参照元 URL 保護

コントロール名

参照元 URL 保護

推奨設定

• HTTP 参照元ポリシー - [strict-origin-when-cross-origin] を選択します。

[設定] > [セッション設定] > [参照元 URL 保護] > [参照元ポリシー HTTP ヘッダーを含める] > [HTTP 参照元ポリシー] > [厳格なオリジンとクロスオリジン]。

制御の概要

Salesforce の [Referrer URL Protection (参照元 URL 保護)] コントロール ([Session Settings (セッションの設定)] にあります) を使用すると、Referrer-Policy HTTP ヘッダーで、ユーザーがリンクをクリックしたりリソースを読み込んだりしたときに外部 Web サイトと共有される内部 URL 情報量を規制できます。[origin-when-cross-origin (クロスオリジン時にオリジン)] などの安全なポリシーを選択すると、ブラウザーはサードパーティサイトに Salesforce ドメイン名のみを提供するように指示され、完全な URL パスに含まれる組織 ID、レコード ID、セッションパラメーターなどの機密データを効果的にマスキングします。

設定されていない場合のセキュリティリスク

参照元 URL 保護を有効にしないと、送信リンクがクリックされたときやサードパーティリソースが読み込まれたときに、ブラウザーが Salesforce の完全な URL (組織 ID、レコード ID、非公開パラメーターなど) を外部 Web サーバーに送信する可能性があるため、機密メタデータの漏洩のリスクが高まります。この公開により、外部関係者が内部データ構造を記録および分析できるようになり、標的型フィッシング、ソーシャルエンジニアリング、または保護された内部レコード階層の対応付けに悪用される可能性があります。

脅威のシナリオ

従業員が機密財務レコードを表示中に外部リンクをクリックすると、ブラウザーは一意のレコード ID を含む完全な Salesforce URL を宛先 Web サーバーのログに送信します。これらのログを監視している脅威アクターは、このメタデータを使用して内部レコード構造を特定し、ユーザーがアクセスした非公開レコードを具体的に参照する標的型スピアフィッシング攻撃を開始します。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

主なリスクへの影響は、内部企業識別子とレコードレベルのメタデータが外部エンティティに不正に漏洩することです。

より高いリスク

外部リダイレクトポリシーに警告やブロックがないため、ユーザーはセッション情報が共有されていることを示すアラートなしで信頼できないサードパーティサイトに直接移動できるため、メタデータ漏洩のリスクが大幅に高まります。

Low or No Risk When (低リスクまたは無リスクの場合)

グローバル参照元 URL 保護が完全に有効になっていない場合のメタデータ漏洩のリスクを最小限に抑えるために、組織は信頼できない外部ドメインに移動する前にユーザーがブロックまたは警告されるようにリダイレクトの信頼済み URL を実装できます。

ビジネスと統合に関する考慮事項

厳格な参照元 URL 保護を実装すると、Salesforce の完全な URL パスの解析に依存して特定のレコードを識別したり、クロスドメインナビゲーション中にコンテキストを維持したりする外部分析、マーケティングトラッカー、または従来のサードパーティインテグレーションが中断する可能性があります。

推奨される修復

クロスオリジンの場合は、厳格なオリジンを使用して HTTP 参照元ポリシーを有効にします。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Review は、業界のベストプラクティスに合わせて、[Strict-Origin - When-Cross-Origin (厳格な発生源 - クロス発生源)] で設定されるセッション設定の参照元ポリシーを検査します。