
システムアクセスを個々の従業員のライフサイクルとパスワードから切り離すことで、ビジネスクリティカルな接続の継続的なアップタイムをサポートします。
設定されていない場合のセキュリティリスク
インテグレーションユーザーへの過剰な権限は、機密データへの不正アクセスや、意図しないユーザーへの公開のリスクを高めます。
脅威のシナリオ
クレデンシャルスタッフィング、攻撃者による不正な手動ログイン、不正なデータの持ち出し。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
インテグレーションユーザーが多い組織や、機密性の高いビジネスプロセスにアクセスする組織では、リスクが高まります。
より高いリスク
API 限定アクセスは有効になっていないため、インテグレーションユーザーに幅広い権限が付与されます。
低リスク
API の使用が制限される、または制限されない。インテグレーションユーザーへのアクセスコントロールが厳格化される。
ビジネスと統合に関する考慮事項
API 限定アクセスのアカウントを使用しても影響がないことを確認するには、ビジネスユーザーとの調整が必要です。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、API 限定アクセスが有効になっていないインテグレーションユーザーが識別されます。
影響を受けるユーザー
Salesforce に直接アクセスする内部従業員、管理者、開発者、ワークフォースユーザー。
