セッションセキュリティ設定

セッションセキュリティ設定について説明します。

• セッションタイムアウト設定
  Salesforce セッションタイムアウト制御は、指定された無操作状態の期間が経過した後にユーザーセッションを自動的に終了することで、不正アクセスから保護するセキュリティ対策です。
• セッションの設定
  ユーザーのセッション ID が最初に確立された特定の IP アドレスからアクセスされた場合にのみ有効なままにすることで、セッションハイジャックを防止するには、[セッションを発信元 IP アドレスへロック] をクリックします。
• セキュアな接続 (HTTPS) 設定
  この多層制御フレームワークは、すべての要求に継続的な IP 検証を適用し、HTTPOnly 属性を介した不正なスクリプトアクセスからセッショントークンを保護することで、セッションの整合性を強化します。
• キャッシュ設定
  この設定では、グローバルなコンテンツ配信ネットワーク (CDN) と安全なブラウザーキャッシュを使用して静的 Lightning リソースの配信を高速化することで、プラットフォームのパフォーマンスとユーザーの利便性を最適化します。
• コンテンツセキュリティポリシー保護
  Salesforce ClassicでInternet Explorerを使用してテンプレートを表示するときにユーザーがセキュリティチェックをスキップしないようにし、プラットフォーム内で不正なスクリプトやリソースが実行されないようにするための厳格なフレームワークを適用します。
• コンテンツセキュリティポリシー (CSP) ディレクティブの表示
  CSP (コンテンツセキュリティポリシー) ディレクティブレンダリングを有効にすると、Salesforce 組織で Lightning ページにリソースを読み込む方法に関する最新の最も制限の厳しいセキュリティ標準を採用できます。
• クロスサイトリクエストフォージェリ (CSRF) 保護
  Salesforce セッション設定で CSRF 保護を有効にして、環境を保護します。
• クリックジャック保護
  Salesforce には、UI の修正攻撃から組織を保護するためのクリックジャック保護設定が用意されています。
• Lightning ローダー API バージョン
  最新のLightning Locker APIバージョンの有効化は、組織内のすべてのLightningコンポーネントを最新のセキュリティ パッチで管理するためのセキュリティ制御です。
• Lightning Web セキュリティ
  LWS(Lightning Webセキュリティ)の有効化は、従来のLightning Lockerアーキテクチャを最新の仮想化ベースのLightningコンポーネント向けSandboxに置き換えるセキュリティ制御です。
• 参照元 URL 保護
  Salesforce の [Referrer URL Protection (参照元 URL 保護)] コントロールを使用すると、Referrer-Policy HTTP ヘッダーで外部 Web サイトと共有する内部 URL 情報量を規制できます。
• クロスオリジンセキュリティヘッダー
  Salesforce セッション設定でのクロスオリジンオープナーポリシー (COOP) とクロスオリジン埋め込みポリシー (COEP) の有効化。
• コンテンツ盗聴保護
  ブラウザーがファイルを実行可能なスクリプトとして誤って解釈しないように、Salesforce システム管理者は [セッションの設定] メニューで [コンテンツ盗聴保護を有効化] を有効にする必要があります。
• 安全なログアウトページ
  この制御により、ブラウザータブで Salesforce セッションの有効期限が切れると、ユーザーは定義済みの安全な URL に自動的にリダイレクトされます。
• 新規ユーザーお知らせメール設定
  お知らせメールの Salesforce の [リンクの有効期限] 設定は、新規ユーザーの有効化リンクが有効な期間を定義するセキュリティ制御です。