OAuth および OpenID Connect 設定の制御

コントロール名

OAuth および OpenID Connect の設定

推奨設定

セキュアな OAuth 設定を適用し、弱い OAuth フローを無効にします。

制御の概要

OAuth は主に、モバイルアプリケーション、サードパーティインテグレーション、またはカスタム Web ポータルなどの外部アプリケーションのプラットフォームデータへの安全な代理アクセスを提供するために使用され、ユーザーが Salesforce ログイン情報をこれらのアプリケーションと直接共有する必要はありません。OAuth 設定またはフローのセキュアな構成により、セキュアな OAuth の秘密が保護されます。

設定されていない場合のセキュリティリスク

Salesforce の安全でない OAuth 設定では、盗まれたトークンや特権が過剰なトークンによって、攻撃者が多要素認証 (MFA) やパスワードプロンプトなどの標準セキュリティ制御をバイパスできるバックドアの脆弱性が生じます。

脅威のシナリオ

侵害された外部アプリケーションまたはサプライチェーン侵害により、攻撃者は Salesforce 自体ではなく、広く使用されているサードパーティインテグレーションを標的にします。これらのトークンは Salesforce システム管理者によって「事前承認」されているため、攻撃者はトークンを再生して、ユーザー名、パスワード、または多要素認証 (MFA) を必要とせずに、機密性の高い CRM データにすばやく高権限でアクセスできます。

推定 CVSS スコア範囲

OAuth 設定に応じて、重大 (9.0 ～ 10.0) または高 (7.0 ～ 8.9)。

リスクの影響に関する考慮事項

リスクの重要度は、設定された設定とフロー、API 範囲、OAuth クライアントエンドポイントセキュリティによって異なります。

より高いリスク

本番組織、Sandbox、または開発者組織では、セッション制御が適用されません。フルアクセス範囲 API IP アクセス許可リストの欠落 シングルログアウト設定。

低リスク

この制御は、次のいずれか 1 つ以上が実装されている場合は、低リスクとみなすことができます。

• 制限された API 範囲: インテグレーションユーザーの API 範囲は最小権限に基づいて制限されます。
• 定期的なトークン更新: トークンは定期的に更新され、トークンの更新時に秘密の検証が適用されます。
• Login IP Allowlist (ログイン IP 許可リスト): 接続アプリケーションの IP アドレスを制限して、信頼済みネットワークからのものであることを確認します。
• Require Proof Key for Code Exchange (PKCE): ログインを要求した正確なクライアントのみが結果のコードを実際に使用できることを確認します。
• シングルログアウト: ユーザーがログアウトしたときにすべてのセッションを終了します。

ビジネスと統合に関する考慮事項

顧客は、外部アプリケーション、自動化ツール、インテグレーションとの OAuth 設定の互換性を評価する必要があります。

推奨される修復

接続アプリケーションのセキュアな OAuth フローを有効にし、信頼済みネットワークへの接続を制限し、API 範囲を制限します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Reviewは、有効化されたフローのタイプ、トークンの循環設定、シングル ログアウト、API範囲、IP許可リストのログイン方法を検査してOAuth設定を評価し、顧客がログイン情報ベースの攻撃のリスクを軽減し、Salesforceが推奨するセキュリティのベースラインとZero Trustの原則に準拠することができるようにします。