セルフ登録

コントロール名

セルフ登録

推奨設定

Experience Cloud サイトへの新規訪問者の参加を招待するには、セルフ登録を削除/無効化します。

[設定]> [Visual Force ページ]> [CommunitiesSelfReg] - プロファイルが割り当てられていない、または [Lightning Experience、エクスペリエンスビルダーサイト、およびモバイルアプリケーションで参照されるページと使用できないページ] (チェックなし)。

制御の概要

この制御では、セルフ登録機能と関連するVisualforceコンポーネントを無効化して、承認された管理者主導の招待プロセスを介してのみ新しいサイト メンバーを追加できるようにします。

設定されていない場合のセキュリティリスク

セルフ登録が有効になっている場合やバックグラウンドで有効のままになっている場合、インターネット上のすべてのユーザー (または自動ボット) が、内部の審査や ID 検証手順をスキップして、Salesforce 組織に有効なユーザーアカウントを作成できます。

脅威のシナリオ

攻撃者はスクリプトを使用して何千ものダミーアカウントを一括登録し、そのダミーアカウントを使用して内部サイトの脆弱性を調査したり、ユーザーディレクトリをスクレイピングしたり、ライセンス数に対するサービス拒否 (DoS) 攻撃を開始したりします。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

新しい「ユーザー」はすべてオブジェクトレベルの共有ルールを悪用する出発点になる可能性があるため、アカウントの作成が制御されていないと、ライセンスの枯渇、データ汚染、攻撃対象の拡大につながります。

より高いリスク

「CommunitiesSelfReg」Visualforce ページがプロファイルにまだ割り当てられている場合、UI で「登録」ボタンが非表示になっていても、直接 URL を介してアクセスできる機能的な「バックドア」のままです。

低リスク

サイトでreCAPTCHAとセルフ登録ハンドラ(Apex)を使用している場合、新しく登録されたアカウントを実際に有効化する前に手動での管理者の承認が必要です。

ビジネスと統合に関する考慮事項

セルフ登録を無効にすると、ユーザーオンボーディングの負担が内部チームまたは自動 API 駆動の招待システムに移行され、管理オーバーヘッドが増加する可能性がありますが、優れたセキュリティガバナンスが提供されます。

推奨される修復

[Login & Registration (ログイン & 登録)] に移動して、[Allow customers and partners to self-register (顧客とパートナーのセルフ登録を許可)] をオフにし、CommunitiesSelfReg Visualforce ページがどのプロファイルからも参照されていないか、どのプロファイルからもアクセスできないことを確認します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Review では、セルフ登録を使用した自動ポータルの悪用に対する主要な防御策として「招待のみ」のアクセス権を特定し、ビジネス上の必要性が確認され、堅牢なボット検出戦略が実行されている場合にのみ [セルフ登録] ウィンドウを開くことを義務付けます。