Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む
Salesforce 組織の設定および管理
目次
絞り込み条件 (0)追加
絞り込み条件を選択

          結果がありません
          結果がありません
          検索のヒントをいくつかご紹介します

          キーワードの入力ミスがないか確認する。
          より一般的な検索語を使用する。
          絞り込み条件を減らして、検索範囲を広げる。

            Salesforce ヘルプ全体を検索
            Salesforce ヘルプ全体を検索
            セキュアな接続 (HTTPS) 設定

            詳細情報:

            1. Salesforce ヘルプ
            2. ドキュメント
            3. Salesforce 組織の設定および管理

            セキュアな接続 (HTTPS) 設定

            この多層制御フレームワークは、すべての要求に継続的な IP 検証を適用し、HTTPOnly 属性を介した不正なスクリプトアクセスからセッショントークンを保護することで、セッションの整合性を強化します。

            コントロール名

            セキュアな接続 (HTTPS) 設定

            推奨設定

            • Enable Force Relogin After Login-As-User (ユーザーとしてログインした後に強制的に再ログイン)
            • [HTTPOnly 属性が必要] を有効化
            • すべての要求でログイン IP アドレスの制限を適用
            • [Use Post Request to send session information for cross-domain sessions (クロスドメインセッションのセッション情報を送信するための投稿要求の使用)] を有効にします。

            [設定] > [セッションの設定] > [使用後に再ログインを強制] | [HTTPOnly 属性が必要] | [すべての要求でログイン IP アドレスの制限] | [要求の投稿] を使用して、クロスドメインセッションのセッション情報を送信します。

            制御の概要

            この多層制御フレームワークは、すべての要求に継続的な IP 検証を適用し、HTTPOnly 属性を介した不正なスクリプトアクセスからセッショントークンを保護することで、セッションの整合性を強化します。さらに、POST 要求を使用してクロスドメインナビゲーション中のセッションの漏洩を防止し、[別名でログイン] セッションの直後に再ログインを要求することで、管理者の説明責任を確保します。

            設定されていない場合のセキュリティリスク

            これらのコントロールを有効にしないと、クロスサイトスクリプティング (XSS) 攻撃やクロスドメインナビゲーション中の URL 漏洩によってセッションが公開され、セッションハイジャックのリスクが大幅に高まります。さらに、ユーザーがセッション中に信頼できないネットワークに移動した場合や、システム管理者が再認証なしでユーザーになりすました後でも有効なセッションを維持していた場合、組織は不正アクセスの保持に直面します。

            脅威のシナリオ

            攻撃者はクロスサイトスクリプティング (XSS) の脆弱性を悪用して HTTPOnly 保護のないセッション Cookie を盗み、システムが要求のたびにユーザーの IP アドレスを再検証できないため、信頼できないネットワークからのアクセスをシームレスに維持します。一方、クロスドメインナビゲーション中にブラウザーログから機密セッション ID が漏洩し、乗っ取られた管理者アカウントは [別名でログイン] セッションの終了後も有効なままになります。

            推定 CVSS スコア範囲

            重大 (9.0 ~ 10.0)。

            リスクの影響に関する考慮事項

            ユーザー数、ユーザーに割り当てられたさまざまなプロファイル、および各プロファイルがアクセス権を持つデータまたはオブジェクトの数。

            より高いリスク

            これらの設定を無効にしたままにしておくと、堅牢なコンテンツセキュリティポリシー (CSP) がないため、HTTPOnly 属性がない場合にセッション Cookie を簡単にスクレイピングできるスクリプトに対してシステムが脆弱になります。

            Low or No Risk When (低リスクまたは無リスクの場合)

            これらの特定のセッションセキュリティ設定が有効になっていない場合のリスクを軽減するには、次の補償制御を使用して「多層防御」戦略を実装できます。

            • 必須の多要素認証 (MFA): セッション ID が URL を介して漏洩した (POST が欠落) 場合でも、スクリプトを介して盗まれた (HTTPOnly が欠落) 場合でも、攻撃者が高リスクのアクションを実行しようとしたり、アクセスを再確立しようとしたりすると、2 番目の要素に対する異議が唱えられます。
            • 厳格なセッションタイムアウト: [別名でログイン] セッション後に再ログインを強制しない場合、グローバルセッションタイムアウトを 15 分や 30 分に短縮すると、無人または乗っ取られたセッションの商談期間が制限されます。
            • プロファイルレベルのログイン IP アドレスの制限: 「すべての要求に適用」が理想的ですが、プロファイルレベルで厳格な IP アドレスの制限を設定すると、最初のセッションは信頼できるネットワークからのみ確立されます。
            • 堅牢なコンテンツセキュリティポリシー (CSP): 適切に設定された CSP を使用すると、悪意のあるスクリプトの実行を防止できます。これにより、Cookie に HTTPOnly 属性が含まれないリスクが大幅に軽減されます。
            • 厳格な入力サニタイズおよび出力エンコード: コードレベル (LWC/Aura コンポーネント) でクロスサイトスクリプティング (XSS) を防止することで、HTTPOnly 保護のないセッショントークンを攻撃者が盗むために主に使用する方法を削除します。

            ビジネスと統合に関する考慮事項

            これらの制御を実装するとセキュリティが大幅に強化されますが、サポートセッション後に頻繁に再ログインすると、セッション中にモバイルユーザーの IP アドレスが循環すると中断する可能性があります。

            推奨される修復

            プラットフォームにセキュアな接続設定を実装します。

            Security Health Review Guidance (セキュリティ状態レビューガイダンス)

            セキュリティ状態レビューでは、セッションを保護するためにセキュア接続設定が組織に適用されているかどうかを検査します。

            関連項目:

             
            読み込み中
            Salesforce Help | Article